本地策略、域策略

本地策略、域策略
一、本地安全策略概述
1、本地安全策略：本地安全策略影响本地计算机的安全设置
2、打开方法：
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令
3、本地安全策略的分类
本地安全策略主要包含：帐户策略和本地策略。
4、帐户策略
（1）密码策略
① 密码必须符合复杂性需求：英文字母大小写、数字、特殊符号四者取其三。
② 密码长度最小值：设置范围0-14,设置为0表示不需要密码。
③ 密码最长使用期限：默认42天，设置为0表示密码永不过期，设置范围0和999天之间的值。
④ 密码最短使用期限：设置为0表示随时更改密码
⑤ 强制密码历史：最近使用过的密码不允许再使用，设置范0-24,默认0表示随意使用过去使用的密码。
（2）帐户锁定策略
① 账户锁定阈值：输入几次错误密码后，将用户帐户锁定，设置范围0-999,默认为0代表不锁定帐户.
② 帐户锁定时间：帐户锁定多长时间后自动解锁，单位为分钟，设置范围0-99999,0表示必须由管理员手动解锁。
③ 重置帐户锁定计数器：用户输入密码错误开始计时，当该时间过后，计数器重置为0。此时间必须小于或等于帐户锁定时间。 注：帐户锁定策略对本地管理员帐户无效。
5、本地策略
（1）审核策略
（2）用户权限分配
用户权限分配的常用策略：
① 关闭系统；② 更该系统时间；③ 拒绝本地登录、允许本地登录（作为服务器的计算机不能让普通用户交互式登录
用户权限分配|双击“允许在本地登录”，删除“Users”）
（3）安全选项
安全选项常用策略
用户试图登录时消息标题、消息文本
网络访问本地帐户的共享和安全模式（经典和仅来宾）
使用空白密码的本地帐户只允许进行控制台登录
注：运行gpupdate使本地安全策略生效或重启计算机
gpupdate /force强制刷新策略
二、本地组策略
1、组策略：一组策略的集合
2、组策略：包含计算机配置和用户配置
3、运行gpedit.msc打开本地组策略
4、本地组策略配置：
（1）屏蔽关闭Windows Server 2012关机理由
Win + R -- gpedit.msc -- 运行 -- 单击计算机配置 -- 管理模板 -- 系统 -- 显示“关闭时间跟踪程序”-- 选择已禁用 -- 确定
（2）删除开始菜单中的关机、重新启动、睡眠及休眠
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 开始菜单和任务栏 -- 双击右边的删除并阻止访问关机、重新启动、睡眠和休眠命令
-- 选择已启用
（3）删除浏览器Internet Explorer的因特网选项内的安全与链接选项卡
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- Windows组件 -- Internet Explorer -- Internet控制面板 -- 双击禁用连接页与禁用安全页 -- 选择已启用
（4）将控制面板内的Windows防火墙隐藏起来
Win + R -- gpedit.msc -- 运行 -- 单击用户配置 -- 管理模板 -- 控制面板 -- 双击隐藏指定的控制面板项 -- 选择已启用 -- 显示 -- 添加 Windows 防火墙
三、域组策略概
1、组策略的作用
（1）组策略：一组策略的集合（与组没关系）
（2）组策略的作用：
① 可以统一修改系统、设置程序；
② 调整桌面环境、安全设置、自动执行脚本、软件分发；
③ 对整个域设置组策略，可影响所有成员计算机和域用户的工作环境；
④ 对OU设置组策略，可影响该OU下的所有计算机和和域用户的工作环境；
⑤ 降低布置用户和计算机环境的总费用，方便推行公司计算机使用规范及安全策略等。
（3）组策略的优点
① 减小管理成本，只需设置一次，相应的计算机或用户即可应用；
② 减小用户单独配置错误的可能性
③ 可以针对特定对象设置特定的策略 用户 计算机
（4）组策略对象
① 组策略的具体设置保存在GPO中
存储组策略的所有配置信息 AD中的一种特殊对象
② 默认的两个GPO（组策略）
默认域策略（Default Domain Policy）
默认域控制器策略（Default Domain Controllers Policy）
GPO链接 只能链接到站点、域、OU
（5）组策略编辑器包含：
计算机配置 -- 只针对容器中的计算机生效。
用户配置 -- 只针对容器中的用户生效。
（6）组策略的简单应用
① 禁止用户修改桌面背景
控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令 — 用户配置 — 管理模板 — 控制面板 — 个性化 —双击阻止更改桌面墙纸—已启用—确定
开始 — 运行 — gpupdate /force(强制刷新策略)
（7）组策略的应用规则
① 策略继承与阻止
下级容器可以继承或阻止应用其上级容器的GPO设置
② 策略强制生效
使下级容器强制执行其上级容器的GPO设置
禁止修改个人主页：用户配置—管理模板—Windows组件—Internet Explorer—禁用更改主页设置。
③ 策略累加与冲突
多个GPO设置在不冲突的情况下累加如冲突后应用生效
④ 组策略应用顺序：LSDOU
--- 首先本地组策略对象（Local）
--- 如果有站点组策略（Site），则应用之
--- 然后应用域组策略对象（Domain）
--- 若当前计算机或用户属于某个OU，则应用之
--- 若当前计算机或用户属于某个子OU，则再应用之
本地组策略站点域OU
如OU与子OU冲突，子OU生效
4、筛选组策略设置
筛选的作用：阻止一个容器内的用户或计算机应用其GPO设置
在组策略管理界面中—单击指定的GPO—在右侧窗口中选择委派—高级—添加用户—勾选拒绝读取和应用组策略。
读取和应用组策略的权限 允许和拒绝