中職 Windows操作系統(tǒng)安全配置任務(wù)1 域用戶、用戶組的權(quán)限安全配置教學(xué)課件

中職Windows操作系統(tǒng)安全配置任務(wù)1域用戶、用戶組的權(quán)限安全配置教學(xué)課件工信版任務(wù)1域用戶、用戶組的權(quán)限安全配置項(xiàng)目一ActiveDirectory域用戶的安全配置社任務(wù)描述

校園網(wǎng)絡(luò)中使用域控制器對(duì)網(wǎng)絡(luò)中用戶進(jìn)行統(tǒng)一的管理，針對(duì)安全需求不同的用戶組，設(shè)定不同的密碼策略進(jìn)行管理?，F(xiàn)要求，應(yīng)用服務(wù)器管理員使用密碼策略為，密碼長(zhǎng)度最少8位，密碼必須符合復(fù)雜性要求，密碼強(qiáng)制歷史1個(gè)，密碼鎖定閾值3次；教職員用戶組密碼策略為，密碼長(zhǎng)度最少6位，密碼必須符合復(fù)雜性要求，密碼鎖定閾值3次；學(xué)生用戶密碼策略為，密碼長(zhǎng)度最少6位，密碼鎖定閾值3次。這些任務(wù)要求網(wǎng)絡(luò)安全工程師小張?jiān)谧羁斓臅r(shí)間內(nèi)完成，為完成后續(xù)的任務(wù)做好準(zhǔn)備。任務(wù)分析 校園網(wǎng)絡(luò)中用戶越來(lái)越多，目前使用WindowsServer服務(wù)器操作系統(tǒng)的單位，使用域控制器方便對(duì)網(wǎng)絡(luò)中的服務(wù)、系統(tǒng)、用戶進(jìn)行統(tǒng)一的管理。首先對(duì)用戶進(jìn)行分級(jí)的管理，針對(duì)安全需求不同的用戶組，設(shè)定不同的密碼策略進(jìn)行管理。通過(guò)針對(duì)用戶或全局安全組設(shè)置相應(yīng)的用戶密碼策略，這樣可以針對(duì)不同的部門實(shí)施不同的密碼策略了，當(dāng)然，網(wǎng)絡(luò)安全工程師在規(guī)劃用戶分組的過(guò)程中，最好把不同的部門用戶加入到不同的全局組內(nèi)。這需要網(wǎng)絡(luò)工程師為相應(yīng)的部門創(chuàng)建組織單位（OU），或者建立全局組，再把部門用戶帳號(hào)加入該全局組，這是推薦的方式。所以小張要做的就是針對(duì)不同的特殊部門組創(chuàng)建密碼策略就可以了。任務(wù)分析 多元密碼策略或顆?；艽a策略FGPP（Fine-GrainedPasswordPolicies），它可以讓我們?cè)谝粋€(gè)域環(huán)境內(nèi)實(shí)現(xiàn)多套密碼策略。可以針對(duì)用戶或全局安全組設(shè)置相應(yīng)的用戶密碼策略，這樣就相當(dāng)于我們可以針對(duì)不同的部門實(shí)施不同的密碼策略了，當(dāng)然，你最好把不同的部門用戶加入到不同的全局組內(nèi)。相應(yīng)的部門創(chuàng)建OU，異或再建全局組，再把部門用戶帳號(hào)加入該全局組，所以你要做的就是針對(duì)不同的特殊部門組創(chuàng)建密碼策略就可以了。應(yīng)用策略優(yōu)先級(jí)原則：1.【用戶級(jí)別密碼策略】>【全局組級(jí)別密碼策略】>【域級(jí)別密碼策略】；2.同一級(jí)別，如用戶，關(guān)聯(lián)多個(gè)PSO（Password-Setting-Object）時(shí)，優(yōu)先（Precedence）值最小的生效；而最終判斷原則，上述兩點(diǎn)中，先判斷第一點(diǎn)，再判斷第二點(diǎn)。操作步驟

使用ADSI編輯器創(chuàng)建密碼設(shè)置對(duì)象（PSO），針對(duì)用戶或組應(yīng)用密碼設(shè)置對(duì)象（PSO），驗(yàn)證用戶的密碼設(shè)置對(duì)象應(yīng)用。域中用戶組名稱分別為，應(yīng)用服務(wù)器管理員組【serveradmin】，教職員用戶組【teachergroup】，學(xué)生用戶組【studentgroup】。1.在域控制器服務(wù)器桌面點(diǎn)擊【開(kāi)始】菜單，選擇【管理工具】，打開(kāi)【ADSI編輯器】。操作步驟2.鼠標(biāo)右鍵單擊窗口左側(cè)的【ADSI編輯器】，然后點(diǎn)擊【連接到】。操作步驟3.使用默認(rèn)配置點(diǎn)擊【確定】。連接域控制器。操作步驟4.找到域下的密碼設(shè)置容器（CN=System->CN=PasswordSettingsContainer）。然后右鍵選擇【新建】-->【對(duì)象】。操作步驟5.在【創(chuàng)建對(duì)象】界面中使用默認(rèn)，點(diǎn)擊【下一步】。操作步驟6.為對(duì)象設(shè)置一個(gè)名稱，這里使用與用戶組相同的名稱，應(yīng)用服務(wù)器管理員設(shè)置名稱，為“serveradmin”。點(diǎn)擊【下一步】。操作步驟7.設(shè)置優(yōu)先級(jí)屬性為1，值越小優(yōu)先級(jí)越高。點(diǎn)擊【下一步】繼續(xù)。操作步驟8.設(shè)置“是否用可還原的加密來(lái)存儲(chǔ)密碼”屬性，設(shè)置為否，輸入“false”，點(diǎn)擊【下一步】。操作步驟9.設(shè)置“密碼歷史”屬性為1次，輸入值為1。點(diǎn)擊【下一步】。操作步驟10.設(shè)置“選擇是否啟用密碼復(fù)雜性”屬性，設(shè)置為是，輸入值為“true”，點(diǎn)擊【下一步】。操作步驟11.設(shè)置“最小密碼長(zhǎng)度”屬性，輸入值為“8”，即最短8個(gè)字符長(zhǎng)度。操作步驟12.設(shè)置“密碼最短使用期限”屬性，任務(wù)描述中沒(méi)有需求，所以設(shè)置為0天，輸入值“0:0:0:0”。但格式必須是d:h:m:s（天:小時(shí):分:秒）。點(diǎn)擊【下一步】。操作步驟13.設(shè)置“密碼最長(zhǎng)使用期限”屬性，設(shè)置為90天，輸入值“90:0:0:0”。點(diǎn)擊【下一步】。此屬性任務(wù)需求中雖沒(méi)有要求但必須要進(jìn)行設(shè)置，此屬性為對(duì)象強(qiáng)制要求設(shè)置。操作步驟14.設(shè)置“密碼鎖定閾值”屬性，設(shè)置3次輸入值“3”點(diǎn)擊【下一步】。操作步驟15.設(shè)置“復(fù)位帳戶記數(shù)器”的時(shí)間屬性，我們?cè)O(shè)置20分鐘后，計(jì)數(shù)器清0。輸入值“0:00:20:00”點(diǎn)擊【下一步】。操作步驟16.設(shè)置“密碼鎖定時(shí)間”屬性，我們也設(shè)置20分鐘，即20分鐘后解鎖。輸入值“0:00:20:00”點(diǎn)擊【下一步】。操作步驟17.最后如果點(diǎn)擊【完成】一個(gè)對(duì)象就建立完成了。再根據(jù)其他組要求將來(lái)相應(yīng)組的密碼策略對(duì)象。操作步驟18.都創(chuàng)建完成后，選擇創(chuàng)建好的對(duì)象鼠標(biāo)【右鍵】點(diǎn)擊【屬性】打開(kāi)【對(duì)象屬性】界面。操作步驟19.找到“msDS-PSOAppliesTo”屬性雙擊，點(diǎn)擊【添加Windows賬戶】添加相應(yīng)的用戶組或用戶。操作步驟20.在【對(duì)象屬性界面】點(diǎn)擊【應(yīng)用】后點(diǎn)擊【確定】，至此配置完成?？梢詮男略O(shè)置一下不同組內(nèi)的用戶密碼看看來(lái)驗(yàn)證你的策略。拓