AD 组策略 | 服务器管理 | 默认策略

2024-02-04 08:44

本文主要是介绍AD 组策略 | 服务器管理 | 默认策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

介绍

Default Domain Controllers PolicyDefault Domain Policy 是 Windows Active Directory 组策略中两个重要的默认组策略对象,分别应用于域控制器和域中的所有计算机。

Default Domain Controllers Policy(默认域控制器策略)
影响范围:
影响域中的所有域控制器。包括对域控制器上的用户账户、计算机账户以及域控制器本身的安全设置。

  • 作用: 策略对象主要用于配置域控制器上的安全设置和用户权限。
  • 意义: 通过这个策略,设置域控制器的安全性,限制对域控制器的访问,并配置域控制器上的账户和密码策略。包括关键的安全设置,如账户锁定策略、用户权限分配等,一般在这进行配置。
    账户锁定策略: 控制登录失败的次数,达到设定的次数后,账户将被锁定一段时间。
    密码策略: 包括密码长度、密码复杂性要求、密码历史等,用于强制用户创建更安全的密码。
    用户权限分配: 确保域控制器上只有授权的用户和组才能执行特定的任务。
    安全选项: 包括对域控制器服务的安全性设置,保护服务器安全。

Default Domain Policy(默认域策略):
影响范围:
影响整个域,包括域中的所有计算机和用户账户。

  • 作用: 策略对象是应用于整个域的默认策略,包含许多不同方面的设置,例如密码策略、安全选项、用户权利分配等。
  • 意义: 通过这个策略,对整个域中的计算机和用户账户强制执行一致的安全设置。其中包括密码复杂性要求、账户锁定策略、Kerberos 等安全设置。默认域策略对域中所有的对象都生效,可以通过在子组织单元(OU)上创建额外的组策略对象来进行更灵活的配置。
    密码策略: 控制域中所有用户账户的密码策略,包括密码复杂性、最短密码长度、密码历史等。
    帐户策略: 包括 Kerberos 部分,用于配置 Kerberos 身份验证的安全性。
    安全选项: 包括对域中所有计算机的安全设置,例如网络安全选项、Microsoft 网络服务器的安全设置等。
    用户权利分配: 定义用户或组的权限,这些权限适用于整个域。
    注册表设置: 可以配置域中所有计算机的注册表设置,控制一致性。

修改这两个默认的组策略对象谨慎进行,会对整个域的安全性和设置有影响。

下面是实验环境的配置。

默认域控制器策略

由于域控制器是企业安全的管理核心,对域控制器的登录管理和安全限制都会很严格。下图是实验环境权限配置
在这里插入图片描述
备份文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
创建一个页面文件 BUILTIN\Administrators
从扩展坞上取下计算机 BUILTIN\Administrators
从网络访问此计算机 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,NT AUTHORITY\Authenticated Users,BUILTIN\Administrators,Everyone
从远程系统强制关机 BUILTIN\Server Operators,BUILTIN\Administrators
更改系统时间 BUILTIN\Server Operators,BUILTIN\Administrators,NT AUTHORITY\LOCAL SERVICE
关闭系统 BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
管理审核和安全日志 BUILTIN\Administrators
还原文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
加载和卸载设备驱动程序 BUILTIN\Print Operators,BUILTIN\Administrators
将工作站添加到域 NT AUTHORITY\Authenticated Users
配置文件单一进程 BUILTIN\Administrators
配置文件系统性能 NT SERVICE\WdiServiceHost,BUILTIN\Administrators
取得文件或其他对象的所有权 BUILTIN\Administrators
绕过遍历检查 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\Authenticated Users,Window Manager\Window Manager Group,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE,Everyone
生成安全审核 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
提高计划优先级 BUILTIN\Administrators
替换一个进程级令牌 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
调试程序 BUILTIN\Administrators
为进程调整内存配额 IIS APPPOOL\DefaultAppPool,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
信任计算机和用户帐户可以执行委派 BUILTIN\Administrators
修改固件环境值 BUILTIN\Administrators
允许本地登录 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Account Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
作为批处理作业登录 BUILTIN\Performance Log Users,BUILTIN\Backup Operators,BUILTIN\Administrators,BUILTIN\IIS_IUSRS

默认域策略

在这里插入图片描述
因为域策略影响的是整个域中所有用户和计算机配置,所以以下配置对所有非特权账户生效:
密码必须符合复杂性要求 已启用
密码最长期限 42 天
强制密码历史 24 个记住的密码
用可还原的加密来储存密码 已禁用
最短密码期限 1 天
最短密码长度 7 个字符

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

这篇关于AD 组策略 | 服务器管理 | 默认策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/676922

相关文章

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

PyCharm如何设置新建文件默认为LF换行符

《PyCharm如何设置新建文件默认为LF换行符》:本文主要介绍PyCharm如何设置新建文件默认为LF换行符问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录PyCharm设置新建文件默认为LF换行符设置换行符修改换行符总结PyCharm设置新建文件默认为LF

SpringBoot如何通过Map实现策略模式

《SpringBoot如何通过Map实现策略模式》策略模式是一种行为设计模式,它允许在运行时选择算法的行为,在Spring框架中,我们可以利用@Resource注解和Map集合来优雅地实现策略模式,这... 目录前言底层机制解析Spring的集合类型自动装配@Resource注解的行为实现原理使用直接使用M

CentOS 7部署主域名服务器 DNS的方法

《CentOS7部署主域名服务器DNS的方法》文章详细介绍了在CentOS7上部署主域名服务器DNS的步骤,包括安装BIND服务、配置DNS服务、添加域名区域、创建区域文件、配置反向解析、检查配置... 目录1. 安装 BIND 服务和工具2.  配置 BIND 服务3 . 添加你的域名区域配置4.创建区域

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

nvm如何切换与管理node版本

《nvm如何切换与管理node版本》:本文主要介绍nvm如何切换与管理node版本问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录nvm切换与管理node版本nvm安装nvm常用命令总结nvm切换与管理node版本nvm适用于多项目同时开发,然后项目适配no

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win

Redis 内存淘汰策略深度解析(最新推荐)

《Redis内存淘汰策略深度解析(最新推荐)》本文详细探讨了Redis的内存淘汰策略、实现原理、适用场景及最佳实践,介绍了八种内存淘汰策略,包括noeviction、LRU、LFU、TTL、Rand... 目录一、 内存淘汰策略概述二、内存淘汰策略详解2.1 ​noeviction(不淘汰)​2.2 ​LR

Ubuntu 22.04 服务器安装部署(nginx+postgresql)

《Ubuntu22.04服务器安装部署(nginx+postgresql)》Ubuntu22.04LTS是迄今为止最好的Ubuntu版本之一,很多linux的应用服务器都是选择的这个版本... 目录是什么让 Ubuntu 22.04 LTS 变得安全?更新了安全包linux 内核改进一、部署环境二、安装系统