51CTO下载-本地策略、域安全策略、域控制器安全策略小结

第一章安装和配置WindowsServer2003第四章域安全策略回顾上章内容如何创建、管理域用户账户？如何创建、管理、委派OU？如何实现漫游用户配置文件？AGDLP规则含义是什么？本章目标了解安全策略的类型掌握域安全策略的配置掌握域控制器安全策略的配置讲解本章目标WindowsServer2003安全策略简介本地安全策略强化单机系统的安全性域控制器计算机不能设置本地安全策略只对本机有效域安全策略强化整域内所有计算机的安全性域控制器策略强化域内所有域控制器计算机的安全性只能在域控制器计算机上设置域安全策略影响整个域中计算机的安全设置打开方式单击“开始”→“程序”→“管理工具”→“域安全策略”包含两个策略帐户策略本地策略帐户策略密码策略密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来存储密码帐户锁定策略帐户锁定阈值帐户锁定时间复位帐户锁定计数器Kerberos策略帐户策略举例实现目标域帐户密码长度最小为10，连续3次输错，帐户被锁定步骤（1）单击“开始”→“程序”→“管理工具”→“域安全策略”（2）选择“帐户策略”→“密码策略”，设置相应参数。（3）选择“帐户策略”→“帐户锁定策略”，设置相应参数。（4）设置完毕，刷新域安全策略。（5）修改某个帐户的密码，验证密码策略是否起作用。（6）使用域帐户登录测试本地策略审核策略是否在安全日志中记录登录用户的操作事件用户权限分配关闭系统更改系统时间拒绝本地登录允许在本地登录安全选项控制一些和操作系统安全相关的设置本地策略应用举例用户权限分配授予某用户向域中添加工作站的权限步骤（1）单击“开始”→“程序”→“管理工具”→“域安全策略”，展开“本地策略”→“用户权限分配”（2）双击“域中添加工作站”，添加相应的帐户（3）在“开始”→“运行”中，输入“gpupdate”（4）测试审核文件及文件夹审核策略审核文件及文件夹事件查看器审核策略常用审核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组；重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核文件及文件夹步骤启用对象访问审核策略设置需要审核的文件或文件夹事件查看器2-1应用程序日志应用程序或系统程序记录的事件安全性日志登录尝试以及记录与资源使用相关的事件系统日志Windows系统组件记录的事件安装了其他服务则可能会增加日志类型目录服务文件复制服务DNS服务器事件查看器2-2事件类型错误:红色警告:黄色信息:白色成功审核:钥匙失败审核:锁保存日志审核文件或文件夹的实现步骤（1）启用域或者本机的审核策略中的审核对象访问策略，并刷新策略。（2）文件夹或者文件的“安全”→“高级”→“审核”中，添加审核账户及审核项目（3）使用用户访问该文件夹或者文件（4）使用“事件查看器”，查看“安全”日志教师演示并讲解相关理论小结WindowsServer2003可以设置那三个安全策略？密码策略包含哪些选项？帐户锁定策略哪些选项？本地策略有哪几部分？如何实现文件及文件夹审核？域控制器安全策略域控制器安全策略与本地安全策略的区别影响的计算机•前者影响DC•后者影响非DC打开方式•“开始”→“程序”→“管理工具”→“域控制器安全策略”帐户策略中有何异同•前者有Kerberos策略•与域用户帐户的登录有关域控制器安全策略应用举例目标某个普通域帐户需要在DC上登录步骤（1）打开“域控制器安全策略”→“安全设置”→“本地策略”→“用户权限分配”，（2）双击“允许在本地登录”，添加需要在DC上登录的用户帐户。（3）在“开始”→“运行”中，输入“gpupdate”（4）验证该普通用户能否在DC上登录。三种策略的关系三种安全策略的关系成员计算机和域的设置项冲突时，域安全策略生效域控制器和域的设置项冲突时，域控制器安全策略生效•本地安全策略•域控制器安全策略•域安全策略举例验证验证在客户机上域安全策略高于本地安全策略在域控制器上域控制器安全策略高于域策略以本地选项的设置项为例交互式登录：用户试图登录时消息标题交互式登录：用户试图登录时消息文字教师演示并讲解相关理论总结密码策略包含哪些选项？帐户锁定策略哪些选项？本地策略有哪几部分？如何实现文件及文件夹审核？本地安全策略、域安全策略、域控制器安全策略三者关系？总结并布置作业