51CTO下载 本地策略 域安全策略 域控制器安全策略小结.pptVIP

回顾上章内容 如何创建、管理域用户账户？ 如何创建、管理、委派OU？ 如何实现漫游用户配置文件？ AGDLP规则含义是什么？ 本章目标 了解安全策略的类型 掌握域安全策略的配置 掌握域控制器安全策略的配置 Windows Server 2003安全策略简介 本地安全策略 强化单机系统的安全性 域控制器计算机不能设置本地安全策略 只对本机有效 域安全策略 强化整域内所有计算机的安全性 域控制器策略 强化域内所有域控制器计算机的安全性 只能在域控制器计算机上设置 域安全策略 影响整个域中计算机的安全设置 打开方式 单击“开始”→“程序”→“管理工具”→“域安全策略” 包含两个策略 帐户策略 本地策略 帐户策略 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 帐户锁定策略 帐户锁定阈值 帐户锁定时间 复位帐户锁定计数器 Kerberos策略 帐户策略举例 实现目标 域帐户密码长度最小为10，连续3次输错，帐户被锁定 步骤 （1）单击“开始”→“程序”→“管理工具”→“域安全策略” （2）选择“帐户策略”→“密码策略”，设置相应参数。 （3）选择“帐户策略”→“帐户锁定策略”，设置相应参数。 （4）设置完毕，刷新域安全策略。 （5）修改某个帐户的密码，验证密码策略是否起作用。 （6）使用域帐户登录测试 本地策略 审核策略 是否在安全日志中记录登录用户的操作事件 用户权限分配 关闭系统 更改系统时间 拒绝本地登录 允许在本地登录 安全选项 控制一些和操作系统安全相关的设置 本地策略应用举例 用户权限分配 授予某用户向域中添加工作站的权限 步骤 （1）单击“开始”→“程序”→“管理工具”→“域安全策略”，展开“本地策略”→“用户权限分配” （2）双击“域中添加工作站”，添加相应的帐户 （3）在“开始”→“运行”中，输入“gpupdate”（4）测试 审核文件及文件夹 审核策略 审核文件及文件夹 事件查看器 审核策略 常用审核策略 审核文件及文件夹 步骤 启用对象访问审核策略 设置需要审核的文件或文件夹 事件查看器2-1 应用程序日志 应用程序或系统程序记录的事件 安全性日志 登录尝试以及记录与资源使用相关的事件 系统日志 Windows 系统组件记录的事件 安装了其他服务则可能会增加日志类型 目录服务 文件复制服务 DNS 服务器 事件查看器2-2 事件类型 错误:红色 警告:黄色 信息:白色 成功审核:钥匙 失败审核: 锁 保存日志 审核文件或文件夹的实现步骤 （1）启用域或者本机的审核策略中的审核对象访问策略，并刷新策略。 （2）文件夹或者文件的“安全” →“高级”→“审核”中，添加审核账户及审核项目 （3）使用用户访问该文件夹或者文件 （4）使用“事件查看器”，查看“安全”日志 小结 Windows Server 2003可以设置那三个安全策略？ 密码策略包含哪些选项？ 帐户锁定策略哪些选项？ 本地策略有哪几部分？ 如何实现文件及文件夹审核？ 域控制器安全策略 域控制器安全策略与本地安全策略的区别 影响的计算机 前者影响DC 后者影响非DC 打开方式 “开始”→“程序”→“管理工具”→“域控制器安全策略” 帐户策略中有何异同 前者有Kerberos策略 与域用户帐户的登录有关 域控制器安全策略应用举例 目标 某个普通域帐户需要在DC上登录 步骤 （1）打开“域控制器安全策略”→“安全设置”→“本地策略”→“用户权限分配”， （2）双击“允许在本地登录”，添加需要在DC上登录的用户帐户。 （3）在“开始”→“运行”中，输入“gpupdate” （4）验证该普通用户能否在DC上登录。 三种策略的关系 三种安全策略的关系 成员计算机和域的设置项冲突时，域安全策略生效 域控制器和域的设置项冲突时，域控制器安全策略生效 本地安全策略 域控制器安全策略 域安全策略 举例验证 验证 在客户机上域安全策略高于本地安全策略 在域控制器上域控制器安全策略高于域策略 以本地选项的设置项为例 交互式登录：用户试图登录时消息标题 交互式登录：用户试图登录时消息文字 总结 密码策略包含哪些选项？ 帐户锁定策略哪些选项？ 本地策略有哪几部分？ 如何实现文件及文件夹审核？ 本地安全策略、域安全策略、域控制器安全策略三者关系？ 关于文字 右上栏目 字体宋体 加粗 字号 32号 一级栏目 字体 黑体 加粗 字号 28号 二级栏目 字体 黑体 加粗 字号 24号 关于图片 图片和框组合使用时,框采用圆角方形框,色彩采用蓝绿色,可参考图例 关于动画 全部采用擦除形式,方向可根据情况设置 教师讲解实现思