關于安全政策的幾點解析

在windows系統管理中管理者要實作對客戶機的管理，政策恐怕是最主要的利器，下面我們就對我們平時常見的政策做下分析理清各個政策之間的關系及其在實際中的應用.

1.組政策：什麼是組政策呢？組政策是一個允許執行針對使用者或計算機進行配置的基礎架構，這是我們最常用的，在組政策中我們可以制定各種規章制度，其中計算機配置是針對所用登陸到計算機的使用者都生效和使用者配置則是針對系統的目前使用者，管理者在運用過程中主要是運用gpmc來實作對域模式下計算機的管理，在2003中gpmc這個工具要去微軟官網下載下傳，2008則是系統內建的，組政策和Active Directory結合使用，可以部署在OU，站點和域的級别上，當然也可以部署在本地計算機上，但部署在本地計算機并不能使用組政策中的全部功能，隻有和Active Directory配合，組政策才可以發揮出全部潛力。組政策部署在不同級别的優先級是不同的，本地計算機<站點<域<OU。我們可以根據管理任務，為組政策選擇合适的部署級别。 組政策對象存儲在兩個位置，連結GPO的Active Directory容器和域控制器上的Sysvol檔案夾。GPO是組政策對象的縮寫，GPO是組政策設定的集合，是 存儲在Active Directory中的一個虛拟對象。GPO由組政策容器(GPC) 群組政策模闆(GPT)組成，GPC包含GPO的屬性資訊，存儲在域中每台域控制器活動目錄中；GPT 包含GPO 的資料，存儲在Sysvol 的 /Policies 子目錄下。

         組政策管理可以通過組政策編輯器群組政策管理控制台（GPMC），組政策編輯器是Windows作業系統中自帶的組政策管理工具，可以修改GPO中的設定。GPMC則是功能更強大的組政策編輯工具，GPMC可以建立，管理，部署GPO，最新的GPMC可以從微軟網站下載下傳。我推薦大家運用gpmc進行管理，我們打開結構化的管理面闆，即展現出整個域的結構，又直覺的表現出組政策的層次感。在GPMC中 具體的政策寫好了，并不影響具體對象 （OU 站點 域）要連接配接到具體的OU上目前的GPO才會生效。連結起來很容易，隻需要拖拽住一條GPO到某一個對象（OU、站點、域）上就可以了  。我們可以運用組政策來實作軟體的分發，桌面的統一，更新檔的管理，及其系統資料庫限定USB禁用等功能。

2.本地政策，域控制器政策，域政策：大家可能有時候分不清其中的關系，我給大家解釋下，本地政策是針對目前計算機的，在我們剛安裝還系統時，就自動生成，我們可以用administrator進入進行相應的設定。下面2個政策則是針對ad環境下的，其中域控制器政策是針對dc設定的，隻對dc生效，而域政策則是針對當下域環境下所有的機器。成員計算機和域的設定項沖突時，域安全政策生效，域控制器和域的設定項沖突時，域控制器安全政策生效。

下面我就舉個例子說下本地安全政策的各個選項的意思

我們打開計算機-程式-管理-本地安全政策

1.賬戶政策： 密碼政策;主要設定使用者登入密碼的複雜程度

              賬戶鎖定政策：帳戶鎖定門檻值：就是設定使用者在輸入錯誤密碼的情況下，可以登入幾次

 帳戶鎖定時間：顧名思義就是我們賬戶鎖定的時間，要過多長時間這個賬戶才可以從新登入

複位帳戶鎖定計數器：記錄使用者登入輸入密碼錯誤的次數

如我們設定帳戶鎖定門檻值為3帳戶鎖定時間30分鐘複位帳戶鎖定計數器2，意思是我們在輸入3次密碼錯誤的情況下，再輸入錯誤了賬戶鎖定30分鐘，我們隻有兩次這樣連續輸入3次密碼錯誤的機會。

2.本地政策：稽核政策：主要是一些事件記錄

使用者權利指派：把使用者加入不同的組，使之有不同權限，如我們把使用者張三加入administratior組，張三就有了管理者的權限

c安全選項：是系統的一些關于安全的自定設定，如互動登入

3、公鑰政策 管理密鑰的分派運用

4、軟體限制政策   管理軟體的運作，我們在進行軟體分發時，就是運用軟體建立程式包來進行分發的

5、IP安全政策 限制ip

其實3者政策分關系是相關的，我們可以通過在具體運用中自己總結些相關的知識，總之 知識出于運用，大家明白其中的道理再在這基礎上做實驗，我相信大家會有不一樣的收獲，我不推薦大家跟着一些教程的東西一步步跟着去做，可能做完這個你會了，轉下問題你又不會做了，了解原理，綜合運用，這是我推薦大家學習網絡的方法

本文轉自q狼的誘惑 51CTO部落格，原文連結：http://blog.51cto.com/liangrui/370759，如需轉載請自行聯系原作者