使用组策略管理计算机实验

组策略管理计算机实验

实验目标

1.配置账户策略

2.配置审核策略

3.用户权限设置

4.组策略软件限制策略

5.组策略管理可移动设备

6.组策略配置系统更新

实验环境

计算机环境

域控制器windowsserver2008R2企业版

2008R2.00

服务器windowsserver2008R2企业版

2008R2.00

客户端win7

W01

实验要求

1.配置账户策略

2.配置权限设置

3.用户权限设置

4.组策略集中管理系统服务

5.组策略配置注册表

6.组策略文件夹安全

7.组策略配置防火墙

8.组策略软件限制策略

9.组策略管理可移动设备

10.组策略配置系统更新

具体实验

1配置账户策略

目标要求:

从安全和易用考虑,普通域用户的哝户策略必须满足以F要求

■密码氏度至少3位.

■最长使用期限60天。

■密码必须符合复杂性要求.

・密码最短使用0天.

■帐户钺定阈值7次.

■帐户锁定时间30分钟.

■更位帐户锁定计数器30分伸.[y

fl之I盟14口IXLJ其片后屋I3跑一下二里

ActiveDirectory用户和计算方

.保存的查询

财

户

用

53zyq-com

五

户

E二Builtin用

书

户

EBComputers用

六

户

S3_DomainControllers用

四

户

SI二.Forei<x»StcurityPrincif用

户

EJjLostAndFound用

户

E_2.ManagedServiceAccour用

全

安

全

困jProgramData组

全

安

全

@.一System组

E0_jUsers

a总经办

S三技术部

S）二jNTDSQuoits

IIC,」IhSU3»IMLt©：

r▼A整

口和计算知

用

三

户

财

用

户

旺

五

用

户

王

书

用

户

秘

六

丛

用

lers户

四

马

义

用

yPrincip户

用

户

义

李

用

&户

eAccoux*

安

%u全

ActiveDirectory域服务・凶

安

全

电U

1小密码长度、密码复杂

确定I

JjeXt£U_L«.X>UIII%£111AUJ.AUVL^-*-**-**-*.X.1M-

ActiveDirectory用户和计算

机

命令提示符

Adn»

记事本

文和

InternetExplorer

计隼

ActiveDirectory管理中心

网经

ActiveDirectoryt或和信任关

系

控南

ActiveDirectory站点和服务

设喜

组策略管理

打开3

Ixifrxi.tExplo>以管理员身份运行空

决定到任务栏GO

ADS工编辑器附到「开始」菜单0D

>所有•程序从列表中删除CF)

|搜索程序和文件——属性国)--------一，一「

jIWIxz3_I

组策略管理编辑署

文件OF)操作(A)查看(V)期助00

・，1巧画I*西IB质

B»计算机配置密码必须符合复杂性要求已启用

BL_策略密码长度最小值7个字符

S」软件设置密码最短使用期限1天

S_Windows设置密码最长使用期限42天

域名解析策略强制密码而史24个记住的密码

脚本0动/关机)用可还原的加密来储存密码已禁用

BS安全设置

B一帐户策略

B1.僦噱相1

S三j帐户锁定策略

S.Kerberos策略

BJ本地策略

SJ审核策略

占用户权限分配

J安全选顼

sJ事件日志

宏码长度最小值属性ax

安全策略设置I说明I度

已力

Tl«密码长度最小值

7胃

15

B定义此策略设置8)42

咯

关

机密码必须至少是:24

1W个字符已手

*

策

略

谀

定

erOS

$略

限

策

项

权

选

：

痛

手

aE

>W1

二

管R

-

zQE

]

确定取消|应用㈤|

J笛f

Hlf

安全策略设置|说明|

启

用

已

个

密码长度最小值7字

天

1天

天

冒

口定义此策略设置0D)42八

用

24已

,密码必须至少是:禁

同一个字符

|确定|取消|应用“)

3LU

需用最短使用期限属性

安全策略设置I说明I

可胆电码最短使用期限

N定义此策晒设置8)

在以下天数后可以更改密码：

P3天

I砥I取消I应用⑴

吟心rn集已国最曰;I以■在？

j安全策略设羞|说明|I策略设蹙

已启用

笑密码最短使用期限

3个字符

1天

V定义此策略设置CD)42天

个记住

1可以立即更改击码。24

1。「士I天已禁用

里

喀

艮

天

E

i

r

-

E

确定I取消I应用8)

击码最长使用期限属性,?JxJ

安全策略设置I说明IB

密码最长使用期限i

c

何定义此策略设置S)

密码过期时间:

悭一三天

确定|取消|应用8)|

E码最长使用期限属性

安全策略设置I说明|

密码最长使用期限

何定义此策略设置8)

密码过期时吃

|60三天

帐户笆土亚

建议的效值改动

口为“帐户锁定时间”的数值现在是“30分钟”，下列项目的设置都会改成建议的数

值。

策略1策略设置1建议的设置

帐户谈定阑值0次无效登录5次无效登录

重置帐户锁定计数器没有定义30分钟之后

<11”

确定取消（C）

帐户谈定前值属性

安全策略设置I说明I

帐户淡定阑值

P定义此策略设置S)

在发生以下情况之后，锁定帐户:

P三次无效登录

一定|取消|应用㈤

更新策略

ClC：\Yindovs\systea32\gpupdate.exe

pE在更新策略…

用户策略更新成功完成。

为张三1重置密码三位成功

IActiveDirectory用户和计算机

文件便)操作㈤查看⑺缪助00

♦吟I巧丽I#□I*日卤臼IB园「3’运3下道鬣

二JActiveDirectory用户和计算对尔▼1类型1描述

囹保存的查询张三1用户1

复制©…

B韵g王五1用户

添加到组©).•・

EJJBuiltin?＞马六1用户

禁用帐户⑤1

S।,Computers匕李四1用户

重置密码

SDomainControllers见技术一组安全组CE)...

@一ForeignSecurityPrincip移动W)…

[+；_ManagedServiceAccour打开主页9)

囹□Users发送邮件(A)

二一总经办

S.技术部斫有任务00►

-技术一组

剪切⑴

S技术二蛆

删除⑺

重命名。)

属性00

帮助00

BActiveDirectory用户和计算机

文件(?)操作吃查看吃萍助00______________________________________

*吟I巧画I4'山'臼向旨I曰强I!＞必⑤了山瓦

ActiveDirectory用户和计算书名称1类型1描述1

a二保存的查询8张三1用户

S君丛王五1用户

重送密码

S.Computers

SDomainControllers新密码on：I•••

S_3ForeignSecurityPrinci

田JManagedServiceAccov确认密码(C)：1•••

S_□Users

总经办r用户下次登录时须更改密码on

□刃技术部、要使更改生效，用户必须注徜，然后重新登录。

工我不一坦此域控制器中的帐户锁定状态：已解锁

E技术二组

厂解锁用户的帐户

确定取消

BiActiveDirectory用户和计算机

文件切操作㈤查看⑺帮助00

♦〈I名扇I《‘dIX国®巨I日图I3电工了三领

-ActiveDirectory用户和计算彳冬称I类型I描述

EJ保存的查询8张三i用户

B韵去王五I用户

国JBuiltin

重置密码

S_Computers

[±]二DomainControllers新密码00：I…

田ForeignSecurityPrinci

SL5ManagedServiceAccoc确认密码(C):!•••

田一Users

=2总经办厂用户下次登录时须更改密码0D

□二技术部要使更改生效，用户必须注消，然后重新登券

-技术一组

此域控制器中的帐户锁定状态：已解锁

国1技术二组

厂解锁用户的帐户8)

确定

:回向售I日雇I3组司子二地

娄型

用

户

2长

J

户

王五

*1用

户

马六

41用

户

李四

用

*1

笠

技术

安

组

-月

客户端域用户登录测试失败三次锁定账户

登录到Windows

登录声Vindovs

/Windows!

Copyright<1985-2001J...Professional

M^GottCorporationK/Hcrosott

登录消息

系烧无法让您登录。请确定您的用户名及域无误，然后再次输入密码。密码的字母必须使用正确的大小写。

确定取消关机6).."选项⑥)«

登录到lindors

MccfOSOft*

JWindo

,Professional

Copyright©198S2001

McrosoftCorporation

登录到Vindovs

Microsoft,

Windows

Copyright©1985-2001…Professional

McrosoftCorporation

用户名Q［）：

空@CP）：

登录到正）：

QQ

I确定II取消I|关机(£)...][选项Q)«I

登录到findoTS

JWindowsS

Copyngltt196S-2001Professional

MaosoftCorporatiofi

登录消息

在服务端为账户解锁

张三1属性Jj凶

拨入I环境I会话I远程控制

■ActiveDirector,用户和计算机

远程桌面服君配爱文件|个人虚拟机IC0•+

文件的操作㈤查看⑺帮助

00常规I地址帐户I配强文件I电话I组组I隶属于

全吟箔兴臼向治日显「电二

IfSlX□II我户登录名3)：_______________

类

ActiveDirectory用户和i+算力

5!户||EH!|▼|

23保存的查询用

户

我用产户登录名靠indows2000以前版本)的：_______________________

户

用

E」Builtin|ZYQ\pH

户

用

SJComputers

空

安

创

且登录时间(L)…|登录到CT)—|

囹-iIDomainControll«rs-

3,ForeignSecurityPrincif

S一ManagedServiceAccour「整臂袅谭帐户当前在此ActiveDirectory域控制器上处于

SJUsers

□J总经办

4户迭项9)：

s-.技术部

厂用户下次燮录时须更改密码2

工一技术一组

厂用户不能更改密码」

s3.技术二组

厂密码永不过期

厂使用可逆加密存错密码二J

帐户过期

行永不过期00

「在这之后旧：口14年6月:T3

确定|取消|三用㈤|

<1I►!

张三1属性a凶

■

国

i武:

皂

>

朋

朋

朋

总

I确定|取消应用㈤帮助

张三1属性3凶

拨入|环境1会话|远程控制|

远程桌面服务酉i!置文件I个人虚拟机IC0M+

常规I地址帐户।配置文件|电话।组织|隶属于i

我户登录名⑺：_______________

|@

用户登录名记indows2000以前版本)记)：

|ZYQ\|zsl

登录时间&)...|登录到Q)...

r解锁帐户an

求户选项9)：

厂用户下次登录时须更改密码3

厂用户不能更改密码—*

「密码永不过期

厂使用可逆加密存储密码二j

帐户过期

c永不过期(V)

「在这之后四)：f014年6月15日3

确定|取消|应用8)|帮助|

机

助00

ZI卤旨I0呢I3戛

iZXR.▼1类型

张-1

一

王㈤

马新建3

为

李

四

技

和

组

安全组全局

确定|取消源⑴|不助

请稍候一・

/JWindows

copyright，19852001Professional

McrosoftCorporationMcnOSO在

客户端输入正确的密码登录成功

2配置审核策略

-一…配置审核域用户登录成功和失败的事件，审

核账户管理

…--在域级别的组策略上启用账户管理审核和

账户登录事件审核

■m命令提示符

—<ActiveDirectory用户和计算

机

］记事本Administrator

文档

gInternetExplorer

计算机

ActiveDirectory管理中心

网络

}ActiveDirectory域和信任关

控制面板

设备和打印机

管理工具

帮助和支持

运行.

I搜索程序和文件吗注箱>1

P组策略管理

其文件（F）操作8）查看吃窗口匕帮旦

为扇I*3IB晶

金组策略管理

日A林：zyqcom

日蓄域

□莉zyq-com

k,DefaultDomainPolicy

EDomainControllers

+技市部

国i二.总经办

国L组策略对象

ETWM1筛选器

SL2JStarterGPO

国一国站点

-K组策略建模

1组策略结果

国文件旧操作g查看(V)窗口的帮助00

伞吟名扇

1IX1^1Q星

七省策略管理DefaultI

日6.林：

作用域1详组

臼瑞域

□于三链接

篱，t十二：t力口卜二「7之此位置内是

+-DomainContro11e,St

、列站点、也

s-一技术部强制(H)

s三总经办v已启用链接03位置

s组策略时象

保存报告(5).-2yq•com

S7WMI筛选器

田1三！StarterGPO查看(V)►

S例站点从这里创建窗口建)41

匕组策略建模

之组策略结果删除(D)导全筛选

重命名也)tGPO内的•

刷新(F)名称

叼Authent

群助00

Ld

添加g>)