AD 组策略 | 服务器管理 | 默认策略

2024-02-04 08:44

本文主要是介绍AD 组策略 | 服务器管理 | 默认策略,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

介绍

Default Domain Controllers PolicyDefault Domain Policy 是 Windows Active Directory 组策略中两个重要的默认组策略对象,分别应用于域控制器和域中的所有计算机。

Default Domain Controllers Policy(默认域控制器策略)
影响范围:
影响域中的所有域控制器。包括对域控制器上的用户账户、计算机账户以及域控制器本身的安全设置。

  • 作用: 策略对象主要用于配置域控制器上的安全设置和用户权限。
  • 意义: 通过这个策略,设置域控制器的安全性,限制对域控制器的访问,并配置域控制器上的账户和密码策略。包括关键的安全设置,如账户锁定策略、用户权限分配等,一般在这进行配置。
    账户锁定策略: 控制登录失败的次数,达到设定的次数后,账户将被锁定一段时间。
    密码策略: 包括密码长度、密码复杂性要求、密码历史等,用于强制用户创建更安全的密码。
    用户权限分配: 确保域控制器上只有授权的用户和组才能执行特定的任务。
    安全选项: 包括对域控制器服务的安全性设置,保护服务器安全。

Default Domain Policy(默认域策略):
影响范围:
影响整个域,包括域中的所有计算机和用户账户。

  • 作用: 策略对象是应用于整个域的默认策略,包含许多不同方面的设置,例如密码策略、安全选项、用户权利分配等。
  • 意义: 通过这个策略,对整个域中的计算机和用户账户强制执行一致的安全设置。其中包括密码复杂性要求、账户锁定策略、Kerberos 等安全设置。默认域策略对域中所有的对象都生效,可以通过在子组织单元(OU)上创建额外的组策略对象来进行更灵活的配置。
    密码策略: 控制域中所有用户账户的密码策略,包括密码复杂性、最短密码长度、密码历史等。
    帐户策略: 包括 Kerberos 部分,用于配置 Kerberos 身份验证的安全性。
    安全选项: 包括对域中所有计算机的安全设置,例如网络安全选项、Microsoft 网络服务器的安全设置等。
    用户权利分配: 定义用户或组的权限,这些权限适用于整个域。
    注册表设置: 可以配置域中所有计算机的注册表设置,控制一致性。

修改这两个默认的组策略对象谨慎进行,会对整个域的安全性和设置有影响。

下面是实验环境的配置。

默认域控制器策略

由于域控制器是企业安全的管理核心,对域控制器的登录管理和安全限制都会很严格。下图是实验环境权限配置
在这里插入图片描述
备份文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
创建一个页面文件 BUILTIN\Administrators
从扩展坞上取下计算机 BUILTIN\Administrators
从网络访问此计算机 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,NT AUTHORITY\Authenticated Users,BUILTIN\Administrators,Everyone
从远程系统强制关机 BUILTIN\Server Operators,BUILTIN\Administrators
更改系统时间 BUILTIN\Server Operators,BUILTIN\Administrators,NT AUTHORITY\LOCAL SERVICE
关闭系统 BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
管理审核和安全日志 BUILTIN\Administrators
还原文件和目录 BUILTIN\Server Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
加载和卸载设备驱动程序 BUILTIN\Print Operators,BUILTIN\Administrators
将工作站添加到域 NT AUTHORITY\Authenticated Users
配置文件单一进程 BUILTIN\Administrators
配置文件系统性能 NT SERVICE\WdiServiceHost,BUILTIN\Administrators
取得文件或其他对象的所有权 BUILTIN\Administrators
绕过遍历检查 BUILTIN\Pre-Windows 2000 Compatible Access,NT AUTHORITY\Authenticated Users,Window Manager\Window Manager Group,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE,Everyone
生成安全审核 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
提高计划优先级 BUILTIN\Administrators
替换一个进程级令牌 IIS APPPOOL\DefaultAppPool,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
调试程序 BUILTIN\Administrators
为进程调整内存配额 IIS APPPOOL\DefaultAppPool,BUILTIN\Administrators,NT AUTHORITY\NETWORK SERVICE,NT AUTHORITY\LOCAL SERVICE
信任计算机和用户帐户可以执行委派 BUILTIN\Administrators
修改固件环境值 BUILTIN\Administrators
允许本地登录 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS,BUILTIN\Print Operators,BUILTIN\Server Operators,BUILTIN\Account Operators,BUILTIN\Backup Operators,BUILTIN\Administrators
作为批处理作业登录 BUILTIN\Performance Log Users,BUILTIN\Backup Operators,BUILTIN\Administrators,BUILTIN\IIS_IUSRS

默认域策略

在这里插入图片描述
因为域策略影响的是整个域中所有用户和计算机配置,所以以下配置对所有非特权账户生效:
密码必须符合复杂性要求 已启用
密码最长期限 42 天
强制密码历史 24 个记住的密码
用可还原的加密来储存密码 已禁用
最短密码期限 1 天
最短密码长度 7 个字符

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

这篇关于AD 组策略 | 服务器管理 | 默认策略的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/676922

相关文章

Go语言开发实现查询IP信息的MCP服务器

《Go语言开发实现查询IP信息的MCP服务器》随着MCP的快速普及和广泛应用,MCP服务器也层出不穷,本文将详细介绍如何在Go语言中使用go-mcp库来开发一个查询IP信息的MCP... 目录前言mcp-ip-geo 服务器目录结构说明查询 IP 信息功能实现工具实现工具管理查询单个 IP 信息工具的实现服

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

redis过期key的删除策略介绍

《redis过期key的删除策略介绍》:本文主要介绍redis过期key的删除策略,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录第一种策略:被动删除第二种策略:定期删除第三种策略:强制删除关于big key的清理UNLINK命令FLUSHALL/FLUSHDB命

CentOS7更改默认SSH端口与配置指南

《CentOS7更改默认SSH端口与配置指南》SSH是Linux服务器远程管理的核心工具,其默认监听端口为22,由于端口22众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击,本文将系统性地介绍... 目录引言为什么要更改 SSH 默认端口?步骤详解:如何更改 Centos 7 的 SSH 默认端口1

HTML5中的Microdata与历史记录管理详解

《HTML5中的Microdata与历史记录管理详解》Microdata作为HTML5新增的一个特性,它允许开发者在HTML文档中添加更多的语义信息,以便于搜索引擎和浏览器更好地理解页面内容,本文将探... 目录html5中的Mijscrodata与历史记录管理背景简介html5中的Microdata使用M

Spring 基于XML配置 bean管理 Bean-IOC的方法

《Spring基于XML配置bean管理Bean-IOC的方法》:本文主要介绍Spring基于XML配置bean管理Bean-IOC的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一... 目录一. spring学习的核心内容二. 基于 XML 配置 bean1. 通过类型来获取 bean2. 通过

springboot上传zip包并解压至服务器nginx目录方式

《springboot上传zip包并解压至服务器nginx目录方式》:本文主要介绍springboot上传zip包并解压至服务器nginx目录方式,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录springboot上传zip包并解压至服务器nginx目录1.首先需要引入zip相关jar包2.然

将Java项目提交到云服务器的流程步骤

《将Java项目提交到云服务器的流程步骤》所谓将项目提交到云服务器即将你的项目打成一个jar包然后提交到云服务器即可,因此我们需要准备服务器环境为:Linux+JDK+MariDB(MySQL)+Gi... 目录1. 安装 jdk1.1 查看 jdk 版本1.2 下载 jdk2. 安装 mariadb(my

python uv包管理小结

《pythonuv包管理小结》uv是一个高性能的Python包管理工具,它不仅能够高效地处理包管理和依赖解析,还提供了对Python版本管理的支持,本文主要介绍了pythonuv包管理小结,具有一... 目录安装 uv使用 uv 管理 python 版本安装指定版本的 Python查看已安装的 Python

SpringRetry重试机制之@Retryable注解与重试策略详解

《SpringRetry重试机制之@Retryable注解与重试策略详解》本文将详细介绍SpringRetry的重试机制,特别是@Retryable注解的使用及各种重试策略的配置,帮助开发者构建更加健... 目录引言一、SpringRetry基础知识二、启用SpringRetry三、@Retryable注解