活动目录之组策略安全设置

一、帐户策略

1.密码策略：

密码复杂性要求默认是开启的。

密码长度最小值默认为7个字符，最长使用期限默认42天，强制密码历史默认24个，都可以根据需要更改。

注意：默认情况下，成员计算机的配置与域控的配置相同，要维持密码历史记录的有效性，则需启用密码最短使用期限来阻止更改密码，如果这里的密码配置与用户属性配置选项冲突，则与用户属性配置为准。

2.帐户锁定策略，次数太少维护会过于频繁，次数太多存在安全隐患，建议设置5次无效登陆后锁定。

二、本地策略

1.审核策略配置

可查看对应策略的解释。

2.安全选项

安全设置和安全策略是用于保护计算机或网络上的资源，安全设置可以控制：

a.用户访问网络或计算机的身份认证方式。

b.授权用户可使用的资源。

c.用户或组操作都被记录在事件日志。

三、受限制的组

有些时候，为了某些需要（比如安装软件），把用户帐号添加进了管理员组，在事情处理好后却又忘了删除，此时受限制的组就可以发挥作用了。

下图为客户端管理员组，里面有个Rickey用户。

我们可以在策略里面做出如下设置，右键“受限制的组”-“添加组”：

起名administrators，然后添加本地管理员及域管理员帐号。

刷新策略后，我们再来看看客户端管理员组，你会发现Rickey帐号已经没有了。

四、系统服务

你可根据需要如下图定义策略，只保留管理员才能控制的权限。

五、注册表

你可以根据需要右键注册表，赋予用户控制权限。

六、文件系统

右键文件系统-添加文件，系统目录下新建名为czy的文件夹，赋予用户完全拒绝权限，刷新策略后，所有域计算机系统目录下如有czy文件夹的话则无法访问。

七、软件限制策略

默认为所有软件都允许运行，我们可以新建一规则来拒绝某程序运行，下面以文本程序为例，右键其他规则，新建哈希规则：

点击浏览，把文本程序路径copy到文件名位置，点击打开（这里一定要注意，不要把路径直接COPY到文件哈希位置了，否则无效）。

打开后则会计算出哈希值，应用确定刷新策略，文本程序就不可用了：

以上为活动目录组策略安全设置的一些常用选项，其它的还有很多设置则需根据现实需要决定是否配置。