中職 Windows操作系統(tǒng)安全配置任務(wù)1 域用戶、用戶組的權(quán)限安全配置教學(xué)課件

中職Windows操作系統(tǒng)安全配置任務(wù)1域用戶、用戶組的權(quán)限安全配置教學(xué)課件工信版任務(wù)1域用戶、用戶組的權(quán)限安全配置項目一ActiveDirectory域用戶的安全配置社任務(wù)描述

校園網(wǎng)絡(luò)中使用域控制器對網(wǎng)絡(luò)中用戶進(jìn)行統(tǒng)一的管理，針對安全需求不同的用戶組，設(shè)定不同的密碼策略進(jìn)行管理。現(xiàn)要求，應(yīng)用服務(wù)器管理員使用密碼策略為，密碼長度最少8位，密碼必須符合復(fù)雜性要求，密碼強(qiáng)制歷史1個，密碼鎖定閾值3次；教職員用戶組密碼策略為，密碼長度最少6位，密碼必須符合復(fù)雜性要求，密碼鎖定閾值3次；學(xué)生用戶密碼策略為，密碼長度最少6位，密碼鎖定閾值3次。這些任務(wù)要求網(wǎng)絡(luò)安全工程師小張在最快的時間內(nèi)完成，為完成后續(xù)的任務(wù)做好準(zhǔn)備。任務(wù)分析 校園網(wǎng)絡(luò)中用戶越來越多，目前使用WindowsServer服務(wù)器操作系統(tǒng)的單位，使用域控制器方便對網(wǎng)絡(luò)中的服務(wù)、系統(tǒng)、用戶進(jìn)行統(tǒng)一的管理。首先對用戶進(jìn)行分級的管理，針對安全需求不同的用戶組，設(shè)定不同的密碼策略進(jìn)行管理。通過針對用戶或全局安全組設(shè)置相應(yīng)的用戶密碼策略，這樣可以針對不同的部門實施不同的密碼策略了，當(dāng)然，網(wǎng)絡(luò)安全工程師在規(guī)劃用戶分組的過程中，最好把不同的部門用戶加入到不同的全局組內(nèi)。這需要網(wǎng)絡(luò)工程師為相應(yīng)的部門創(chuàng)建組織單位（OU），或者建立全局組，再把部門用戶帳號加入該全局組，這是推薦的方式。所以小張要做的就是針對不同的特殊部門組創(chuàng)建密碼策略就可以了。任務(wù)分析 多元密碼策略或顆粒化密碼策略FGPP（Fine-GrainedPasswordPolicies），它可以讓我們在一個域環(huán)境內(nèi)實現(xiàn)多套密碼策略?？梢葬槍τ脩艋蛉职踩M設(shè)置相應(yīng)的用戶密碼策略，這樣就相當(dāng)于我們可以針對不同的部門實施不同的密碼策略了，當(dāng)然，你最好把不同的部門用戶加入到不同的全局組內(nèi)。相應(yīng)的部門創(chuàng)建OU，異或再建全局組，再把部門用戶帳號加入該全局組，所以你要做的就是針對不同的特殊部門組創(chuàng)建密碼策略就可以了。應(yīng)用策略優(yōu)先級原則：1.【用戶級別密碼策略】>【全局組級別密碼策略】>【域級別密碼策略】；2.同一級別，如用戶，關(guān)聯(lián)多個PSO（Password-Setting-Object）時，優(yōu)先（Precedence）值最小的生效；而最終判斷原則，上述兩點中，先判斷第一點，再判斷第二點。操作步驟

使用ADSI編輯器創(chuàng)建密碼設(shè)置對象（PSO），針對用戶或組應(yīng)用密碼設(shè)置對象（PSO），驗證用戶的密碼設(shè)置對象應(yīng)用。域中用戶組名稱分別為，應(yīng)用服務(wù)器管理員組【serveradmin】，教職員用戶組【teachergroup】，學(xué)生用戶組【studentgroup】。1.在域控制器服務(wù)器桌面點擊【開始】菜單，選擇【管理工具】，打開【ADSI編輯器】。操作步驟2.鼠標(biāo)右鍵單擊窗口左側(cè)的【ADSI編輯器】，然后點擊【連接到】。操作步驟3.使用默認(rèn)配置點擊【確定】。連接域控制器。操作步驟4.找到域下的密碼設(shè)置容器（CN=System->CN=PasswordSettingsContainer）。然后右鍵選擇【新建】-->【對象】。操作步驟5.在【創(chuàng)建對象】界面中使用默認(rèn)，點擊【下一步】。操作步驟6.為對象設(shè)置一個名稱，這里使用與用戶組相同的名稱，應(yīng)用服務(wù)器管理員設(shè)置名稱，為“serveradmin”。點擊【下一步】。操作步驟7.設(shè)置優(yōu)先級屬性為1，值越小優(yōu)先級越高。點擊【下一步】繼續(xù)。操作步驟8.設(shè)置“是否用可還原的加密來存儲密碼”屬性，設(shè)置為否，輸入“false”，點擊【下一步】。操作步驟9.設(shè)置“密碼歷史”屬性為1次，輸入值為1。點擊【下一步】。操作步驟10.設(shè)置“選擇是否啟用密碼復(fù)雜性”屬性，設(shè)置為是，輸入值為“true”，點擊【下一步】。操作步驟11.設(shè)置“最小密碼長度”屬性，輸入值為“8”，即最短8個字符長度。操作步驟12.設(shè)置“密碼最短使用期限”屬性，任務(wù)描述中沒有需求，所以設(shè)置為0天，輸入值“0:0:0:0”。但格式必須是d:h:m:s（天:小時:分:秒）。點擊【下一步】。操作步驟13.設(shè)置“密碼最長使用期限”屬性，設(shè)置為90天，輸入值“90:0:0:0”。點擊【下一步】。此屬性任務(wù)需求中雖沒有要求但必須要進(jìn)行設(shè)置，此屬性為對象強(qiáng)制要求設(shè)置。操作步驟14.設(shè)置“密碼鎖定閾值”屬性，設(shè)置3次輸入值“3”點擊【下一步】。操作步驟15.設(shè)置“復(fù)位帳戶記數(shù)器”的時間屬性，我們設(shè)置20分鐘后，計數(shù)器清0。輸入值“0:00:20:00”點擊【下一步】。操作步驟16.設(shè)置“密碼鎖定時間”屬性，我們也設(shè)置20分鐘，即20分鐘后解鎖。輸入值“0:00:20:00”點擊【下一步】。操作步驟17.最后如果點擊【完成】一個對象就建立完成了。再根據(jù)其他組要求將來相應(yīng)組的密碼策略對象。操作步驟18.都創(chuàng)建完成后，選擇創(chuàng)建好的對象鼠標(biāo)【右鍵】點擊【屬性】打開【對象屬性】界面。操作步驟19.找到“msDS-PSOAppliesTo”屬性雙擊，點擊【添加Windows賬戶】添加相應(yīng)的用戶組或用戶。操作步驟20.在【對象屬性界面】點擊【應(yīng)用】后點擊【確定】，至此配置完成?？梢詮男略O(shè)置一下不同組內(nèi)的用戶密碼看看來驗證你的策略。拓