windows系統(tǒng)客戶機(jī)管理的安全策略

    window系統(tǒng)管理中管理員要實(shí)現(xiàn)對(duì)客戶機(jī)的管理,戰(zhàn)略恐怕是最主要的利器,下面我就對(duì)我平時(shí)罕見(jiàn)的戰(zhàn)略做下分析理清各個(gè)策略之間的關(guān)系及其在實(shí)際中的應(yīng)用.

1.組策略:什么是組策略呢?組策略是一個(gè)允許執(zhí)行針對(duì)用戶或計(jì)算機(jī)進(jìn)行配置的基礎(chǔ)架構(gòu),這是最常用的組策略中我可以制定各種規(guī)章制度,其中計(jì)算機(jī)配置是針對(duì)所用登陸到計(jì)算機(jī)的用戶都生效和用戶配置則是針對(duì)系統(tǒng)的當(dāng)前用戶,管理員在運(yùn)用過(guò)程中主要是運(yùn)用gpmc來(lái)實(shí)現(xiàn)對(duì)域模式下計(jì)算機(jī)的管理,2003中g(shù)pmc這個(gè)工具要去微軟官網(wǎng)下載,2008則是系統(tǒng)集成的組策略和A ctivDirectory結(jié)合使用,可以安排在OU站點(diǎn)和域的級(jí)別上,當(dāng)然也可以部署在外地計(jì)算機(jī)上,但部署在外地計(jì)算機(jī)并不能使用組策略中的全部功能,只有和A ctivDirectory配合,組戰(zhàn)略才可以發(fā)揮出全部潛力。組策略部署在不同級(jí)別的優(yōu)先級(jí)是不同的外地計(jì)算機(jī)<站點(diǎn)<<OU可以根據(jù)管理任務(wù),為組策略選擇合適的布置級(jí)別。 組策略對(duì)象存儲(chǔ)在兩個(gè)位置,鏈接GPOA ctivDirectory容器和域控制器上的Sysvol文件夾。GPO組策略對(duì)象的縮寫,GPO組策略設(shè)置的集合, 存儲(chǔ)在A ctivDirectory中的一個(gè)虛擬對(duì)象。GPO由組策略容器GPC 和組策略模板GPT組成,GPC包括GPO屬性信息,存儲(chǔ)在域中每臺(tái)域控制器活動(dòng)目錄中;GPT 包括GPO 數(shù)據(jù),存儲(chǔ)在Sysvol  /Policies 子目錄下。

      組戰(zhàn)略管理可以通過(guò)組戰(zhàn)略編輯器和組策略管理控制臺(tái)(GPMC組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具,可以修改GPO中的設(shè)置。GPMC則是功能更強(qiáng)大的組策略編輯工具,GPMC可以創(chuàng)立,管理,安排GPO最新的GPMC可以從微軟網(wǎng)站下載。推薦大家運(yùn)用gpmc進(jìn)行管理,打開(kāi)結(jié)構(gòu)化的管理面板,即體現(xiàn)出整個(gè)域的結(jié)構(gòu),又直觀的表示出組策略的層次感。GPMC中 具體的戰(zhàn)略寫好了并不影響具體對(duì)象 OU站點(diǎn) 域)要連接到具體的OU上當(dāng)前的GPO才會(huì)生效。鏈接起來(lái)很容易,只需要拖拽住一條GPO某一個(gè)對(duì)象(OU站點(diǎn)、域)上就可以了 可以運(yùn)用組策略來(lái)實(shí)現(xiàn)軟件的分發(fā),桌面的統(tǒng)一,補(bǔ)丁的管理,及其注冊(cè)表限定USB禁用等功能。

2.外地戰(zhàn)略,域控制器策略,域策略:大家可能有時(shí)候分不清其中的關(guān)系,給大家解釋下,外地戰(zhàn)略是針對(duì)當(dāng)前計(jì)算機(jī)的剛安裝還系統(tǒng)時(shí),就自動(dòng)生成,可以用administr進(jìn)入進(jìn)行相應(yīng)的設(shè)置。下面2個(gè)策略則是針對(duì)ad環(huán)境下的其中域控制器策略是針對(duì)dc設(shè)置的只對(duì)dc生效,而域策略則是針對(duì)當(dāng)下域環(huán)境下所有的機(jī)器。成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí),域安全策略生效,域控制器和域的設(shè)置項(xiàng)沖突時(shí),域控制器安全策略生效。

下面我就舉個(gè)例子說(shuō)下本地安全策略的各個(gè)選項(xiàng)的意思

打開(kāi)計(jì)算機(jī)-順序-管理-外地平安戰(zhàn)略

1.賬戶戰(zhàn)略: 密碼戰(zhàn)略;主要設(shè)定用戶登錄密碼的復(fù)雜水平

        賬戶鎖定戰(zhàn)略:帳戶鎖定閾值:就是設(shè)定用戶在輸入錯(cuò)誤密碼的情況下,可以登錄幾次

 帳戶鎖定時(shí)間:顧名思義就是賬戶鎖定的時(shí)間,要過(guò)多長(zhǎng)時(shí)間這個(gè)賬戶才可以從新登錄

復(fù)位帳戶鎖定計(jì)數(shù)器:記錄用戶登錄輸入密碼錯(cuò)誤的次數(shù)

如我設(shè)定帳戶鎖定閾值為3帳戶鎖定時(shí)間30分鐘復(fù)位帳戶鎖定計(jì)數(shù)器2意思是輸入3次密碼錯(cuò)誤的情況下,再輸入錯(cuò)誤了賬戶鎖定30分鐘,只有兩次這樣連續(xù)輸入3次密碼錯(cuò)誤的機(jī)會(huì)。

2.外地戰(zhàn)略:審核戰(zhàn)略:主要是一些事件記錄

用戶權(quán)利指派:把用戶加入不同的組,使之有不同權(quán)限,如我把用戶張三加入administratior組,張三就有了管理員的權(quán)限

c平安選項(xiàng):系統(tǒng)的一些關(guān)于安全的自定設(shè)置,如交互登錄

北大青鳥(niǎo)網(wǎng)上報(bào)名
北大青鳥(niǎo)招生簡(jiǎn)章