在windows系统管理中管理员要实现对客户机的管理,策略恐怕是最主要的利器,下面我们就对我们平时常见的策略做下分析理清各个策略之间的关系及其在实际中的应用.
1.组策略:
什么是组策略呢?组策略是一个允许执行针对用户或计算机进行配置的基础架构,这是我们最常用的,在组策略中我们可以制定各种规章制度,其中计算机配置是针对所用登陆到计算机的用户都生效和用户配置则是针对系统的当前用户,管理员在运用过程中主要是运用gpmc来实现对域模式下计算机的管理,在2003中gpmc这个工具要去微软官网下载,2008则是系统集成的,
组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。我们可以根据管理任务,为组策略选择合适的部署级别。
组策略对象存储在两个位置,链接GPO的Active Directory容器和域控制器上的Sysvol文件夹。GPO是组策略对象的缩写,GPO是组策略设置的集合,是 存储在Active Directory中的一个虚拟对象。GPO由组策略容器(GPC) 和组策略模板(GPT)组成,GPC包含GPO的属性信息,存储在域中每台域控制器活动目录中;GPT 包含GPO 的数据,存储在Sysvol 的 /Policies 子目录下。
组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。我推荐大家运用gpmc进行管理,我们打开
结构化的管理面板,即体现出整个域的结构,又直观的表现出组策略的层次感。
在GPMC中 具体的策略写好了,并不影响具体对象 (OU 站点 域)要连接到具体的OU上当前的GPO才会生效。链接起来很容易,只需要拖拽住一条GPO到某一个对象(OU、站点、域)上就可以了 。我们可以运用组策略来实现软件的分发,桌面的统一,补丁的管理,及其注册表限定USB禁用等功能。
2.本地策略,域控制器策略,域策略:大家可能有时候分不清其中的关系,我给大家解释下,本地策略是针对当前计算机的,在我们刚安装还系统时,就自动生成,我们可以用administrator进入进行相应的设置。下面2个策略则是针对ad环境下的,其中域控制器策略是针对dc设置的,只对dc生效,而域策略则是针对当下域环境下所有的机器。
成员计算机和域的设置项冲突时,域安全策略生效,
域控制器和域的设置项冲突时,域控制器安全策略生效。
下面我就举个例子说下本地安全策略的各个选项的意思
我们打开计算机-程序-管理-本地安全策略
1.账户策略:
密码策略;主要设定用户登录密码的复杂程度
账户锁定策略:
帐户锁定阈值:就是设定用户在输入错误密码的情况下,可以登录几次
帐户锁定时间:顾名思义就是我们账户锁定的时间,要过多长时间这个账户才可以从新登录
复位帐户锁定计数器:记录用户登录输入密码错误的次数
如我们设定
帐户锁定阈值为3
帐户锁定时间30分钟
复位帐户锁定计数器2,意思是我们在输入3次密码错误的情况下,再输入错误了账户锁定30分钟,我们只有两次这样连续输入3次密码错误的机会。
2.本地策略:审核策略:主要是一些事件记录
用户权利指派:把用户加入不同的组,使之有不同权限,如我们把用户张三加入administratior组,张三就有了管理员的权限
c安全选项:是系统的一些关于安全的自定设置,如交互登录
3、公钥策略 管理密钥的分派运用
4、软件限制策略 管理软件的运行,我们在进行软件分发时,就是运用软件新建程序包来进行分发的
5、IP安全策略 限制ip
其实3者策略分关系是相关的,我们可以通过在具体运用中自己总结些相关的知识,总之 知识出于运用,大家明白其中的道理再在这基础上做实验,我相信大家会有不一样的收获,我不推荐大家跟着一些教程的东西一步步跟着去做,可能做完这个你会了,转下问题你又不会做了,理解原理,综合运用,这是我推荐大家学习网络的方法
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/370759,如需转载请自行联系原作者
