本地策略 域策略

2021-08-19 02:18:38 字數 3133 閱讀 7720

本地策略、域策略

一、本地安全策略概述

1、本地安全策略:本地安全策略影響本地計算機的安全設定

2、開啟方法:

控制面板 → 管理工具」→ 本地安全策略 → 執行secpol.msc命令

3、本地安全策略的分類

本地安全策略主要包含:帳戶策略和本地策略。

4、帳戶策略(1

)密碼策略

①密碼必須符合複雜性需求:英文本母大小寫、數字、特殊符號四者取其三。

②密碼長度最小值:

設定範圍0-14,設定為0表示不需要密碼。

③ 密碼最長使用期限:預設42天,設定為0表示密碼永不過期,設定範圍0和999天之間的值。

④密碼最短使用期限:

設定為0表示隨時更改密碼

⑤強制密碼歷史:

最近使用過的密碼不允許再使用,設定範0-24,預設0表示隨意使用過去使用的密碼。(2

)帳戶鎖定策略

①賬戶鎖定閾值:輸入幾次錯誤密碼後,將使用者帳戶鎖定,設定範圍0-999,預設為0代表不鎖定帳戶.②③

重置帳戶鎖定計數器:使用者輸入密碼錯誤開始計時,當該時間過後,計數器重置為0。此時間必須小於或等於帳戶鎖定時間。

注:帳戶鎖定策略對本地管理員帳戶無效。

5、本地策略(1

)審核策略(2

)使用者許可權分配

使用者許可權分配的常用策略:

①關閉系統

;②更該系統時間

;③拒絕本地登入

、允許本地登入

(作為伺服器的計算機不能讓普通使用者互動式登入

使用者許可權分配|雙擊「允許在本地登入」,刪除「

users」)(

3)安全選項

安全選項常用策略

使用者試圖登入時訊息標題、訊息文字

網路訪問本地帳戶的共享和安全模式(經典和僅來賓)

使用空白密碼的本地帳戶只允許進行控制台登入

注:執行gpupdate使本地安全策略生效或重啟計算機

gpupdate  /force強制重新整理策略

二、本地組策略

1、組策略:一組策略的集合

2、組策略:包含計算機配置和使用者配置

3、執行gpedit.msc開啟本地組策略

4、本地組策略配置:

(1)遮蔽關閉windows server 2012關機理由

win + r --  gpedit.msc -- 執行 -- 單擊計算機配置 -- 管理模板 -- 系統 -- 顯示「關閉時間跟蹤程式」-- 選擇已禁用 -- 確定

(2)刪除開始選單中的關機、重新啟動、睡眠及休眠

win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- 開始選單和工作列 -- 雙擊右邊的刪除並阻止訪問關機、重新啟動、睡眠和休眠命令

-- 選擇已啟用

(3)刪除瀏覽器internet explorer的網際網路選項內的安全與鏈結選項卡

win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- windows元件 -- internet explorer -- internet控制面板 -- 雙擊禁用連線頁與禁用安全頁 -- 選擇已啟用

(4)將控制面板內的windows防火牆隱藏起來

win + r -- gpedit.msc -- 執行 -- 單擊使用者配置 -- 管理模板 -- 控制面板  -- 雙擊隱藏指定的控制面板項 -- 選擇已啟用 -- 顯示 -- 新增 windows 防火牆

三、域組策略概

1、組策略的作用

(1)組策略:一組策略的集合(與組沒關係)

(2)組策略的作用:

① 可以統一修改系統、設定程式;

② 調整桌面環境、安全設定、自動執行指令碼、軟體分發;

③ 對整個域設定組策略,可影響所有成員計算機和域使用者的工作環境;

④ 對ou設定組策略,可影響該ou下的所有計算機和和域使用者的工作環境;

⑤ 降低布置使用者和計算機環境的總費用,方便推行公司計算機使用規範及安全策略等。

(3)組策略的優點

① 減小管理成本,只需設定一次,相應的計算機或使用者即可應用;

② 減小使用者單獨配置錯誤的可能性

③ 可以針對特定物件設定特定的策略   使用者   計算機

(4)組策略物件

① 組策略的具體設定儲存在gpo中

儲存組策略的所有配置資訊      ad中的一種特殊物件

② 預設的兩個gpo(組策略)

預設域策略(default domain policy)

預設域控制器策略(default domain controllers policy)

gpo鏈結      只能鏈結到站點、域、ou

計算機配置 -- 只針對容器中的計算機生效。

使用者配置 -- 只針對容器中的使用者生效。

(6)組策略的簡單應用

① 禁止使用者修改桌面背景

控制面板 → 管理工具」→ 本地安全策略 → 執行secpol.msc命令 — 使用者配置 — 管理模板 — 控制面板 — 個性化 —雙擊阻止更改桌面牆紙—已啟用—確定

開始 — 執行 — gpupdate /force(強制重新整理策略)

(7)組策略的應用規則

① 策略繼承與阻止

下級容器可以繼承或阻止應用其上級容器的gpo設定

② 策略強制生效

使下級容器強制執行其上級容器的gpo設定

禁止修改個人主頁:使用者配置—管理模板—windows元件—internet explorer—禁用更改主頁設定。

③ 策略累加與衝突

多個gpo設定在不衝突的情況下累加如衝突後應用生效

④ 組策略應用順序:l

sdou

--- 首先本地組策略物件(local)

--- 如果有站點組策略(site),則應用之

--- 然後應用域組策略物件(domain)

--- 若當前計算機或使用者屬於某個ou,則應用之

--- 若當前計算機或使用者屬於某個子ou,則再應用之

本地組策略

站點域ou

如ou與子ou衝突,子ou生效

4、篩選組策略設定

篩選的作用:阻止乙個容器內的使用者或計算機應用其gpo設定

在組策略管理介面中—單擊指定的gpo—在右側視窗中選擇委派—高階—新增使用者—勾選拒絕讀取和應用組策略。

讀取和應用組策略的許可權

允許和拒絕

IIS與本地策略

今天配置了乙個iis,本地策略中,我把從遠端訪問計算機給關了,結果造成了我從本地以列表方式瀏覽web目錄時,總是出現網路登陸提示框,雖然不用輸入使用者名稱與密碼就可以訪問了,但還是比較煩人的,因為那個策略是我前兩天編輯的,所以我本以為和那個沒有關係的,結果重新檢測了一下iis的配置,沒有什麼問題呀!...

域策略下發bginfo

bginfo 是sysinternals 為實現域客戶端桌面顯示主機名 ip位址資訊和登入名的過程大致如下 用 bginfo 生成配置檔案 bginfo.bgi 把bginfo.exe bginfo.bgi 都放在乙個網路共享目錄中 寫乙個 bginfo.bat 指令碼讓客戶端能啟動共享目錄中 bg...

前端跨域策略

假設頁面和屬於不同域,a頁面請求b頁面的內容.利用document.domain實現跨域的前提是這兩個網域名稱必須屬於同乙個基礎網域名稱,協議埠都要一致。主要是父域和子域之間的通訊 此時雖然能正確得到window.name的值,但是由於每次iframe.src的載入都執行iframe.onload,...