abaez0/active-directory-homelab
GitHub: abaez0/active-directory-homelab
一个完整的 Active Directory 家庭实验环境项目,帮助学习者从零构建模拟企业网络,掌握 AD 配置、组策略安全加固和事件日志分析等核心技能。
Stars: 0 | Forks: 0
# Active Directory 家庭实验环境
## 概述
使用 VirtualBox 从零开始构建的一个功能完备的 Active Directory 环境。
该实验环境模拟了一个真实的公司网络,包含一台 Windows Server 2022 域控制器
和一台加入该域的 Windows 10 客户端机器。该项目展示了核心的系统管理员和安全技能,包括 AD 配置、
用户管理、组策略强制执行以及安全事件监控。
## 环境
| 组件 | 详情 |
|---|---|
| Hypervisor | Oracle VirtualBox |
| 域控制器 | Windows Server 2022 Standard Evaluation |
| 客户端机器 | Windows 10 Pro |
| 域名 | homelab.local |
| 域 NetBIOS | HOMELAB |
## 构建内容
### 1. 域控制器设置
- 安装并配置了 Windows Server 2022
- 将服务器提升为域控制器
- 配置了与 Active Directory 集成的 DNS
- 域:homelab.local(林和域功能级别:2016)
### 2. 组织单位结构
- 设计了模拟零售/仓储组织的真实 OU 层次结构
- 9 个部门:Sales(销售)、Logistics(物流)、Visual(视觉陈列)、HR(人力资源)、Finance(财务)、IT(信息技术)、Risk(风险管理)、Cleaning(清洁)、Leadership(领导层)
- 每个部门的子 OU 反映了真实的组织级别(Managers 经理、Leads 主管、Employees 员工)
### 3. 用户账户
- 跨所有部门创建了 30 个用户账户
- 采用一致的命名规则:名字的前 2 个字母 + 姓氏的前 3 个字母
- 为所有账户配置了临时密码,并强制在首次登录时更改密码
- 通过顺序编号处理了重复的用户名问题(例如 chben1)
### 4. 安全组
- 创建了部门组(Sales_All、Logistics_All 等)
- 创建了基于角色的组(All_Managers、All_Leads、All_Employees)
- 遵循行业标准的 AGDLP 模型,应用了 Global 作用域和 Security 类型
### 5. 组策略对象
| GPO | 作用域 | 目的 |
|---|---|---|
| 密码策略 | 域 | 最少 14 个字符,复杂性要求,90 天过期,记录 24 个密码历史 |
| 账户锁定 | 域 | 5 次尝试,锁定 30 分钟,计数器重置 30 分钟 |
| 登录横幅 | 域 | 每次登录前显示法律警告 |
| USB 存储限制 | 域 | 阻止域范围内所有的可移动存储设备 |
| 屏幕锁定策略 | 域 | 不活动 5 分钟后自动锁定 |
| 限制控制面板 | Employees OU | 阻止标准员工访问系统设置 |
### 6. Windows 10 客户端
- 部署了 Windows 10 Pro 虚拟机
- 配置 DNS 指向域控制器
- 成功将机器加入 homelab.local 域
- 验证了客户端机器上的域用户身份验证
- 使用 gpresult /r 确认了 GPO 的应用
### 7. 安全测试与事件日志分析
- 通过触发账户锁定(5 次失败尝试)模拟了暴力破解攻击
- 通过 AD Users and Computers 定位并解锁了被锁定的账户
- 分析了 Windows 安全事件日志中的以下内容:
- 事件 ID 4625 — 登录失败尝试
- 事件 ID 4740 — 账户锁定
- 验证了控制面板限制应用于 Employees 而不是 IT 员工
- 确认了登录横幅在每次登录尝试时显示
## 展示的关键技能
- Active Directory 部署与配置
- 组织单位设计与用户生命周期管理
- 组策略的创建、链接和故障排除
- 遵循最小权限原则的安全加固
- Windows 事件日志分析和安全监控
- AD 环境中的 DNS 配置和故障排除
- 虚拟化机器之间的网络故障排除
- 文档编写和实验方法论
## 经验教训
- 域用户的密码策略必须在 Default Domain Policy 中配置,
而不是链接到 OU 的自定义 GPO
- IPv6 DNS 可以覆盖 IPv4 DNS 设置,必须在网络配置中予以考虑
- GPO 更改需要执行 gpupdate /force 或重启机器才能立即应用
- 应该在每个主要里程碑拍摄快照,以实现安全的回滚
- 账户锁定事件 (4740) 能清楚地标识受影响的账户和来源机器,
使其对安全调查非常有价值
## 屏幕截图
*(屏幕截图按阶段组织在仓库文件夹中)*
标签:Active Directory, AD域, AGDLP模型, DNS配置, GitHub Advanced Security, GPO加固, Home Lab, IT运维, Plaso, Socks5代理, Terraform 安全, VirtualBox, Windows 10, Windows Server 2022, 事件日志分析, 企业网络架构, 域控制器, 安全加固, 安全组, 家庭实验室, 密码策略, 模拟企业环境, 环境搭建, 用户管理, 系统管理员, 组策略, 组织单位结构, 网络安全, 虚拟化环境, 隐私保护