本地安全策略与组策略管理
一、本地安全策略
本地安全策略影响本地计算机的安全设置
两种打开方式:
开始→Windows管理工具→本地安全策略
运行secpol.msc命令
1.帐户策略设置
A.密码策略:
密码必须符合复杂性要求
密码长度最小值
密码最长使用期限
密码最短使用期限
强制密码历史
用可还原的加密来储存密码
B.帐户锁定策略:
账户锁定阈值
账户锁定时间
重置账户锁定计数器
2.本地策略
A.审核策略
通过审核(auditing)可以让系统管理员来跟踪是否有用户访问计算机内的资源、跟踪计算机运行情况等。审核工作通常需要经过以下三个步骤:
启用审核策略:Administrators成员才有权限
设置将要审核的资源:必须有管理审核及安全日志权限的用户才可以审核资源,默认是 Administrators成员才有此权限。
查看安全日志文件:管理工具–事件查看器–windows日志–安全
案例1:审核策略更改行为
案例2:审核账户登录访问行为
案例3:审核系统事件行为
案例4:审核目录访问行为
B.用户权限分配:
允许本地登录、拒绝本地登录、允许用户直接在本台计算机上按ctrl+alt+del键、将工作站添加到域中、闭系统、更改系统时间…
C.安全选项:
交互登录:无须按ctrl+alt+del键、不显示最后的用户名、提示用户密码过期前更改密码、试图登录的用户的消息文本、试图登录的用户的消息标题…
二、本地组策略
组策略概述
一组策略的集合
用来统一修改系统、设置程序
组策略的优点
减小管理成本
减小用户单独配置错误的可能性
可以针对特定对象设置特定的策略
组策略对象
GPO (Group Policy Object)的概念
存储组策略的所有配置信息
AD中的一种特殊对象
默认GPO
默认域策略: 影响域中所有的用户和计算机
默认域控制器策略: 影响组织单位“Domain Controllers”中所有的用户和计算机。
GPO链接
只能链接到站点、域、OU
站点的概念 :
活动目录中的站点是从物理上抽象的概念
由一个或几个通过高速链路连接在一起的IP子网组成
站点和域的关系:
一个站点中可以有多个域
一个域中可以有多个站点
站点的主要作用:
优化复制
使用户能够使用可靠、高速的连接登录到域控制器上
域内的策略:在域内可以针对站点、域或组织单元来设置组策略,其中的域组策略内的设置会被应用到域内所有计算机与用户,而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。
对于加入到域的计算机来说,如果两者有冲突,以域或组织单元组策略的设置优先,本地策略无效。
打开方式:运行gpedit.msc命令
1、计算机配置/对计算机生效
案例1:当要将windows server 2016计算机关机时,系统会要求提供关机理由。通过本地策略设置关闭提供关机理由。在开机时不显示管理您的服务器页
操作流程:开始—运行—gpedit.msc----计算机配置—管理模板----系统—
显示关闭事件跟踪程序—已禁用
案例2:开机不显示三键
操作流程:计算机配置–>Windows设置–>安全设置–>本地策略,这时在本地策略下面可见到有“安全选项”,点击“安全选项”在右侧的框内找到“交互式登录:无须按CTRL+ALT+DEL”
2、用户配置/对用户生效
案例1:删除开始菜单中的关机、重启、睡眠、休眠
操作流程:用户配置–管理模板–开始菜单和工具栏–双击右边的删除并阻止访问关机、重启、睡眠、休眠—选择已启用
案例2:删除IE因特网选项的安全与连接选项卡
操作流程:用户配置–管理模板–windows组件–IE–internet控制面板–
分别双击禁用连接页与禁用安全页—已启用
案例3:隐藏windows 防火墙
操作流程:用户配置–管理模板–控制面板–隐藏指定的控制面板–已启用–显示–添加–输入:windows 防火墙–单击三次确定
默认的两条GPO:
1、默认域策略
(1)本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。
(2)本地计算机何时才会应用在域策略内有变动的设置呢?
本地安全策略有变动时;
本地计算机重启时;
DC每5分钟自动应用;
不是DC每隔90-120分钟会自动应用;
所有计算机每隔16小时强制应用,即使无更改。
手动应用域策略:gpupdate或gpupdate /force
2、默认域控制器策略
只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计算机和用户
所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。
默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全策略无效。
三、组策略规则
组策略应用顺序:本地组策略站点域OU
如果在一个对象上存在多个GPO策略,那么按照GPO策略编号从高往低执行,最后执行的策略生效。
所有的策略应用都需要遵循以下几种规则:
1.继承与阻止
2.累加与冲突
3.强制生效
4.筛选
让特定的对象应用组策略
筛选的配置方法:
1.选中OU下的GPO
2.点击GPO中的"委派"
3.点击右下角"高级"
4.点击"添加"
5.添加要排除的用户并在权限栏中,选择"应用组策略"—>“拒绝”
四、组策略的使用
组策略内的设置分为:策略、首选项
只有域内的组策略才有首选项功能,本地计算机策略无此功能。
首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。
策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。
若要筛选策略设置,必须针对整个GPO来筛选,而首选项可以针对单一设置项目来设置。
案例1:
已部署Windows Server 2016域,财务部员工计算机位于OU“财务部”中
要求财务部的所有计算机都要自动下载并安装系统补丁
注意:配置组策略时勾上“安装其他更新产品”
案例2:
已部署Windows Server 2016域,销售部员工用户位于OU“销售部”中
要求销售部员工使用统一的桌面背景,禁止更改桌面背景
步骤:
1.选取壁纸:格式最好和真实使用的规格一致且为*.jgp格式
2.新建文件夹存放壁纸,共享该文件夹
3.在策略编辑的“桌面墙纸”中路径为“\IP\共享文件夹名称\壁纸名称.jpg”
4.域控制器命令刷新组策略,客户端验证
案例3:
软件分发,通过在DC中部署多台客户端需要安装的软件,实现客户端批量安装软件。
已发布:选择安装或者不安装,计算机没有此选项
已分配:强制安装
设置软件分发步骤:
以用户为例:
注意:需提前共享包含要安装以.msi后缀的软件,设置允许相关用户能够访问到该共享目录。
1.指定域中所有计算机的网关,网关必须是当前可使用的计算机IP地址,最终在网卡显示界面中,会显示当前域名,而非"未识别网络"
2.双击打开"网络",确认能够看到域中所有的计算机
注意:发布软件时需要在网络中看到本机
在"服务"中将以下两个服务设置为自动启动,并重启这两个服务可解决该问题:
Function Discovery Provider Host
Function Discovery Resource Publication
3.找到"组策略管理"—>“caiwubu"OU进行鼠标右键创建GPO,并鼠标右键编辑该GPO
4.找到用户配置—>策略—>软件设置—>软件安装,鼠标右键点击属性,在属性中点击浏览找到该服务器计算机名,打开选中要分发的软件所在共享目录
5.在该界面中继续选择安装方式:发布/分配,最后应用
6.继续右键点击软件安装—>新建—>数据包,这时将会从网络位置该计算机中打开带有要分发软件的共享文件夹,只需要选择要分发的软件,点击确认即可
7.等待几秒钟后在操作台中间空白处将会出现任务记录,选中该任务记录鼠标右键属性,打开"部署"选项卡—>部署选项—>勾中"在登录时安装此应用程序”
8.应用当前修改,并通过gpupdate /force 刷新组策略,重启客户机验证是否安装。
可以使用VERITAS Discover和Advanced Installer等第三方软件将.exe格式文件转换为.msi格式文件。
其他案例:
案例1:业务部所有用户登录时,其磁盘Z:会自动连接到\server\tools共享文件夹;另外还要使用筛选功能来设置只有业务部的用户paul登录时,其磁盘Y:会连接到\server\database共享文件夹,而业务部的其他用户登录时不会产生Y:磁盘。
操作流程:组策略–用户配置–首选项–windows设置–右击驱动器映射–新建驱动器映射–操作:更新–位置:共享文件夹的路径–重新连接:打钩–驱动器号:Z—公用—在登录用户的安全上下文件中运行(用户策略选项)
组策略--用户配置--首选项--windows设置--右击驱动器映射--新建驱动器映射--操作:更改--位置:共享文件夹的路径--重新连接:打钩--驱动器号:Y---公用---在登录用户的安全上下文件中运行(用户策略选项),项目级别目标---目标---新建项目--用户
案例2:让业务部用户登录时会自动连接网络打印机
操作流程:用户配置–首选项–控制面板设置–右击打印机–新建–共享打印机
案例3:禁止生产部用户运行IE浏览器,生产部经理除外。
操作流程:用户配置–管理模板–系统–不要运行指定的windows应用程序–已启用–显示–添加–输入:iexplore.exe–单击3次确定
课后作业
1、域用户登录桌面后自动加入本地administrators管理员组
2、域用户登录桌面后自动禁用本地guest来宾用户
3、域用户登录桌面后控制面板隐藏用户账户
4、域用户登录桌面后自动创建公司共享快捷方式
5、域用户登录桌面后自动创建百度网页快捷方式URL
6、域用户登录桌面后自动创建驱动器映射公司共享
7、域用户登录桌面后禁用计算管理的本地用户和组
8、域用户登录桌面后自动推送批处理安装压缩包软件
9、域用户登录桌面后提示组策略限制安装QQ软件
10、已部署Windows Server 2016域,“销售部”组中包含销售部员工用户账户UserA、UserB,“财务部”组中包含财务部员工用户账户UserC
需求描述
销售部的所有员工设置密码长度为9,并且每个月都要修改一次密码
财务部的员工设置密码的长度为20,允许登陆尝试次数为3次,一旦账户被锁定,必须由管理员手动解锁该账户
版权归原作者 谁是幸运儿 所有, 如有侵权,请联系我们删除。