网管宝典8.pptVIP

第八章 组策略的配置与应用 本章以域组策略管理配置和应用为例全面介绍组策略的配置与应用。  本章重点如下： 用户账户策略、本地策略、受限制的组策略配置方法 “用户权限分配”和“安全选项”策略项的用途和应用 文件夹重定向的意义及策略配置方法 “软件限制策略”的配置与应用，以及利用InstallShield制作MSI程序包的方法 软件限制策略的4种过滤规则及创建、配置方法 磁盘配额策略选项用途和设置方法 8.1 “账户策略”配置与应用 账户策略位置如下图所示。账户策略只能在域级别上设置，不能在组织单位，或者站点、林级别上设置。这一点应特别注意。 长度至少为6个字符 包含来自以下4个类别中的3个的字符： 不包含全部或部分的用户账户名 英文大写字母（从A到Z 英文小写字母（从a到z） 10个基本数字（从0到9） 非字母字符（例如，!、$、#、%） 更改或创建密码时，会强制执行复杂性要求。而且在域控制器上是默认启用的，而在独立服务器上默认是禁用的。 其他策略项的配置方法类似，有关其他策略项的具体说明参见书中介绍。 8.1.2 “账户锁定策略”及配置 账户锁定策略用于域账户或本地用户账户，所包括的3个策略选项如下图所示。它们确定某个账户被系统锁定的情况和时间长短。其中“账户锁定阈值”策略选项就是用来设置示例中当用户尝试多少次登录失败即锁定账户的要求，这样做的目的就是为了避免非法用户通过穷举法来猜测用户密码。“账户锁定时间”策略设置选项确定锁定的账户在自动解锁前保持锁定状态的分钟数。“复位账户锁定计数器”策略选项设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。 8.1.3 “账户策略”应用 账户策略应用主要体现在以下几个方面： 强迫用户定期更改密码，并不允许使用近期一样的密码 防止非法用户非法更改用户密码 防止用户更改的密码太简单 防止非法用户字典攻击 具体应用方法参见书中介绍。 8.2 “本地策略”配置与应用 “本地策略”的位置如下图所示。在“本地策略”中包括“审核策略”、“用户权限分配”和“安全选项”3个大的策略项。 8.2.1 “审核策略”及配置 审核策略是用于确定要报告给网络管理员的安全事件的策略。审核策略中的监控对象的创建或修改为您提供了一种跟踪潜在安全性问题的方法，从而帮助您确保用户账户的责任性，并在出现违反安全的事件时提供证据。应该被审核的最普通的事件类型包括： 访问对象，如文件和文件夹。 用户账户和组账户的管理。 用户登录到系统和从系统注销。具体审核策略项功能说明及配置方法参见书中介绍。 8.2.2 “用户权限分配”策略及配置 “用户权限分配” 策略定义了本地级别上的功能，也就是它只作用于特定的域中，而不能跨域。它在域组策略中的位置如下图所示。 8.2.3 “安全选项”策略及配置 “安全选项”策略在组策略中的位置如下图所示。 8.2.4 “本地策略”应用 “本地策略”的应用主要体现在以下几个方面： 跟踪非法用户的登录 跟踪非法用户的账户创建 防止拒绝服务攻击中的远程关机 拒绝非administrators组成员在域控制器上本地登录 保护敏感的计算机 限制使用终端服务进行远程登录 防止用户在本地计算机中私自安装软件 不允许非法用户使用网络共享资源 防止非法用户通过交互登录获取用户账户 禁止通过缓存来登录到域网络 让Windows Server 2003系统也可以匿名访问 禁止远程修改注册表具体内容参见中介绍。 8.3 “受限制的组”策略配置与应用 “受限制的组”策略选项默认没有策略配置，其位置如下图所示。它允许管理员为安全敏感的组（“受限制的组”）定义两个属性，分别是“成员”和“隶属于”。 8.4 “文件夹重定向”策略配置与应用 在组策略对象编辑器中，可以使用“文件夹重定向”策略项将某些特殊文件夹重定向到网络位置。特殊文件夹是指Documents and Settings之下诸如“My Documents”和“My Pictures”这样的文件夹。 8.4.1 “文件夹重定向”概述 1．可重定向的文件夹  目前在Windows Server 2003系统域组策略中可以对5个文件夹进行重定向，如书中表8-13所示。 2．文件夹重定向的好处重定向所带来的好处有如下几个方面： 在每次用户登录和注销时，不需要将其内容在客户机和服务器之间来回复制，这样可大大加快登录和注销过程。 即使用户登录到网络上的不同计算机，也始终可以访问其