6425C-Lab10 提升身份验证的安全性

共包括3个实验：

实验L10A，配置密码策略和帐户锁定策略

实验L10B，对身份验证的审核

实验L10C，配置RODC

==========

实验10A：配置密码策略和帐户锁定策略

在本实验，共有2个练习：

第1个练习，配置域的密码和锁定策略。

第2个练习，配置细粒度密码策略。

 

练习1：配置域的密码和锁定策略

　　打开“组策略管理”，编辑默认的域策略。

 

练习2：配置细粒度密码策略

任务1：创建一个PSO

1. 打开“管理工具”中的“ADSI编辑器”。

 

2. 新建一个PSO对象。

 

3. 配置每一项属性。

 

任务2：将PSO链接到一个组

　　打开“Active Directory 用户和计算机”，展开“contoso.com/System/Password Settings Container”这个OU。编辑新建的PSO对象，将其关联到域管理员组。

 

任务3：确认PSO应用到用户帐户

　　查看域管理员组下属的一个用户帐户的属性。

 

任务4：删除PSO对象

 

==========

实验10B：对身份验证的审核

在本实验，共有1个练习：

练习1：审核身份验证

任务1：配置审核帐户登录事件

1. 打开“组策略管理”，编辑默认的域控制器策略。

2. 编辑“审核帐户登录事件”。

 

3. 编辑“审核登录事件”

 

任务2：强制刷新组策略

　　在命令提示符下面运行：

C:\Users\Administrator>gpupdate /force
正在更新策略...

用户策略更新成功完成。
计算机策略更新成功完成。

 

任务3：生成帐户登录事件

1. 注销。

2. 登录时故意输错一次密码。

3. 以正确密码登入。

 

任务4：查看事件记录

1. 打开“事件查看器”，查看事件ID为4771的事件记录。

 

2. 查看事件ID为4768的事件记录。

 

任务5：查看登录事件记录

1. 查看事件ID为4625的事件记录。

 

2. 查看事件ID为4624的事件记录。 

 

 

 

==========

实验10C：配置RODC

在本实验，共有2个练习：

第1个练习，安装一台RODC。

第2个练习，配置密码复制策略。

第3个练习，管理凭据缓存。

本实验需使用一台名为RODC1的服务器，在实验之前，此服务器务必不要加入域。

练习1：安装一台RODC

任务1：创建RODC帐户

 

3. 查看计算机帐户

 

任务2：安装RODC

1. 启动RODC1服务器。以本地管理员帐户登录。

2. 在命令提示符输入： dcpromo

3. 根据向导安装RODC

 

练习2：配置密码复制策略

任务1：配置域密码复制策略

1. 在“Active Directory用户和计算机”中展开Users这个OU。

2. 查看或编辑“Allowed RODC Password Replication Group”组的属性。允许将此组中成员的密码复制到域中的所有只读域控制器。

3. 查看或编辑“Denied RODC Password Replication Group”组的属性。不允许将此组中成员的密码复制到域中的所有只读域控制器。

 

任务2：创建一个组以管理密码复制

1. 创建一个名为“Branch Office Users”的全局安全组。

2. 将contoso\LiS帐户添加为Branch Office Users组的成员。 

3. 将Branch Office Users添加为Allowed RODC Password Replication Group组的成员。

 

任务3：检查

1. 展开Domain Controllers这个OU。

2. 检查RODC1这台域控制器的属性。

 

 

 

练习3：管理凭据缓存

任务1：查看凭据缓存

1. 编辑RODC1域控制器的属性。

2. 查看结果策略。

 

3. 以不同的用户帐户在RODC1尝试登录。

4. 转到HQDC1域控制器。查看缓存。

 

任务2：预填充密码

1. 在上一步骤的对话窗口，单击“预设密码”按钮。

 

2. 如果该帐户不存在于“已允许”列表，则出现如下错误。

 

3. 如果该帐户已经在“已允许”列表。则显示成功信息。