本地策略、域策略

本地策略、域策略
一、本地安全策略概述
1、本地安全策略：本地安全策略影響本地計算機的安全設(shè)置
2、打開方法：
控制面板 → 管理工具”→ 本地安全策略 → 運行secpol.msc命令
3、本地安全策略的分類
本地安全策略主要包含：帳戶策略和本地策略。
4、帳戶策略
（1）密碼策略
① 密碼必須符合復(fù)雜性需求：英文字母大小寫、數(shù)字、特殊符號四者取其三。
② 密碼長度最小值：設(shè)置范圍0-14,設(shè)置為0表示不需要密碼。
③ 密碼最長使用期限：默認42天，設(shè)置為0表示密碼永不過期，設(shè)置范圍0和999天之間的值。
④ 密碼最短使用期限：設(shè)置為0表示隨時更改密碼
⑤ 強制密碼歷史：最近使用過的密碼不允許再使用，設(shè)置范0-24,默認0表示隨意使用過去使用的密碼。
（2）帳戶鎖定策略
① 賬戶鎖定閾值：輸入幾次錯誤密碼后，將用戶帳戶鎖定，設(shè)置范圍0-999,默認為0代表不鎖定帳戶.
② 帳戶鎖定時間：帳戶鎖定多長時間后自動解鎖，單位為分鐘，設(shè)置范圍0-99999,0表示必須由管理員手動解鎖。
③ 重置帳戶鎖定計數(shù)器：用戶輸入密碼錯誤開始計時，當(dāng)該時間過后，計數(shù)器重置為0。此時間必須小于或等于帳戶鎖定時間。 注：帳戶鎖定策略對本地管理員帳戶無效。
5、本地策略
（1）審核策略
（2）用戶權(quán)限分配
用戶權(quán)限分配的常用策略：
① 關(guān)閉系統(tǒng)；② 更該系統(tǒng)時間；③ 拒絕本地登錄、允許本地登錄（作為服務(wù)器的計算機不能讓普通用戶交互式登錄
用戶權(quán)限分配|雙擊“允許在本地登錄”，刪除“Users”）
（3）安全選項
安全選項常用策略
用戶試圖登錄時消息標(biāo)題、消息文本
網(wǎng)絡(luò)訪問本地帳戶的共享和安全模式（經(jīng)典和僅來賓）
使用空白密碼的本地帳戶只允許進行控制臺登錄
注：運行g(shù)pupdate使本地安全策略生效或重啟計算機
gpupdate /force強制刷新策略
二、本地組策略
1、組策略：一組策略的集合
2、組策略：包含計算機配置和用戶配置
3、運行g(shù)pedit.msc打開本地組策略
4、本地組策略配置：
（1）屏蔽關(guān)閉Windows Server 2012關(guān)機理由
Win + R -- gpedit.msc -- 運行 -- 單擊計算機配置 -- 管理模板 -- 系統(tǒng) -- 顯示“關(guān)閉時間跟蹤程序”-- 選擇已禁用 -- 確定
（2）刪除開始菜單中的關(guān)機、重新啟動、睡眠及休眠
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- 開始菜單和任務(wù)欄 -- 雙擊右邊的刪除并阻止訪問關(guān)機、重新啟動、睡眠和休眠命令
-- 選擇已啟用
（3）刪除瀏覽器Internet Explorer的因特網(wǎng)選項內(nèi)的安全與鏈接選項卡
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- Windows組件 -- Internet Explorer -- Internet控制面板 -- 雙擊禁用連接頁與禁用安全頁 -- 選擇已啟用
（4）將控制面板內(nèi)的Windows防火墻隱藏起來
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- 控制面板 -- 雙擊隱藏指定的控制面板項 -- 選擇已啟用 -- 顯示 -- 添加 Windows 防火墻
三、域組策略概
1、組策略的作用
（1）組策略：一組策略的集合（與組沒關(guān)系）
（2）組策略的作用：
① 可以統(tǒng)一修改系統(tǒng)、設(shè)置程序；
② 調(diào)整桌面環(huán)境、安全設(shè)置、自動執(zhí)行腳本、軟件分發(fā)；
③ 對整個域設(shè)置組策略，可影響所有成員計算機和域用戶的工作環(huán)境；
④ 對OU設(shè)置組策略，可影響該OU下的所有計算機和和域用戶的工作環(huán)境；
⑤ 降低布置用戶和計算機環(huán)境的總費用，方便推行公司計算機使用規(guī)范及安全策略等。
（3）組策略的優(yōu)點
① 減小管理成本，只需設(shè)置一次，相應(yīng)的計算機或用戶即可應(yīng)用；
② 減小用戶單獨配置錯誤的可能性
③ 可以針對特定對象設(shè)置特定的策略 用戶 計算機
（4）組策略對象
① 組策略的具體設(shè)置保存在GPO中
存儲組策略的所有配置信息 AD中的一種特殊對象
② 默認的兩個GPO（組策略）
默認域策略（Default Domain Policy）
默認域控制器策略（Default Domain Controllers Policy）
GPO鏈接 只能鏈接到站點、域、OU
（5）組策略編輯器包含：
計算機配置 -- 只針對容器中的計算機生效。
用戶配置 -- 只針對容器中的用戶生效。
（6）組策略的簡單應(yīng)用
① 禁止用戶修改桌面背景
控制面板 → 管理工具”→ 本地安全策略 → 運行secpol.msc命令 — 用戶配置 — 管理模板 — 控制面板 — 個性化 —雙擊阻止更改桌面墻紙—已啟用—確定
開始 — 運行 — gpupdate /force(強制刷新策略)
（7）組策略的應(yīng)用規(guī)則
① 策略繼承與阻止
下級容器可以繼承或阻止應(yīng)用其上級容器的GPO設(shè)置
② 策略強制生效
使下級容器強制執(zhí)行其上級容器的GPO設(shè)置
禁止修改個人主頁：用戶配置—管理模板—Windows組件—Internet Explorer—禁用更改主頁設(shè)置。
③ 策略累加與沖突
多個GPO設(shè)置在不沖突的情況下累加如沖突后應(yīng)用生效
④ 組策略應(yīng)用順序：LSDOU
--- 首先本地組策略對象（Local）
--- 如果有站點組策略（Site），則應(yīng)用之
--- 然后應(yīng)用域組策略對象（Domain）
--- 若當(dāng)前計算機或用戶屬于某個OU，則應(yīng)用之
--- 若當(dāng)前計算機或用戶屬于某個子OU，則再應(yīng)用之
本地組策略站點域OU
如OU與子OU沖突，子OU生效
4、篩選組策略設(shè)置
篩選的作用：阻止一個容器內(nèi)的用戶或計算機應(yīng)用其GPO設(shè)置
在組策略管理界面中—單擊指定的GPO—在右側(cè)窗口中選擇委派—高級—添加用戶—勾選拒絕讀取和應(yīng)用組策略。
讀取和應(yīng)用組策略的權(quán)限 允許和拒絕