3. 安全类组策略 ? 密码策略
? “强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数
量。
? 配置“密码最长使用期限”设置,以便密码在环境需要时过期。
? “密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。 ? “最短密码长度”设置确保密码至少包含指定数量的字符。
? “密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本
要求。
? 账号锁定策略
帐户锁定策略是一项 Windows Server 2003 安全功能,它在指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值决定的。用户不能登录到锁定的帐户。
? “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的
时间长度
? “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。
? “复位帐户锁定计数器”设置决定了“帐户锁定阈值”复位为 0 以及帐户被解锁之前
所必须经过的时间长度。
? 禁用本地管理员帐号
默认情况下,每台加入到域中的计算机都有Administrator和Guest两个帐号,Administrator帐号在安装时口令为空。用户使用这个帐号权限过大,因此一般不会给用户使用这个管理员帐号,最好的做法就是通过组策略禁用这个帐号,用户使用域的帐号。
? 将域帐号加入到每台PC机的本地Power Users组中
创建域帐号时,默认情况下这个帐号只属于Domain Users组中,该组属于每台PC机的本地Users组。本地Users组中的成员权限受到严格限制,比如共享文件夹,安装打印机驱动程序等工作的权限都没有。而经常有用户需要这些权限,可以通过组策略来实现。
? 禁用系统服务
我们为优化系统和安全性考虑,经常要禁用计算机的一些无需运行的服务。我们可以通过组策略把这些服务禁用掉。
? 软件限制策略
对一些规定不得使用的软件可以通过组策略来禁用:
? 路径规则:特殊文件路径下的软件不得使用:如program files下的某些软件 ? 证书规则:只有系统管理员颁发过证书的软件可以使用,其他软件禁止使用 ? 哈希规则:对禁止使用的软件通过哈希运算得到这个软件的身份指纹,在组策
略里设置只要是符合身份指纹鉴定的软件就进行限制
? 网络连接控制策略
用户经常会通过改变“网络连接”中的设置,绕过企业防火墙,建立自己的上网链路,比如电话拨号上网。这样会带来很大的安全隐患。可以通过组策略限制用户不得改变网络连接中的配置,不允许用户通过其他方式连接互联网。
3.3. 计算机从工作组加入到域可能存在的问题和解决方法
把计算机从工作组模式加入到域模式可能会出现以下二个问题 问题:
1. 一些软件不能使用。有一些软件以登录者的管理员权限帐号运行,当计算机加入到
域并对登录帐号做了权限设置,或禁用了本地管理员帐号,这些需要管理员权限运行的软件就有可能不能正常运行。
2. 用户桌面环境发生改变。由于加入域前后用户是用不同的帐号登录的,因此用户以
前的桌面环境无法使用。具体有 ? 桌面上放置的资料
? “我的文档”等放置的资料 ? 配置好的“网络打印机”
? IE里设置好的“网站收藏夹”等。 解决方法:
1. 对问题1我们可以按以下两个方法来解决:
(1) 把域帐号加入到本地管理员组 (2) 卸载软件,用域帐号登录并安装
2. 对问题2针对不同的问题分别解决如下:
(1) 把本地老帐号下的桌面内容全部备份下来,复制到新域帐号的桌面
(2) 把本地老帐号下的“我的文档”内容全部备份下来,复制到新域帐号的“我的文
档”
(3) 重新连接和创建“网络打印机”
(4) 用特殊软件把老帐号IE里的“网站收藏夹”备份下来,然后恢复到新域帐号中
4. 活动目录方案实施
4.1. AD域命名和DNS的规划
Windows 2003 AD域命名和DNS的规划之所以放在首要地位,是因为AD作为整个IT架构的基础,不应该轻易被调整。尽管安装后,Windows 2003 AD仍然可以重组和改名,这一点比Windows 2000 AD有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和DNS服务能够满足企业3-5年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。
此外,部署Windows 2003 AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。一个支持AD的DNS至少需要满足以下要求:
? 必须支持服务定位资源记录(SRV) ? 应该支持 DNS 动态更新协议(RFC 2136)
Windows 2003 Server 提供的 DNS 服务同时满足这些要求,并且还提供下列重要的附加功能和改进:
? Active Directory 集成:DNS 服务把区域数据存储在目录中,使得 DNS 复制创建
多个主域,也减少了对维护一个单独的 DNS 区域传送复制拓扑的要求。 ? 安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并
防止未经授权的计算机从 DNS 获得现有的名称。 ? 条件转发:根据不同的对外访问的域名后缀,可以将用户的DNS名称解析请求转
发到不同的外部DNS服务器。 ? 存根区域:可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、
不再响应用户请求的服务器,提高用户DNS名称解析的效率。
4.2. 确定AD逻辑结构
Windows 2003活动目录的逻辑结构由三个基本组件组成:森林、域和OU。 1、 确定森林规划
森林是Windows 2003 AD域的集合。在很多情况下,单一森林就足够了。单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange 2003 Server等应用程序时,只需应用一次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建立一个以上的森林: ? 不互相信任管理员。 ? 希望限制信任关系范围。
? 不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如
果单位不同意一个公共架构策略,它们就不能共存于同一个森林中。