本地策略、域策略

本地策略、域策略

一、本地安全策略概述

1、本地安全策略:本地安全策略影响本地计算机的安全设置

2、打开方法:

控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令

3、本地安全策略的分类

本地安全策略主要包含:帐户策略和本地策略。

4、帐户策略

1密码策略

 密码必须符合复杂性需求:英文字母大小写、数字、特殊符号四者取其三。

 密码长度最小值:设置范围0-14,设置为0表示不需要密码。

③ 密码最长使用期限:默认42天,设置为0表示密码永不过期,设置范围0和999天之间的值。

 密码最短使用期限:设置为0表示随时更改密码

 强制密码历史:最近使用过的密码不允许再使用,设置范0-24,默认0表示随意使用过去使用的密码。

2帐户锁定策略

 账户锁定阈值:输入几次错误密码后,将用户帐户锁定,设置范围0-999,默认为0代表不锁定帐户.

 帐户锁定时间:帐户锁定多长时间后自动解锁,单位为分钟,设置范围0-99999,0表示必须由管理员手动解锁。

 重置帐户锁定计数器:用户输入密码错误开始计时,当该时间过后,计数器重置为0。此时间必须小于或等于帐户锁定时间。 注:帐户锁定策略对本地管理员帐户无效。

5、本地策略

1审核策略

2用户权限分配

用户权限分配的常用策略:

 关闭系统 更该系统时间 拒绝本地登录允许本地登录(作为服务器的计算机不能让普通用户交互式登录

用户权限分配|双击“允许在本地登录”,删除“Users”

3安全选项

安全选项常用策略

用户试图登录时消息标题、消息文本

网络访问本地帐户的共享和安全模式(经典和仅来宾)

使用空白密码的本地帐户只允许进行控制台登录

注:运行gpupdate使本地安全策略生效或重启计算机

gpupdate  /force强制刷新策略

二、本地组策略

1、组策略:一组策略的集合

2、组策略:包含计算机配置和用户配置

3、运行gpedit.msc打开本地组策略

4、本地组策略配置:

(1)屏蔽关闭Windows Server 2012关机理由

Win + R --  gpedit.msc -- 运行 -- 单击计算机配置 -- 管理模板 -- 系统 -- 显示“关闭时间跟踪程序”-- 选择已禁用 -- 确定

(2)删除开始菜单中的关机、重新启动、睡眠及休眠

Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 开始菜单和任务栏 -- 双击右边的删除并阻止访问关机、重新启动、睡眠和休眠命令

-- 选择已启用

(3)删除浏览器Internet Explorer的因特网选项内的安全与链接选项卡

Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- Windows组件 -- Internet Explorer -- Internet控制面板 -- 双击禁用连接页与禁用安全页 -- 选择已启用

(4)将控制面板内的Windows防火墙隐藏起来

Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 控制面板  -- 双击隐藏指定的控制面板项 -- 选择已启用 -- 显示 -- 添加 Windows 防火墙

三、域组策略概

1、组策略的作用

1)组策略:一组策略的集合(与组没关系)

2)组策略的作用:

① 可以统一修改系统、设置程序;

② 调整桌面环境、安全设置、自动执行脚本、软件分发;

③ 对整个域设置组策略,可影响所有成员计算机和域用户的工作环境;

④ 对OU设置组策略,可影响该OU下的所有计算机和和域用户的工作环境;

⑤ 降低布置用户和计算机环境的总费用,方便推行公司计算机使用规范及安全策略等。

(3)组策略的优点

① 减小管理成本,只需设置一次,相应的计算机或用户即可应用;

② 减小用户单独配置错误的可能性

③ 可以针对特定对象设置特定的策略   用户   计算机

(4)组策略对象

① 组策略的具体设置保存在GPO中

存储组策略的所有配置信息      AD中的一种特殊对象

② 默认的两个GPO(组策略)

默认域策略(Default Domain Policy)

默认域控制器策略(Default Domain Controllers Policy)

GPO链接      只能链接到站点、域、OU

(5)组策略编辑器包含:

计算机配置 -- 只针对容器中的计算机生效。

用户配置 -- 只针对容器中的用户生效。

6)组策略的简单应用

① 禁止用户修改桌面背景

控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令 — 用户配置 — 管理模板 — 控制面板 — 个性化 —双击阻止更改桌面墙纸—已启用—确定

开始 — 运行 — gpupdate /force(强制刷新策略)

(7)组策略的应用规则

① 策略继承与阻止

下级容器可以继承或阻止应用其上级容器的GPO设置

② 策略强制生效

使下级容器强制执行其上级容器的GPO设置

禁止修改个人主页:用户配置—管理模板—Windows组件—Internet Explorer—禁用更改主页设置。

③ 策略累加与冲突

多个GPO设置在不冲突的情况下累加如冲突后应用生效

④ 组策略应用顺序:LSDOU

   --- 首先本地组策略对象(Local)

   --- 如果有站点组策略(Site),则应用之

   --- 然后应用域组策略对象(Domain)

   --- 若当前计算机或用户属于某个OU,则应用之

   --- 若当前计算机或用户属于某个子OU,则再应用之

本地组策略站点OU

OU与子OU冲突,子OU生效

4、筛选组策略设置

筛选的作用:阻止一个容器内的用户或计算机应用其GPO设置

在组策略管理界面中—单击指定的GPO—在右侧窗口中选择委派—高级—添加用户—勾选拒绝读取和应用组策略。

读取和应用组策略的权限   允许和拒绝

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

繁星o春水

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值