AD 组策略 | 服务器管理 | 默认策略

介绍

Default Domain Controllers Policy 和 Default Domain Policy 是 Windows Active Directory 组策略中两个重要的默认组策略对象，分别应用于域控制器和域中的所有计算机。

Default Domain Controllers Policy（默认域控制器策略）
影响范围：
影响域中的所有域控制器。包括对域控制器上的用户账户、计算机账户以及域控制器本身的安全设置。

• 作用： 策略对象主要用于配置域控制器上的安全设置和用户权限。
• 意义： 通过这个策略，设置域控制器的安全性，限制对域控制器的访问，并配置域控制器上的账户和密码策略。包括关键的安全设置，如账户锁定策略、用户权限分配等，一般在这进行配置。
  账户锁定策略： 控制登录失败的次数，达到设定的次数后，账户将被锁定一段时间。
  密码策略： 包括密码长度、密码复杂性要求、密码历史等，用于强制用户创建更安全的密码。
  用户权限分配： 确保域控制器上只有授权的用户和组才能执行特定的任务。
  安全选项： 包括对域控制器服务的安全性设置，保护服务器安全。

Default Domain Policy（默认域策略）:
影响范围：
影响整个域，包括域中的所有计算机和用户账户。

• 作用： 策略对象是应用于整个域的默认策略，包含许多不同方面的设置，例如密码策略、安全选项、用户权利分配等。
• 意义： 通过这个策略，对整个域中的计算机和用户账户强制执行一致的安全设置。其中包括密码复杂性要求、账户锁定策略、Kerberos 等安全设置。默认域策略对域中所有的对象都生效，可以通过在子组织单元（OU）上创建额外的组策略对象来进行更灵活的配置。
  密码策略： 控制域中所有用户账户的密码策略，包括密码复杂性、最短密码长度、密码历史等。
  帐户策略： 包括 Kerberos 部分，用于配置 Kerberos 身份验证的安全性。
  安全选项： 包括对域中所有计算机的安全设置，例如网络安全选项、Microsoft 网络服务器的安全设置等。
  用户权利分配： 定义用户或组的权限，这些权限适用于整个域。
  注册表设置： 可以配置域中所有计算机的注册表设置，控制一致性。

修改这两个默认的组策略对象谨慎进行，会对整个域的安全性和设置有影响。

下面是实验环境的配置。

默认域控制器策略

由于域控制器是企业安全的管理核心，对域控制器的登录管理和安全限制都会很严格。下图是实验环境权限配置

备份文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
创建一个页面文件 BUILTIN\Administrators
从扩展坞上取下计算机 BUILTIN\Administrators
从网络访问此计算机 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,NT AUTHORITY\Authenticated Users,BUILTIN\Administrators,Everyone
从远程系统强制关机 BUILTIN\Server Operators,BUILTIN\Administrators
更改系统时间 BUILTIN\Server Operators,BUILTIN\Administrators,NT AUTHORITY\LOCAL SERVICE
关闭系统 BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
管理审核和安全日志 BUILTIN\Administrators
还原文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
加载和卸载设备驱动程序 BUILTIN\Print Operators,BUILTIN\Administrators
将工作站添加到域 NT AUTHORITY\Authenticated Users
配置文件单一进程 BUILTIN\Administrators
配置文件系统性能 NT SERVICE\WdiServiceHost,BUILTIN\Administrators
取得文件或其他对象的所有权 BUILTIN\Administrators
绕过遍历检查 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\Authenticated Users,Window Manager\Window Manager Group,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE,Everyone
生成安全审核 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
提高计划优先级 BUILTIN\Administrators
替换一个进程级令牌 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
调试程序 BUILTIN\Administrators
为进程调整内存配额 IIS APPPOOL\DefaultAppPool,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
信任计算机和用户帐户可以执行委派 BUILTIN\Administrators
修改固件环境值 BUILTIN\Administrators
允许本地登录 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Account Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
作为批处理作业登录 BUILTIN\Performance Log Users,BUILTIN\Backup Operators,BUILTIN\Administrators,BUILTIN\IIS_IUSRS

默认域策略

因为域策略影响的是整个域中所有用户和计算机配置，所以以下配置对所有非特权账户生效：
密码必须符合复杂性要求 已启用
密码最长期限 42 天
强制密码历史 24 个记住的密码
用可还原的加密来储存密码 已禁用
最短密码期限 1 天
最短密码长度 7 个字符

Ending

---

~喜欢的话,请收藏 | 关注(✪ω✪)~ ~万一有趣的事还在后头呢，Fight!!(ｏ^-^)~''☆ミ☆ミ~……

---