本地策略、域策略
一、本地安全策略概述
1、本地安全策略:本地安全策略影響本地計算機的安全設定
2、開啟方法:
控制面板 → 管理工具」→ 本地安全策略 → 執行secpol.msc命令
3、本地安全策略的分類
本地安全策略主要包含:帳戶策略和本地策略。
4、帳戶策略(1
)密碼策略
①密碼必須符合複雜性需求:英文本母大小寫、數字、特殊符號四者取其三。
②密碼長度最小值:
設定範圍0-14,設定為0表示不需要密碼。
③ 密碼最長使用期限:預設42天,設定為0表示密碼永不過期,設定範圍0和999天之間的值。
④密碼最短使用期限:
設定為0表示隨時更改密碼
⑤強制密碼歷史:
最近使用過的密碼不允許再使用,設定範0-24,預設0表示隨意使用過去使用的密碼。(2
)帳戶鎖定策略
①賬戶鎖定閾值:輸入幾次錯誤密碼後,將使用者帳戶鎖定,設定範圍0-999,預設為0代表不鎖定帳戶.②③
重置帳戶鎖定計數器:使用者輸入密碼錯誤開始計時,當該時間過後,計數器重置為0。此時間必須小於或等於帳戶鎖定時間。
注:帳戶鎖定策略對本地管理員帳戶無效。
5、本地策略(1
)審核策略(2
)使用者許可權分配
使用者許可權分配的常用策略:
①關閉系統
;②更該系統時間
;③拒絕本地登入
、允許本地登入
(作為伺服器的計算機不能讓普通使用者互動式登入
使用者許可權分配|雙擊「允許在本地登入」,刪除「
users」)(
3)安全選項
安全選項常用策略
使用者試圖登入時訊息標題、訊息文字
網路訪問本地帳戶的共享和安全模式(經典和僅來賓)
使用空白密碼的本地帳戶只允許進行控制台登入
注:執行gpupdate使本地安全策略生效或重啟計算機
gpupdate /force強制重新整理策略
二、本地組策略
1、組策略:一組策略的集合
2、組策略:包含計算機配置和使用者配置
3、執行gpedit.msc開啟本地組策略
4、本地組策略配置:
(1)遮蔽關閉windows server 2012關機理由
win + r -- gpedit.msc -- 執行 -- 單擊計算機配置 -- 管理模板 -- 系統 -- 顯示「關閉時間跟蹤程式」-- 選擇已禁用 -- 確定
(2)刪除開始選單中的關機、重新啟動、睡眠及休眠
win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- 開始選單和工作列 -- 雙擊右邊的刪除並阻止訪問關機、重新啟動、睡眠和休眠命令
-- 選擇已啟用
(3)刪除瀏覽器internet explorer的網際網路選項內的安全與鏈結選項卡
win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- windows元件 -- internet explorer -- internet控制面板 -- 雙擊禁用連線頁與禁用安全頁 -- 選擇已啟用
(4)將控制面板內的windows防火牆隱藏起來
win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- 控制面板 -- 雙擊隱藏指定的控制面板項 -- 選擇已啟用 -- 顯示 -- 新增 windows 防火牆
三、域組策略概
1、組策略的作用
(1)組策略:一組策略的集合(與組沒關係)
(2)組策略的作用:
① 可以統一修改系統、設定程式;
② 調整桌面環境、安全設定、自動執行指令碼、軟體分發;
③ 對整個域設定組策略,可影響所有成員計算機和域使用者的工作環境;
④ 對ou設定組策略,可影響該ou下的所有計算機和和域使用者的工作環境;
⑤ 降低布置使用者和計算機環境的總費用,方便推行公司計算機使用規範及安全策略等。
(3)組策略的優點
① 減小管理成本,只需設定一次,相應的計算機或使用者即可應用;
② 減小使用者單獨配置錯誤的可能性
③ 可以針對特定物件設定特定的策略 使用者 計算機
(4)組策略物件
① 組策略的具體設定儲存在gpo中
儲存組策略的所有配置資訊 ad中的一種特殊物件
② 預設的兩個gpo(組策略)
預設域策略(default domain policy)
預設域控制器策略(default domain controllers policy)
gpo鏈結 只能鏈結到站點、域、ou
計算機配置 -- 只針對容器中的計算機生效。
使用者配置 -- 只針對容器中的使用者生效。
(6)組策略的簡單應用
① 禁止使用者修改桌面背景
控制面板 → 管理工具」→ 本地安全策略 → 執行secpol.msc命令 — 使用者配置 — 管理模板 — 控制面板 — 個性化 —雙擊阻止更改桌面牆紙—已啟用—確定
開始 — 執行 — gpupdate /force(強制重新整理策略)
(7)組策略的應用規則
① 策略繼承與阻止
下級容器可以繼承或阻止應用其上級容器的gpo設定
② 策略強制生效
使下級容器強制執行其上級容器的gpo設定
禁止修改個人主頁:使用者配置—管理模板—windows元件—internet explorer—禁用更改主頁設定。
③ 策略累加與衝突
多個gpo設定在不衝突的情況下累加如衝突後應用生效
④ 組策略應用順序:l
sdou
--- 首先本地組策略物件(local)
--- 如果有站點組策略(site),則應用之
--- 然後應用域組策略物件(domain)
--- 若當前計算機或使用者屬於某個ou,則應用之
--- 若當前計算機或使用者屬於某個子ou,則再應用之
本地組策略
站點域ou
如ou與子ou衝突,子ou生效
4、篩選組策略設定
篩選的作用:阻止乙個容器內的使用者或計算機應用其gpo設定
在組策略管理介面中—單擊指定的gpo—在右側視窗中選擇委派—高階—新增使用者—勾選拒絕讀取和應用組策略。
讀取和應用組策略的許可權
允許和拒絕
IIS與本地策略
今天配置了乙個iis,本地策略中,我把從遠端訪問計算機給關了,結果造成了我從本地以列表方式瀏覽web目錄時,總是出現網路登陸提示框,雖然不用輸入使用者名稱與密碼就可以訪問了,但還是比較煩人的,因為那個策略是我前兩天編輯的,所以我本以為和那個沒有關係的,結果重新檢測了一下iis的配置,沒有什麼問題呀!...
域策略下發bginfo
bginfo 是sysinternals 為實現域客戶端桌面顯示主機名 ip位址資訊和登入名的過程大致如下 用 bginfo 生成配置檔案 bginfo.bgi 把bginfo.exe bginfo.bgi 都放在乙個網路共享目錄中 寫乙個 bginfo.bat 指令碼讓客戶端能啟動共享目錄中 bg...
前端跨域策略
假設頁面和屬於不同域,a頁面請求b頁面的內容.利用document.domain實現跨域的前提是這兩個網域名稱必須屬於同乙個基礎網域名稱,協議埠都要一致。主要是父域和子域之間的通訊 此時雖然能正確得到window.name的值,但是由於每次iframe.src的載入都執行iframe.onload,...