02-BOC-INFR-AD-PLN-活动目录组策略设计讲述.docx

中国银行微软柜员前端项目 活动目录组策略设计 微软(中国)有限公司企业服务部  DATE \@ yyyy年M月 \* MERGEFORMAT 2009年3月  文档历史记录 编号日期版本描述作者审阅者12009-3-19V0.1初稿林宇明  PAGE \* MERGEFORMAT I 目录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc225171120 第1章 本地缓存的作用  PAGEREF _Toc225171120 \h 1  HYPERLINK \l _Toc225171121 第2章 开启缓存的可行性方案  PAGEREF _Toc225171121 \h 2  微软中行项目小组 Page  PAGE 78 of  SECTIONPAGES \# 0 \* Arabic 78 域基准策略 PO-Basic-V0.2 计算机配置(已启用) 策略 Windows 设置 安全设置 帐户策略/密码策略 策略设置密码必须符合复杂性要求已启用强制密码历史24 个记住的密码用可还原的加密来储存密码已禁用最长密码期限90 天最短密码长度8 个字符最短密码期限0 天帐户策略/帐户锁定策略 策略设置帐户锁定阈值0 次无效登录帐户策略/Kerberos 策略 策略设置服务票证最长寿命600 分钟计算机时钟同步的最大容差5 分钟强制用户登录限制已启用用户票证续订最长寿命7 天用户票证最长寿命10 小时本地策略/安全选项 网络安全 策略设置网络安全: LAN 管理器身份验证级别仅发送 NTLMv2 响应。拒绝 LM 和 NTLM( )网络安全: 在超过登录时间后强制注销已禁用域成员 策略设置域成员: 对安全通道数据进行数字加密(如果可能)已启用域成员: 对安全通道数据进行数字加密或数字签名(始终)已启用域成员: 对安全通道???据进行数字签名(如果可能)已启用公钥策略/加密文件系统 证书 颁发给颁发者截止日期预期目的AdministratorAdministrator2010/5/31 16:43:58文件恢复有关单个设置的其他信息，请启动组策略对象编辑器。 公钥策略/受信任的根证书颁发机构 属性 策略设置允许用户选择新的根证书授权机构(CA)来信任已启用客户端计算机可以信任下列证书存储第三方根证书授权机构和企业根证书授权机构若要对用户和计算机执行基于证书的身份验证，CA 必须符合下列标准仅在 Active Directory 中注册用户配置(已启用) 策略 Windows 设置 远程安装服务 客户端安装向导选项 策略设置工具已禁用重新启动安装已禁用自定义安装已禁用  域控制器策略 PO-DC-V0.6 计算机配置(已启用) 策略 Windows 设置 安全设置 本地策略/审核策略 策略设置审核策略更改成功审核登录事件成功，失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功审核帐户登录事件成功，失败审核帐户管理成功，失败本地策略/用户权限分配 策略设置备份文件和目录BUILTIN\Administrators充当操作系统的一部分创建全局对象BUILTIN\Administrators,NT AUTHORITY\SERVICE创建一个令牌对象创建一个页面文件BUILTIN\Administrators创建永久共享对象从扩展坞上取下计算机BUILTIN\Administrators从网络访问此计算机BUILTIN\Administrators,NT AUTHORITY\Authenticated Users,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS从远程系统强制关机BUILTIN\Administrators调试程序更改系统时间NT AUTHORITY\LOCAL SERVICE,BUILTIN\Administrators关闭系统BUILTIN\Administrators管理审核和安全日志BUILTIN\Administrators还原文件和目录BUILTIN\Adminis