本地策略、域策略

本地策略、域策略
一、本地安全策略概述
1、本地安全策略:本地安全策略影响本地计算机的安全设置
2、打开方法:
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令
3、本地安全策略的分类
本地安全策略主要包含:帐户策略和本地策略。
4、帐户策略
(1)密码策略
① 密码必须符合复杂性需求:英文字母大小写、数字、特殊符号四者取其三。
② 密码长度最小值:设置范围0-14,设置为0表示不需要密码。
③ 密码最长使用期限:默认42天,设置为0表示密码永不过期,设置范围0和999天之间的值。
④ 密码最短使用期限:设置为0表示随时更改密码
⑤ 强制密码历史:最近使用过的密码不允许再使用,设置范0-24,默认0表示随意使用过去使用的密码。
(2)帐户锁定策略
① 账户锁定阈值:输入几次错误密码后,将用户帐户锁定,设置范围0-999,默认为0代表不锁定帐户.
② 帐户锁定时间:帐户锁定多长时间后自动解锁,单位为分钟,设置范围0-99999,0表示必须由管理员手动解锁。
③ 重置帐户锁定计数器:用户输入密码错误开始计时,当该时间过后,计数器重置为0。此时间必须小于或等于帐户锁定时间。 注:帐户锁定策略对本地管理员帐户无效。
5、本地策略
(1)审核策略
(2)用户权限分配
用户权限分配的常用策略:
① 关闭系统;② 更该系统时间;③ 拒绝本地登录、允许本地登录(作为服务器的计算机不能让普通用户交互式登录
用户权限分配|双击“允许在本地登录”,删除“Users”)
(3)安全选项
安全选项常用策略
用户试图登录时消息标题、消息文本
网络访问本地帐户的共享和安全模式(经典和仅来宾)
使用空白密码的本地帐户只允许进行控制台登录
注:运行gpupdate使本地安全策略生效或重启计算机
gpupdate /force强制刷新策略
二、本地组策略
1、组策略:一组策略的集合
2、组策略:包含计算机配置和用户配置
3、运行gpedit.msc打开本地组策略
4、本地组策略配置:
(1)屏蔽关闭Windows Server 2012关机理由
Win + R -- gpedit.msc -- 运行 -- 单击计算机配置 -- 管理模板 -- 系统 -- 显示“关闭时间跟踪程序”-- 选择已禁用 -- 确定
(2)删除开始菜单中的关机、重新启动、睡眠及休眠
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 开始菜单和任务栏 -- 双击右边的删除并阻止访问关机、重新启动、睡眠和休眠命令
-- 选择已启用
(3)删除浏览器Internet Explorer的因特网选项内的安全与链接选项卡
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- Windows组件 -- Internet Explorer -- Internet控制面板 -- 双击禁用连接页与禁用安全页 -- 选择已启用
(4)将控制面板内的Windows防火墙隐藏起来
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 控制面板 -- 双击隐藏指定的控制面板项 -- 选择已启用 -- 显示 -- 添加 Windows 防火墙
三、域组策略概
1、组策略的作用
(1)组策略:一组策略的集合(与组没关系)
(2)组策略的作用:
① 可以统一修改系统、设置程序;
② 调整桌面环境、安全设置、自动执行脚本、软件分发;
③ 对整个域设置组策略,可影响所有成员计算机和域用户的工作环境;
④ 对OU设置组策略,可影响该OU下的所有计算机和和域用户的工作环境;
⑤ 降低布置用户和计算机环境的总费用,方便推行公司计算机使用规范及安全策略等。
(3)组策略的优点
① 减小管理成本,只需设置一次,相应的计算机或用户即可应用;
② 减小用户单独配置错误的可能性
③ 可以针对特定对象设置特定的策略 用户 计算机
(4)组策略对象
① 组策略的具体设置保存在GPO中
存储组策略的所有配置信息 AD中的一种特殊对象
② 默认的两个GPO(组策略)
默认域策略(Default Domain Policy)
默认域控制器策略(Default Domain Controllers Policy)
GPO链接 只能链接到站点、域、OU
(5)组策略编辑器包含:
计算机配置 -- 只针对容器中的计算机生效。
用户配置 -- 只针对容器中的用户生效。
(6)组策略的简单应用
① 禁止用户修改桌面背景
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令 — 用户配置 — 管理模板 — 控制面板 — 个性化 —双击阻止更改桌面墙纸—已启用—确定
开始 — 运行 — gpupdate /force(强制刷新策略)
(7)组策略的应用规则
① 策略继承与阻止
下级容器可以继承或阻止应用其上级容器的GPO设置
② 策略强制生效
使下级容器强制执行其上级容器的GPO设置
禁止修改个人主页:用户配置—管理模板—Windows组件—Internet Explorer—禁用更改主页设置。
③ 策略累加与冲突
多个GPO设置在不冲突的情况下累加如冲突后应用生效
④ 组策略应用顺序:LSDOU
--- 首先本地组策略对象(Local)
--- 如果有站点组策略(Site),则应用之
--- 然后应用域组策略对象(Domain)
--- 若当前计算机或用户属于某个OU,则应用之
--- 若当前计算机或用户属于某个子OU,则再应用之
本地组策略站点域OU
如OU与子OU冲突,子OU生效
4、筛选组策略设置
筛选的作用:阻止一个容器内的用户或计算机应用其GPO设置
在组策略管理界面中—单击指定的GPO—在右侧窗口中选择委派—高级—添加用户—勾选拒绝读取和应用组策略。
读取和应用组策略的权限 允许和拒绝

原文地址:http://blog.51cto.com/13700952/2105575

时间: 2024-10-08 07:08:07

本地策略、域策略的相关文章

java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessController的checkPerssiom方法,访问控制器AccessController的栈检查机制又遍历整个 PerssiomCollection来判断具体拥有什么权限一旦发现栈中一个权限不允许的时候抛出异常否则简单的返回,这个过程实际上比我的描述要复杂 得多,这里我只是简单的一句带过,因为这

域策略应用简述

SERVER 2012 R2域策略应用简述 一.       域的层级关系 理解:域结构中主要有三个重要对象(域,OU,用户和计算机),他们在域环境中呈现出一种至上而下的层级关系. 二.       域对象介绍 作为域结构中的顶层对象,域好比是一家公司,其中包含有部门(OU)和部门员工(用户和计算机),而且一个域里可以根据需要建立多个OU,用户和计算机根据实际情况移动到不同的OU里. 需要明确一点:计算机在加入域之后默认存在于域的Computer容器里,我们可以根据需要将Computer容器里的

flash跨域策略文件crossdomain.xml配置详解

来源:http://www.2cto.com/Article/201108/100008.html 0x01 简介 flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据. 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功:若crossdomain.xml文件存在,且里边设置

关于跨域策略文件crossdomain.xml文件

下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:. text=Error #2048: 安全沙箱冲突:http://localhost:8080/UpLoadAndDownLoad/FlexPaper.swf 不能从 http://

ajax本地跨域请求以及解决方法

什么是跨域? ??我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景.所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源,只要没有同时满足这三个条件的请求即为跨域请求,跨域请求控制台一般会出现类似错误: XMLHttpRequest cannot load http://xxxxx.php. No 'Access-Control-Allow-Origin' header is present on the requested reso

本地跨域操作iframe的提示

Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Blocked a frame with origin "null" from accessing a frame with origin "null". Protocols, domains, and ports must match. 不想说什么,知道跨域就可以了 本地跨域操作iframe的提示

域组策略--+域控中组策略基本设置

域控中组策略基本设置 计算机配置:要重启生效                  用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!  -----gpmc.msi (工具) 使用:运行--->gpmc.msc                如下键面: 文件夹重定向: 1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!) 2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 给域用户基本权限(Domain user),但有

前端JS跨域策略

方案:由于html的同源策略不能访问,利用javascript中src属性的开放策略解决 这种策略为jsonp:JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题 跨域思想: 1.利用javascript中的src属性 2.定义回调函数callback(data) 3.将返回值结果进行特殊格式的封装 callback (JSON数据) 原文地址:https://www.cnblogs.com/yunianzeng/p/12053

PowerShell 脚本域策略管理

大中型企业中,会设置许多组策略进行日常运维管理 ,毕然里面也存在许多废弃的策略,需要我们定期清理我们的组策略信息.通常我们导出HTML报告方式来帮助我们分析组策略信息: #1 首先需要加载GroupPolicy模块: Import-Module GroupPolicy 将GPO导出为一个HTML报告: Get-GPOReport -All -ReportType html -Path C:\GPOReports\GposReport.html #2 将每个GPO导出生成自己的HTML报告中: G