AD 组策略 | 服务器管理 | 默认策略

2024-02-04 08:44

本文主要是介绍AD 组策略 | 服务器管理 | 默认策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

介绍

Default Domain Controllers PolicyDefault Domain Policy 是 Windows Active Directory 组策略中两个重要的默认组策略对象,分别应用于域控制器和域中的所有计算机。

Default Domain Controllers Policy(默认域控制器策略)
影响范围:
影响域中的所有域控制器。包括对域控制器上的用户账户、计算机账户以及域控制器本身的安全设置。

  • 作用: 策略对象主要用于配置域控制器上的安全设置和用户权限。
  • 意义: 通过这个策略,设置域控制器的安全性,限制对域控制器的访问,并配置域控制器上的账户和密码策略。包括关键的安全设置,如账户锁定策略、用户权限分配等,一般在这进行配置。
    账户锁定策略: 控制登录失败的次数,达到设定的次数后,账户将被锁定一段时间。
    密码策略: 包括密码长度、密码复杂性要求、密码历史等,用于强制用户创建更安全的密码。
    用户权限分配: 确保域控制器上只有授权的用户和组才能执行特定的任务。
    安全选项: 包括对域控制器服务的安全性设置,保护服务器安全。

Default Domain Policy(默认域策略):
影响范围:
影响整个域,包括域中的所有计算机和用户账户。

  • 作用: 策略对象是应用于整个域的默认策略,包含许多不同方面的设置,例如密码策略、安全选项、用户权利分配等。
  • 意义: 通过这个策略,对整个域中的计算机和用户账户强制执行一致的安全设置。其中包括密码复杂性要求、账户锁定策略、Kerberos 等安全设置。默认域策略对域中所有的对象都生效,可以通过在子组织单元(OU)上创建额外的组策略对象来进行更灵活的配置。
    密码策略: 控制域中所有用户账户的密码策略,包括密码复杂性、最短密码长度、密码历史等。
    帐户策略: 包括 Kerberos 部分,用于配置 Kerberos 身份验证的安全性。
    安全选项: 包括对域中所有计算机的安全设置,例如网络安全选项、Microsoft 网络服务器的安全设置等。
    用户权利分配: 定义用户或组的权限,这些权限适用于整个域。
    注册表设置: 可以配置域中所有计算机的注册表设置,控制一致性。

修改这两个默认的组策略对象谨慎进行,会对整个域的安全性和设置有影响。

下面是实验环境的配置。

默认域控制器策略

由于域控制器是企业安全的管理核心,对域控制器的登录管理和安全限制都会很严格。下图是实验环境权限配置
在这里插入图片描述
备份文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
创建一个页面文件 BUILTIN\Administrators
从扩展坞上取下计算机 BUILTIN\Administrators
从网络访问此计算机 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,NT AUTHORITY\Authenticated Users,BUILTIN\Administrators,Everyone
从远程系统强制关机 BUILTIN\Server Operators,BUILTIN\Administrators
更改系统时间 BUILTIN\Server Operators,BUILTIN\Administrators,NT AUTHORITY\LOCAL SERVICE
关闭系统 BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
管理审核和安全日志 BUILTIN\Administrators
还原文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
加载和卸载设备驱动程序 BUILTIN\Print Operators,BUILTIN\Administrators
将工作站添加到域 NT AUTHORITY\Authenticated Users
配置文件单一进程 BUILTIN\Administrators
配置文件系统性能 NT SERVICE\WdiServiceHost,BUILTIN\Administrators
取得文件或其他对象的所有权 BUILTIN\Administrators
绕过遍历检查 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\Authenticated Users,Window Manager\Window Manager Group,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE,Everyone
生成安全审核 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
提高计划优先级 BUILTIN\Administrators
替换一个进程级令牌 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
调试程序 BUILTIN\Administrators
为进程调整内存配额 IIS APPPOOL\DefaultAppPool,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
信任计算机和用户帐户可以执行委派 BUILTIN\Administrators
修改固件环境值 BUILTIN\Administrators
允许本地登录 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Account Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
作为批处理作业登录 BUILTIN\Performance Log Users,BUILTIN\Backup Operators,BUILTIN\Administrators,BUILTIN\IIS_IUSRS

默认域策略

在这里插入图片描述
因为域策略影响的是整个域中所有用户和计算机配置,所以以下配置对所有非特权账户生效:
密码必须符合复杂性要求 已启用
密码最长期限 42 天
强制密码历史 24 个记住的密码
用可还原的加密来储存密码 已禁用
最短密码期限 1 天
最短密码长度 7 个字符

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

这篇关于AD 组策略 | 服务器管理 | 默认策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/676922

相关文章

pycharm远程连接服务器运行pytorch的过程详解

《pycharm远程连接服务器运行pytorch的过程详解》:本文主要介绍在Linux环境下使用Anaconda管理不同版本的Python环境,并通过PyCharm远程连接服务器来运行PyTorc... 目录linux部署pytorch背景介绍Anaconda安装Linux安装pytorch虚拟环境安装cu

mac安装nvm(node.js)多版本管理实践步骤

《mac安装nvm(node.js)多版本管理实践步骤》:本文主要介绍mac安装nvm(node.js)多版本管理的相关资料,NVM是一个用于管理多个Node.js版本的命令行工具,它允许开发者在... 目录NVM功能简介MAC安装实践一、下载nvm二、安装nvm三、安装node.js总结NVM功能简介N

MySQL9.0默认路径安装下重置root密码

《MySQL9.0默认路径安装下重置root密码》本文主要介绍了MySQL9.0默认路径安装下重置root密码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们... 目录问题描述环境描述解决方法正常模式下修改密码报错原因问题描述mysqlChina编程采用默认安装路径,

MySQL 中的服务器配置和状态详解(MySQL Server Configuration and Status)

《MySQL中的服务器配置和状态详解(MySQLServerConfigurationandStatus)》MySQL服务器配置和状态设置包括服务器选项、系统变量和状态变量三个方面,可以通过... 目录mysql 之服务器配置和状态1 MySQL 架构和性能优化1.1 服务器配置和状态1.1.1 服务器选项

ElasticSearch+Kibana通过Docker部署到Linux服务器中操作方法

《ElasticSearch+Kibana通过Docker部署到Linux服务器中操作方法》本文介绍了Elasticsearch的基本概念,包括文档和字段、索引和映射,还详细描述了如何通过Docker... 目录1、ElasticSearch概念2、ElasticSearch、Kibana和IK分词器部署

部署Vue项目到服务器后404错误的原因及解决方案

《部署Vue项目到服务器后404错误的原因及解决方案》文章介绍了Vue项目部署步骤以及404错误的解决方案,部署步骤包括构建项目、上传文件、配置Web服务器、重启Nginx和访问域名,404错误通常是... 目录一、vue项目部署步骤二、404错误原因及解决方案错误场景原因分析解决方案一、Vue项目部署步骤

Linux流媒体服务器部署流程

《Linux流媒体服务器部署流程》文章详细介绍了流媒体服务器的部署步骤,包括更新系统、安装依赖组件、编译安装Nginx和RTMP模块、配置Nginx和FFmpeg,以及测试流媒体服务器的搭建... 目录流媒体服务器部署部署安装1.更新系统2.安装依赖组件3.解压4.编译安装(添加RTMP和openssl模块

SpringBoot中使用 ThreadLocal 进行多线程上下文管理及注意事项小结

《SpringBoot中使用ThreadLocal进行多线程上下文管理及注意事项小结》本文详细介绍了ThreadLocal的原理、使用场景和示例代码,并在SpringBoot中使用ThreadLo... 目录前言技术积累1.什么是 ThreadLocal2. ThreadLocal 的原理2.1 线程隔离2

Deepseek使用指南与提问优化策略方式

《Deepseek使用指南与提问优化策略方式》本文介绍了DeepSeek语义搜索引擎的核心功能、集成方法及优化提问策略,通过自然语言处理和机器学习提供精准搜索结果,适用于智能客服、知识库检索等领域... 目录序言1. DeepSeek 概述2. DeepSeek 的集成与使用2.1 DeepSeek API

JavaWeb-WebSocket浏览器服务器双向通信方式

《JavaWeb-WebSocket浏览器服务器双向通信方式》文章介绍了WebSocket协议的工作原理和应用场景,包括与HTTP的对比,接着,详细介绍了如何在Java中使用WebSocket,包括配... 目录一、概述二、入门2.1 POM依赖2.2 编写配置类2.3 编写WebSocket服务2.4 浏