AD域组策略安全管理

信息安全-终端安全(AD域组策略安全管理)

终端安全体系五要素:

身份认证:AD认证、身份标识、角色定义、外部纷争系统等。
准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。
安全认证:防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。
业务授权:业务系统权限控制、业务文档权限控制。
业务审计:业务系统类审计、业务文档类审计。

终端安全概念:

是指每个单独设备必须维护本地安全,即所谓的“末端设备应对自己的安全负责”。 公司网络内的所有终端,包括服务器、客户端、WiFi设备,VPN用户电脑,都对组织构成风险。
通过准入控制来识别终端用户身份,以决定是否允许其接入;桌面管理是通过制定相应安全策略来保障终端桌面的安全;安全管理是通过制定适合企业业务运营要求的安全管理,来确保所制定的安全策略有法可依。

常见措施:

在这里插入图片描述

AD域组策略

组策略是一个允许执行针对用户或计算机进行配置的基础架构;
其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术;那组策略和注册表的区别在哪儿呢?
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置;

组策略长什么样子?

在哪里?域控制器上;
在这里插入图片描述

组策略的使用

1、组策略作用在哪里?

组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。我们可以根据管理任务,为组策略选择合适的部署级别。

2、什么是组策略对象?

组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点,域或OU内的所有用户与计算机。

Sysvol(DC之间的复制)
SYSVOL文件夹是一个共享文件夹(DC上的C:\Windows\SYSVOL\sysvol),主要用来存储和域相关的数据,包括组策略设置、脚本等。如果域内部署多台域控制器,所有域控制器之间通过FRS或DFS-R服务相互复制,最终所有域控制器之间完成同步。如下图所示:
在这里插入图片描述

3、组策略管理:

组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创建、管理、部署GPO,最新的GPMC可以从微软网站下载。

4、组策略的应用

(1)账户策略的设定 例如设定用户密码的长度、复杂度、使用的期限、账号锁定策略等。
在这里插入图片描述

(2)用户脚本 强制执行登录、注销脚本
以下是SSO单点登录脚本
在这里插入图片描述

(3)部署软件 思路是把部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户或计算机,某某服务器的某文件夹有要安装的软件,赶紧去下载安装。 设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了

操作演练:

1、如何查看策略配置?

在这里插入图片描述

2、如何查看本地终端电脑的组策略?

开始–运行–mmc–“添加或删除管理单元”–选择”组策略对象编辑器“
在这里插入图片描述

完成

3、查看策略的应用结果

C:>gpresult /r
在这里插入图片描述

实际到SHDC1上去看看,计算机设置和用户设置,已应用的组策略对象

4、域控推下来的组策略,配置是灰色的,本地组策略无法更改

在这里插入图片描述

5、域控上配置完组策略希望马上生效,如何操作?

gpupdate /force
同样,在客户端电脑上使用此命令的效果,是重新从域控上获取最新的组策略。
在这里插入图片描述

6、拒绝用户访问开始–运行

在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→”从开始菜单中删除运行菜单“。用gpupdate /force 命令刷新。
可以在本地组策略上做实验,测试一下效果。
在这里插入图片描述

最后,大家研究一下,组策略可以做哪些安全管理

  • 1
    点赞
  • 39
    收藏
  • 打赏
    打赏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:数字20 设计师:CSDN官方博客 返回首页
评论 2

打赏作者

陆卫清

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值