本地策略、域策略
一、本地安全策略概述
1、本地安全策略:本地安全策略影响本地计算机的安全设置
2、打开方法:
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令
3、本地安全策略的分类
本地安全策略主要包含:帐户策略和本地策略。
4、帐户策略
(1)密码策略
① 密码必须符合复杂性需求:英文字母大小写、数字、特殊符号四者取其三。
② 密码长度最小值:设置范围0-14,设置为0表示不需要密码。
③ 密码最长使用期限:默认42天,设置为0表示密码永不过期,设置范围0和999天之间的值。
④ 密码最短使用期限:设置为0表示随时更改密码
⑤ 强制密码历史:最近使用过的密码不允许再使用,设置范0-24,默认0表示随意使用过去使用的密码。
(2)帐户锁定策略
① 账户锁定阈值:输入几次错误密码后,将用户帐户锁定,设置范围0-999,默认为0代表不锁定帐户.
② 帐户锁定时间:帐户锁定多长时间后自动解锁,单位为分钟,设置范围0-99999,0表示必须由管理员手动解锁。
③ 重置帐户锁定计数器:用户输入密码错误开始计时,当该时间过后,计数器重置为0。此时间必须小于或等于帐户锁定时间。 注:帐户锁定策略对本地管理员帐户无效。
5、本地策略
(1)审核策略
(2)用户权限分配
用户权限分配的常用策略:
① 关闭系统;② 更该系统时间;③ 拒绝本地登录、允许本地登录(作为服务器的计算机不能让普通用户交互式登录
用户权限分配|双击“允许在本地登录”,删除“Users”)
(3)安全选项
安全选项常用策略
用户试图登录时消息标题、消息文本
网络访问本地帐户的共享和安全模式(经典和仅来宾)
使用空白密码的本地帐户只允许进行控制台登录
注:运行gpupdate使本地安全策略生效或重启计算机
gpupdate /force强制刷新策略
二、本地组策略
1、组策略:一组策略的集合
2、组策略:包含计算机配置和用户配置
3、运行gpedit.msc打开本地组策略
4、本地组策略配置:
(1)屏蔽关闭Windows Server 2012关机理由
Win + R -- gpedit.msc -- 运行 -- 单击计算机配置 -- 管理模板 -- 系统 -- 显示“关闭时间跟踪程序”-- 选择已禁用 -- 确定
(2)删除开始菜单中的关机、重新启动、睡眠及休眠
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 开始菜单和任务栏 -- 双击右边的删除并阻止访问关机、重新启动、睡眠和休眠命令
-- 选择已启用
(3)删除浏览器Internet Explorer的因特网选项内的安全与链接选项卡
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- Windows组件 -- Internet Explorer -- Internet控制面板 -- 双击禁用连接页与禁用安全页 -- 选择已启用
(4)将控制面板内的Windows防火墙隐藏起来
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 控制面板 -- 双击隐藏指定的控制面板项 -- 选择已启用 -- 显示 -- 添加 Windows 防火墙
三、域组策略概
1、组策略的作用
(1)组策略:一组策略的集合(与组没关系)
(2)组策略的作用:
① 可以统一修改系统、设置程序;
② 调整桌面环境、安全设置、自动执行脚本、软件分发;
③ 对整个域设置组策略,可影响所有成员计算机和域用户的工作环境;
④ 对OU设置组策略,可影响该OU下的所有计算机和和域用户的工作环境;
⑤ 降低布置用户和计算机环境的总费用,方便推行公司计算机使用规范及安全策略等。
(3)组策略的优点
① 减小管理成本,只需设置一次,相应的计算机或用户即可应用;
② 减小用户单独配置错误的可能性
③ 可以针对特定对象设置特定的策略 用户 计算机
(4)组策略对象
① 组策略的具体设置保存在GPO中
存储组策略的所有配置信息 AD中的一种特殊对象
② 默认的两个GPO(组策略)
默认域策略(Default Domain Policy)
默认域控制器策略(Default Domain Controllers Policy)
GPO链接 只能链接到站点、域、OU
(5)组策略编辑器包含:
计算机配置 -- 只针对容器中的计算机生效。
用户配置 -- 只针对容器中的用户生效。
(6)组策略的简单应用
① 禁止用户修改桌面背景
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令 — 用户配置 — 管理模板 — 控制面板 — 个性化 —双击阻止更改桌面墙纸—已启用—确定
开始 — 运行 — gpupdate /force(强制刷新策略)
(7)组策略的应用规则
① 策略继承与阻止
下级容器可以继承或阻止应用其上级容器的GPO设置
② 策略强制生效
使下级容器强制执行其上级容器的GPO设置
禁止修改个人主页:用户配置—管理模板—Windows组件—Internet Explorer—禁用更改主页设置。
③ 策略累加与冲突
多个GPO设置在不冲突的情况下累加如冲突后应用生效
④ 组策略应用顺序:LSDOU
--- 首先本地组策略对象(Local)
--- 如果有站点组策略(Site),则应用之
--- 然后应用域组策略对象(Domain)
--- 若当前计算机或用户属于某个OU,则应用之
--- 若当前计算机或用户属于某个子OU,则再应用之
本地组策略站点域OU
如OU与子OU冲突,子OU生效
4、筛选组策略设置
筛选的作用:阻止一个容器内的用户或计算机应用其GPO设置
在组策略管理界面中—单击指定的GPO—在右侧窗口中选择委派—高级—添加用户—勾选拒绝读取和应用组策略。
读取和应用组策略的权限 允许和拒绝