零、計算機本身就是用於服務人類的,而其上面的所有軟體的目的也都是盡可能簡化計算機相關的管理和增加計算機的功能。組策略本質上就是acl——訪問控制列表,這對於路由器交換機的acl、防護牆的acl、檔案系統的許可權等本質上是相通的。組策略是規則,計算機和使用者是「人」,把規則加到「人」身上,就規定了「人」能做什麼,不能做什麼。這和現實中的人類社會也是相通的。
一、組策略的幾大功能:軟體分發、軟體限制、安全設定、基於登錄檔的設定、ie維護、離線檔案、漫遊配置檔案和資料夾重定向、計算機和使用者指令碼。
二、三個名稱:組策略物件(gpo)、組策略容器(gpc)、組策略模板(gpt),其中組策略物件包括組策略容器和組策略模板。我的理解:組策略物件看起來就是一條一條的策略規定。
三、三個容器類單元:站點、域、ou,規模依次遞減。
四、常用工具和命令:gpmc工具集、support tools工具集(adsi edit工具,在mmc中新增);gpupdate /force 用於客戶端強制重新整理組策略,gpresult /scope user /v 顯示組策略應用情況;dcgpofix用於預設組策略刪除後的修復
五、組策略的覆蓋優先順序由低到高為: 本地策略、站點策略、域策略、父ou策略、子ou策略。當組策略物件產生衝突時,計算機策略覆蓋使用者策略、不同層次的組策略產生衝突時,子ou覆蓋父ou策略、同一容器上多個組策略衝突時,處於gpo列表最高位的gpo優先順序最高。總體原則:後執行的優先順序高!
六、變更組策略應用順序:阻止繼承、強制(禁止替代)、避免變更應用順序。阻止繼承的意思是,預設情況下應用到父ou的組策略會繼承到子ou上面,但如果子ou不想的話,可以配置成「阻止繼承」,這樣所有的應用到父ou的組策略就都不會影響到子ou了。但是如果應用到父ou的組策略是「強制」的話,子ou就必須繼承父ou的組策略了,即使子ou設定了「阻止繼承」也不行。如果子ou的組策略中有與帶有「強制」屬性的父ou的組策略相衝突的設定,則帶有「強制」屬性的父ou的組策略會覆蓋掉子ou的組策略中與其相衝突的設定。
七、關於軟體限制策略的例子:
在「組策略編輯器」中,windows設定——安全設定——軟體限制策略——其他規則中建立。把exe的路徑填入即可。也可用變數,如%systemroot% 。 *qq*則代表了只要路徑中有qq字元,即匹配(允許執行或禁止執行)
八、一台加入到域的計算機,用本地使用者登入,是否會使用域組策略?答:會應用域中關於計算機的組策略,但不會應用使用者組策略。
組策略技術中心:
gpmc主頁:
使用gpmc管理組策略互動課程:
webcast論壇:
windows 2003遠端桌面安全策略
windows的遠端桌面雖然用起來比較方便,但其安全性和資源占用比起ssh還是有不少的差距。想到的安全策略有一下幾個 1 更改預設埠號 終端服務預設使用知名埠號3389,很顯然大家都知道這個埠是做什麼的,所以改埠號可以躲過很多的機器掃瞄。可以從終端服務本機上修改預設埠號,如果有防火牆做nat,那更簡...
windows2003安全設定
15 命令許可權 開啟c windows目錄 搜尋以下dos命令檔案 net.exe,net1.exe,cmd.exe,ftp.exe,attrib.exe,cacls.exe,at.exe,format.com,telnet.exe,command.com,netstat.exe,regedit....
WINDOWS2003 安全設定
因為安全方面請教機房的人,他們手把手教我一點竅門,整理如下 1 重新命名管理員administrator 停用guests帳號 設定強密碼 2 在執行這裡,輸入gpedit.msc,開啟windows設定。windows設定 安全設定 賬戶策略 賬戶鎖定策略 時間鎖定5分鐘,次數為5次,復位計數器未...