windows系統(tǒng)客戶機管理的安全策略

    window系統(tǒng)管理中管理員要實現(xiàn)對客戶機的管理，戰(zhàn)略恐怕是最主要的利器，下面我就對我平時罕見的戰(zhàn)略做下分析理清各個策略之間的關(guān)系及其在實際中的應(yīng)用.

1.組策略：什么是組策略呢？組策略是一個允許執(zhí)行針對用戶或計算機進行配置的基礎(chǔ)架構(gòu)，這是最常用的組策略中我可以制定各種規(guī)章制度，其中計算機配置是針對所用登陸到計算機的用戶都生效和用戶配置則是針對系統(tǒng)的當(dāng)前用戶，管理員在運用過程中主要是運用gpmc來實現(xiàn)對域模式下計算機的管理，2003中g(shù)pmc這個工具要去微軟官網(wǎng)下載，2008則是系統(tǒng)集成的組策略和A ctivDirectory結(jié)合使用，可以安排在OU站點和域的級別上，當(dāng)然也可以部署在外地計算機上，但部署在外地計算機并不能使用組策略中的全部功能，只有和A ctivDirectory配合，組戰(zhàn)略才可以發(fā)揮出全部潛力。組策略部署在不同級別的優(yōu)先級是不同的外地計算機<站點<域<OU可以根據(jù)管理任務(wù)，為組策略選擇合適的布置級別。 組策略對象存儲在兩個位置，鏈接GPOA ctivDirectory容器和域控制器上的Sysvol文件夾。GPO組策略對象的縮寫，GPO組策略設(shè)置的集合， 存儲在A ctivDirectory中的一個虛擬對象。GPO由組策略容器GPC 和組策略模板GPT組成，GPC包括GPO屬性信息，存儲在域中每臺域控制器活動目錄中；GPT 包括GPO 數(shù)據(jù)，存儲在Sysvol  /Policies 子目錄下。

      組戰(zhàn)略管理可以通過組戰(zhàn)略編輯器和組策略管理控制臺（GPMC組策略編輯器是Windows操作系統(tǒng)中自帶的組策略管理工具，可以修改GPO中的設(shè)置。GPMC則是功能更強大的組策略編輯工具，GPMC可以創(chuàng)立，管理，安排GPO最新的GPMC可以從微軟網(wǎng)站下載。推薦大家運用gpmc進行管理，打開結(jié)構(gòu)化的管理面板，即體現(xiàn)出整個域的結(jié)構(gòu)，又直觀的表示出組策略的層次感。GPMC中 具體的戰(zhàn)略寫好了并不影響具體對象 OU站點 域）要連接到具體的OU上當(dāng)前的GPO才會生效。鏈接起來很容易，只需要拖拽住一條GPO某一個對象（OU站點、域）上就可以了 可以運用組策略來實現(xiàn)軟件的分發(fā)，桌面的統(tǒng)一，補丁的管理，及其注冊表限定USB禁用等功能。

2.外地戰(zhàn)略，域控制器策略，域策略：大家可能有時候分不清其中的關(guān)系，給大家解釋下，外地戰(zhàn)略是針對當(dāng)前計算機的剛安裝還系統(tǒng)時，就自動生成，可以用administr進入進行相應(yīng)的設(shè)置。下面2個策略則是針對ad環(huán)境下的其中域控制器策略是針對dc設(shè)置的只對dc生效，而域策略則是針對當(dāng)下域環(huán)境下所有的機器。成員計算機和域的設(shè)置項沖突時，域安全策略生效，域控制器和域的設(shè)置項沖突時，域控制器安全策略生效。

下面我就舉個例子說下本地安全策略的各個選項的意思

打開計算機-順序-管理-外地平安戰(zhàn)略

1.賬戶戰(zhàn)略： 密碼戰(zhàn)略;主要設(shè)定用戶登錄密碼的復(fù)雜水平

        賬戶鎖定戰(zhàn)略：帳戶鎖定閾值：就是設(shè)定用戶在輸入錯誤密碼的情況下，可以登錄幾次

 帳戶鎖定時間：顧名思義就是賬戶鎖定的時間，要過多長時間這個賬戶才可以從新登錄

復(fù)位帳戶鎖定計數(shù)器：記錄用戶登錄輸入密碼錯誤的次數(shù)

如我設(shè)定帳戶鎖定閾值為3帳戶鎖定時間30分鐘復(fù)位帳戶鎖定計數(shù)器2意思是輸入3次密碼錯誤的情況下，再輸入錯誤了賬戶鎖定30分鐘，只有兩次這樣連續(xù)輸入3次密碼錯誤的機會。

2.外地戰(zhàn)略：審核戰(zhàn)略：主要是一些事件記錄

用戶權(quán)利指派：把用戶加入不同的組，使之有不同權(quán)限，如我把用戶張三加入administratior組，張三就有了管理員的權(quán)限

c平安選項：系統(tǒng)的一些關(guān)于安全的自定設(shè)置，如交互登錄