试题内容:
(二)组策略
任务描述:请采用组策略,实现软件、计算机和用户的策略设置。Powershell7 软件部署策略在整个 skills 林中配置,其余组策略在 skills.com 域中配置。
1.部署软件 powershell7,让林中主机自动安装 powershell(从物理机复制 powershell7.msi 到 windows1 的 C:\soft)。(如果部署不成功,需要手动安装。)
2.启用所有 windows 服务器的防火墙。添加防火墙入站规则,名称为 ICMPv4, 启用源、目的地址 ip 地址是 10.10.0.0/16 的 icmpv4 回显请求。
3.域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模 板证书,该模板可用作“服务器身份验证”,有效期 5 年。windows3 和 windows4 之间通信采用 ipsec 安全连接,采用 windows1 颁发的计算机证书验证。
4.允许 manager 组本地登录域控制器,允许 manager19 用户远程登录到域控 制器;拒绝 sale 组从网络访问域控制器。
5.登录时不显示上次登录,不显示用户名,无须按 ctrl+alt+del。
6.登录计算机时,在桌面新建名称为 chinaskills 的快捷方式,目标为 https://www.chinaskills-jsw.org,快捷键为 ctrl+shift+f6。
7.为正在登录此计算机的所有用户设置漫游配置文件路径为 windows1 的 C:\profiles,每个用户提供单独的配置文件文件夹。
8.每个用户的“文档”文件夹重定向到 windows1 的 C:\documents,为每一 用户创建一个文件夹。
9.manager00 登录系统时,对 windows1 的 C:\docshare 共享文件夹映射驱 动器 Z。
10.拒绝所有可移动存储类的所有权限。
11.审核登录事件,同时审核成功和失败。
12.禁用“关闭事件跟踪程序”。
13.计算机启动和登录时总是等待网络。
14.在登录时不自动显示服务器管理器。
15.加密数据库修正,保护级别为“易受攻击”
解答过程:
1、软件部署策略
2、启用所有 windows 服务器的防火墙。添加防火墙入站规则,名称为 ICMPv4, 启用源、目的地址 ip 地址是 10.10.0.0/16 的 icmpv4 回显请求
启用防火墙
3、域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书,该模板可用作“服务器身份验证”,有效期 5 年。windows3 和 windows4 之间通信采用 ipsec 安全连接,采用 windows1 颁发的计算机证书验证。
选择组策略中的自动证书申请
Windows3 与windows4 先加域,再建立ipsec 链接(两边都要做,这里只示范在windows3 上做)
4、允许 manager 组本地登录域控制器,允许 manager19 用户远程登录到域控制器;拒绝 sale 组从网络访问域控制器。
先新建一个manager gpo,并将此策略应用到manager 组
先新建一个sale gpo,并将此策略应用到sale 组
5、登录时不显示上次登录,不显示用户名,无须按 ctrl+alt+del。
在默认域控制器策略上做
6、登录计算机时,在桌面新建名称为 chinaskills 的快捷方式,目标为
https://www.chinaskills-jsw.org,快捷键为 ctrl+shift+f6。
7、为正在登录此计算机的所有用户设置漫游配置文件路径为 windows1 的 C:\profiles,每个用户提供单独的配置文件文件夹
8、在组策略管理编辑器窗口中,依次导航到“计算机配置” 、“策略” 、“管理模板” 、“系统” 、“用户配置文件” 。
右键单击“为登录此计算机的所有用户设置漫游配置文件路径”,然后选择“编辑”
9、每个用户的“文档”文件夹重定向到 windows1 的 C:\documents,为每一 用户创建一个文件夹。
新建document文件夹
设置文件夹共享
manager00 登录系统时,对 windows1 的 C:\docshare 共享文件夹映射驱动器 Z
新建docshare文件夹,并设置共享
新建一个manager00 gpo,并将此gpo应用于manager0用户
编辑此gpo,选择用户配置里的驱动器映射
10、拒绝所有可移动存储类的所有权限
11、审核登录事件,同时审核成功和失败。
12、禁用“关闭事件跟踪程序”。
13、计算机启动和登录时总是等待网络。
14、在登录时不自动显示服务器管理器。
15、加密数据库修正,保护级别为“易受攻击
(三)文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
1.在 windows1 的 C 分区划分 2GB 的空间,创建 NTFS 主分区,驱动器号为 D。创建用户主目录共享文件夹:本地目录为 D:\share\home,共享名为 home,允许所有域用户完全控制。该文件夹将设置为所有域用户的 home 目录,skills 域用户登录计算机成功后,自动映射挂载到 T 卷。禁止用户在该共享文件中创建 “*.exe”文件,文件组名和模板名为 SKILLS。
2.创建目录 D:\share\work,共享名为 work,仅 Administrator 组和 manager 组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共享权限。在 AD DS 中发布该共享。
安装文件服务器资源管理器功能
在 AD DS 中发布该共享。