实验六(设置安全策略).docVIP

第六章：设置安全策略 实验背景 某公司所有员工的初始密码为123。管理员担心公司员工更改的密码过于简单，容易被扫描软件扫描扫到，同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器，管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象，管理员需要查找是否有人有意的删除文件。 由于域用户帐号一旦登录域内成员主机成功，访问文件服务器不在需要做身份验证，为了放置有人恶意尝试用户密码，公司要求所有员工有三次输入密码机会，三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定，不得不频繁找管理员，管理员需设定用户帐号的30分钟自动解锁。 公司有人反应访问加入域后，用域用户帐号登录后不能自动关机，公司要求所有员工下班必须关机离开，管理员解决这个问题。 有部分输入domain users组的员工需要登录域控制器，可这些员工反应他们无法登录域控制器，管理员解决这个问题 文件服务器公司要求所有员工可以网络访问，但不可以对文件服务器本地登录，公司要求管理员完成，并对文件服务器做登录审核。 对于文件服务器，公司要求本地登录成功后需要提示：标题 ：重要警告 ，内容：服务器重地，请不要做任何删除和剪切。 实验目标 1 所有域用户帐号在设置密码时，必须符合复制密码要求，密码长度至少7位，密码必须每60天更新一次 2 设置三次密码锁定，设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核，对文件服务器启动对象审核 4 把域用户帐号加入关闭系统，保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问，对文件服务器启动审核 7 对文件服务器设置登录提示 实验环境 1 一人一组 2 准备2台Windows Server 2003 虚拟机（1台域控制器，1台成员主机） 3 实验网络为192.168.8.0/24 实验步骤： 1 在域控制器上完成 以域管理员登录域控制器，设置域安全策略 gpupdate更新域安全策略 创建用户帐号test 重启成员主机，用test帐号登录 输入简单密码123 输入正确密码 2 在域控制器上以域管理员登录 更新域测试 重新启动成员主机，故意输入密码3次错误 输入正确密码，帐号已经被锁定 思考：test帐号即使用正确密码都没有办法登录，目前用什么方法可以让test帐号马上登录成功。 在test帐号锁定的状态下，如果在另外一个域内的成员主机上用test登录，可以登录成功吗？ 3 域管理员在域控制器上设置域控制器安全策略的登录审核 利用gpupdate更新策略。 登录域控制器查看结果 查看登录日志 思考：如果域管理员administrator登录成员主机，会有日志结果吗。注意取消本地策略设置。 域管理员在域控制器上设置域安全策略 在文件服务器上对公司资料设置everyone审核 以test帐号登录文件服务器，删除文件，查看结果 思考，用test帐号本身可以查看事务日志吗 4 用域用户帐号test在成员主机上登录，关机结果为 域管理员在域控制器上设置域安全策略 gpupdate更新策略 重新启动成员成员主机，用test帐号登录，可关机 以test帐号在域控制器上登录 思考：此系统的本地策略不允许您交互登录和密码帐号不匹配有什么区别。分别发生在什么场景下 域管理员在域控制器设置域控制器安全策略 更新策略 重新启动域控制器，用test登录验证结果 6 尝试网络登录文件服务器，可以成功 域管理员在域控制器上设置域安全策略拒绝网络访问 更新策略 重新启动成员主机，验证结果 7 域管理员设置文件服务器的本地策略 注销文件服务器，登录查看结果 实验问题 1 密码策略包含哪些选项 2账户锁定策略哪些选项 3本地安全策略，域控制器安全策略，域安全策略三种策略之间的关系，及各自生效的范围。 成员计算机和域的设置项冲突时，什么策略生效 域控制器和域的设置项冲突时，什么策略生效 4审核策略包含哪些内容 5审核文件及文件夹主要步骤有哪些 6 域管理员登录文件服务器，他发现帐号策略，和密码策略为不可设置状态，为什么会这样， 7 用户每次登录都会显示上次登录帐号，如何取消以加强安全性。 工作组模式下，文件服务器帐号小王为空密码，小王发现登录系统后无法用小王访问文件服务器，如何解决 （这道题目为可选答题，基础好的同学思考回答）