27、利用组策略配置安全设置

利用组策略配置安全设置

在网络安全管理中，合理利用组策略来配置安全设置是至关重要的。下面将详细介绍相关的安全策略及配置方法。

账户解锁与 Kerberos 策略

若要解锁用户账户，可在用户属性对话框的“账户”选项卡中，勾选“解锁账户”复选框。若账户当前在 Active Directory 域控制器上被锁定，该复选框会显示相应提示信息。勾选后，点击“确定”或“应用”即可完成解锁操作。

Kerberos 策略子节点包含的设置，可根据向 Kerberos 密钥分发中心 (KDC) 发出的验证请求，对照用户账户的用户权利策略来实施登录限制。默认情况下，此部分的策略处于启用状态，它们定义了用户和服务票据的最长生命周期，以及计算机时钟同步的最大容差。需注意，虽然 Kerberos 策略通常不会在某些考试中出现，但要了解“计算机时钟同步的最大容差”这一策略设置。该设置指定了域控制器时钟与尝试进行身份验证的客户端计算机时钟之间的最大时间差（以分钟为单位）。若时钟差异超过指定的默认值（5 分钟），身份验证将失败。

细粒度密码策略

在 Windows 2000 和 Windows Server 2003 的 Active Directory 域中，仅允许在域级别定义单一的密码和账户锁定策略。若组织希望为特定用户组设置不同的密码策略，管理员要么创建新的域，要么使用第三方自定义密码过滤器。而 Windows Server 2008 引入了细粒度密码策略的概念，允许在同一域内为不同用户集应用细致的密码和账户锁定策略设置。例如，可对有权访问机密或受限信息的用户账户（如法律和产品研发部门的用户）应用更严格的策略设置，同时为无法访问此类信息的其他用户账户维持较为宽松的