Windows全指南之域级别策略.docVIP

Windows安全指南之域级别策略 简介 可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住，在 Microsoft Active Directory 中设置这些策略时，Microsoft Windows 仅允许一个域帐户策略：应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何 Windows 系统的默认帐户策略。此规则的唯一例外情况是，当为组织单位定义了另外一个帐户策略时。组织单位 (OU) 的帐户策略设置将影响到该 OU 中任何计算机上的本地策略。本模块将通篇讨论其中每种类型的设置。 帐户策略 帐户策略是在域级别上实现的。Microsoft Windows Server 2003 域必须有一个针对该域的密码策略、帐户锁定策略和 Kerberos V5 身份验证协议。在 Active Directory 中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组，应根据任何其他要求将这些组分段到另一个域或目录林。 在 Windows 和许多其他操作系统中，验证用户身份最常用的方法是使用秘密通行码或密码。确保网络环境的安全要求所有用户都使用强密码。这有助于避免未经授权的用户猜测弱密码所带来的威胁，他们通过手动的方法或工具来获取已泄密用户帐户的凭据。这一点对于管理帐