27、使用组策略配置安全

使用组策略配置安全

在当今数字化的时代，网络安全至关重要。通过组策略来配置安全是一种有效的手段，下面将为大家详细介绍相关的安全策略和配置方法。

1. 账户解锁

若要解锁账户，可在用户属性对话框的“账户”选项卡中，找到“解锁账户”复选框。若该账户当前在活动目录域控制器上被锁定，此复选框会显示相应提示。选中该复选框，然后点击“确定”或“应用”即可。

2. Kerberos 策略

Kerberos 策略子节点包含的设置，可根据向 Kerberos 密钥分发中心 (KDC) 发出的验证请求，对照用户账户的用户权利策略来强制实施登录限制。默认情况下，此部分的策略处于启用状态。这些策略定义了用户和服务票据的最长生命周期，以及计算机时钟同步的最大容差。

需要注意的是，Kerberos 策略通常不会出现在 70 - 640 考试中。但你应了解“计算机时钟同步的最大容差”策略设置，该设置指定了域控制器时钟与尝试进行身份验证的客户端计算机时钟之间的最大分钟差异。若时钟差异超过指定值（默认值为五分钟），身份验证将失败。

3. 精细密码策略

在 Windows 2000 和 Windows Server 2003 的活动目录域中，仅允许在域级别定义单一的密码和账户锁定策略。若组织希望为特定用户组设置不同的密码策略，管理员必须创建新域或使用第三方自定义密码过滤器。

而 Windows Server 2008 引入了精细密码策略的概念，可在同一域内对不同用户集应用细致的密码和账户锁定策略设置。例如，可对有权访问机密或受限信息（如法律和产品研发部门）的用户账户应用更严格的策略设置，同时为无法访问此类信息