一、帐户策略
1.密码策略:
密码复杂性要求默认是开启的。
密码长度最小值默认为7个字符,最长使用期限默认42天,强制密码历史默认24个,都可以根据需要更改。
注意:默认情况下,成员计算机的配置与域控的配置相同,要维持密码历史记录的有效性,则需启用密码最短使用期限来阻止更改密码,如果这里的密码配置与用户属性配置选项冲突,则与用户属性配置为准。
2.帐户锁定策略,次数太少维护会过于频繁,次数太多存在安全隐患,建议设置5次无效登陆后锁定。
二、本地策略
1.审核策略配置
可查看对应策略的解释。
2.安全选项
安全设置和安全策略是用于保护计算机或网络上的资源,安全设置可以控制:
a.用户访问网络或计算机的身份认证方式。
b.授权用户可使用的资源。
c.用户或组操作都被记录在事件日志。
三、受限制的组
有些时候,为了某些需要(比如安装软件),把用户帐号添加进了管理员组,在事情处理好后却又忘了删除,此时受限制的组就可以发挥作用了。
下图为客户端管理员组,里面有个Rickey用户。
我们可以在策略里面做出如下设置,右键“受限制的组”-“添加组”:
起名administrators,然后添加本地管理员及域管理员帐号。
刷新策略后,我们再来看看客户端管理员组,你会发现Rickey帐号已经没有了。
四、系统服务
你可根据需要如下图定义策略,只保留管理员才能控制的权限。
五、注册表
你可以根据需要右键注册表,赋予用户控制权限。
六、文件系统
右键文件系统-添加文件,系统目录下新建名为czy的文件夹,赋予用户完全拒绝权限,刷新策略后,所有域计算机系统目录下如有czy文件夹的话则无法访问。
七、软件限制策略
默认为所有软件都允许运行,我们可以新建一规则来拒绝某程序运行,下面以文本程序为例,右键其他规则,新建哈希规则:
点击浏览,把文本程序路径copy到文件名位置,点击打开(这里一定要注意,不要把路径直接COPY到文件哈希位置了,否则无效)。
打开后则会计算出哈希值,应用确定刷新策略,文本程序就不可用了:
以上为活动目录组策略安全设置的一些常用选项,其它的还有很多设置则需根据现实需要决定是否配置。
