本地策略、域策略

本地策略、域策略
一、本地安全策略概述
1、本地安全策略：本地安全策略影響本地計算機的安全設置
2、打開方法：
控制面板 → 管理工具”→ 本地安全策略 → 運行secpol.msc命令
3、本地安全策略的分類
本地安全策略主要包含：帳戶策略和本地策略。
4、帳戶策略
（1）密碼策略
① 密碼必須符合複雜性需求：英文字母大小寫、數字、特殊符號四者取其三。
② 密碼長度最小值：設置範圍0-14,設置爲0表示不需要密碼。
③ 密碼最長使用期限：默認42天，設置爲0表示密碼永不過期，設置範圍0和999天之間的值。
④ 密碼最短使用期限：設置爲0表示隨時更改密碼
⑤ 強制密碼歷史：最近使用過的密碼不允許再使用，設置範0-24,默認0表示隨意使用過去使用的密碼。
（2）帳戶鎖定策略
① 賬戶鎖定閾值：輸入幾次錯誤密碼後，將用戶帳戶鎖定，設置範圍0-999,默認爲0代表不鎖定帳戶.
② 帳戶鎖定時間：帳戶鎖定多長時間後自動解鎖，單位爲分鐘，設置範圍0-99999,0表示必須由管理員手動解鎖。
③ 重置帳戶鎖定計數器：用戶輸入密碼錯誤開始計時，當該時間過後，計數器重置爲0。此時間必須小於或等於帳戶鎖定時間。 注：帳戶鎖定策略對本地管理員帳戶無效。
5、本地策略
（1）審覈策略
（2）用戶權限分配
用戶權限分配的常用策略：
① 關閉系統；② 更該系統時間；③ 拒絕本地登錄、允許本地登錄（作爲服務器的計算機不能讓普通用戶交互式登錄
用戶權限分配|雙擊“允許在本地登錄”，刪除“Users”）
（3）安全選項
安全選項常用策略
用戶試圖登錄時消息標題、消息文本
網絡訪問本地帳戶的共享和安全模式（經典和僅來賓）
使用空白密碼的本地帳戶只允許進行控制檯登錄
注：運行gpupdate使本地安全策略生效或重啓計算機
gpupdate /force強制刷新策略
二、本地組策略
1、組策略：一組策略的集合
2、組策略：包含計算機配置和用戶配置
3、運行gpedit.msc打開本地組策略
4、本地組策略配置：
（1）屏蔽關閉Windows Server 2012關機理由
Win + R -- gpedit.msc -- 運行 -- 單擊計算機配置 -- 管理模板 -- 系統 -- 顯示“關閉時間跟蹤程序”-- 選擇已禁用 -- 確定
（2）刪除開始菜單中的關機、重新啓動、睡眠及休眠
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- 開始菜單和任務欄 -- 雙擊右邊的刪除並阻止訪問關機、重新啓動、睡眠和休眠命令
-- 選擇已啓用
（3）刪除瀏覽器Internet Explorer的因特網選項內的安全與鏈接選項卡
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- Windows組件 -- Internet Explorer -- Internet控制面板 -- 雙擊禁用連接頁與禁用安全頁 -- 選擇已啓用
（4）將控制面板內的Windows防火牆隱藏起來
Win + R -- gpedit.msc -- 運行 -- 單擊用戶配置 -- 管理模板 -- 控制面板 -- 雙擊隱藏指定的控制面板項 -- 選擇已啓用 -- 顯示 -- 添加 Windows 防火牆
三、域組策略概
1、組策略的作用
（1）組策略：一組策略的集合（與組沒關係）
（2）組策略的作用：
① 可以統一修改系統、設置程序；
② 調整桌面環境、安全設置、自動執行腳本、軟件分發；
③ 對整個域設置組策略，可影響所有成員計算機和域用戶的工作環境；
④ 對OU設置組策略，可影響該OU下的所有計算機和和域用戶的工作環境；
⑤ 降低佈置用戶和計算機環境的總費用，方便推行公司計算機使用規範及安全策略等。
（3）組策略的優點
① 減小管理成本，只需設置一次，相應的計算機或用戶即可應用；
② 減小用戶單獨配置錯誤的可能性
③ 可以針對特定對象設置特定的策略 用戶 計算機
（4）組策略對象
① 組策略的具體設置保存在GPO中
存儲組策略的所有配置信息 AD中的一種特殊對象
② 默認的兩個GPO（組策略）
默認域策略（Default Domain Policy）
默認域控制器策略（Default Domain Controllers Policy）
GPO鏈接 只能鏈接到站點、域、OU
（5）組策略編輯器包含：
計算機配置 -- 只針對容器中的計算機生效。
用戶配置 -- 只針對容器中的用戶生效。
（6）組策略的簡單應用
① 禁止用戶修改桌面背景
控制面板 → 管理工具”→ 本地安全策略 → 運行secpol.msc命令 — 用戶配置 — 管理模板 — 控制面板 — 個性化 —雙擊阻止更改桌面牆紙—已啓用—確定
開始 — 運行 — gpupdate /force(強制刷新策略)
（7）組策略的應用規則
① 策略繼承與阻止
下級容器可以繼承或阻止應用其上級容器的GPO設置
② 策略強制生效
使下級容器強制執行其上級容器的GPO設置
禁止修改個人主頁：用戶配置—管理模板—Windows組件—Internet Explorer—禁用更改主頁設置。
③ 策略累加與衝突
多個GPO設置在不衝突的情況下累加如衝突後應用生效
④ 組策略應用順序：LSDOU
--- 首先本地組策略對象（Local）
--- 如果有站點組策略（Site），則應用之
--- 然後應用域組策略對象（Domain）
--- 若當前計算機或用戶屬於某個OU，則應用之
--- 若當前計算機或用戶屬於某個子OU，則再應用之
本地組策略站點域OU
如OU與子OU衝突，子OU生效
4、篩選組策略設置
篩選的作用：阻止一個容器內的用戶或計算機應用其GPO設置
在組策略管理界面中—單擊指定的GPO—在右側窗口中選擇委派—高級—添加用戶—勾選拒絕讀取和應用組策略。
讀取和應用組策略的權限 允許和拒絕