《中职 Windows操作系统安全配置任务1 域用户、用户组的权限安全配置教学课件.pptx》由会员分享,可在线阅读,更多相关《中职 Windows操作系统安全配置任务1 域用户、用户组的权限安全配置教学课件.pptx(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中职 Windows操作系统安全配置任务1 域用户、用户组的权限安全配置教学课件 工信版任务1 域用户、用户组的权限安全配置项目一 Active Directory域用户的安全配置社社任务描述校园网络中使用域控制器对网络中用户进行统一的管理,针对安全需求不同的用户组,设定不同的密码策略进行管理。现要求,应用服务器管理员使用密码策略为,密码长度最少8位,密码必须符合复杂性要求,密码强制历史1个,密码锁定阈值3次;教职员用户组密码策略为,密码长度最少6位,密码必须符合复杂性要求,密码锁定阈值3次;学生用户密码策略为,密码长度最少6位,密码锁定阈值3次。这些任务要求网络安全工程师小张在最快的时间内完
2、成,为完成后续的任务做好准备。任务分析校园网络中用户越来越多,目前使用Windows Server服务器操作系统的单位,使用域控制器方便对网络中的服务、系统、用户进行统一的管理。首先对用户进行分级的管理,针对安全需求不同的用户组,设定不同的密码策略进行管理。通过针对用户或全局安全组设置相应的用户密码策略,这样可以针对不同的部门实施不同的密码策略了,当然,网络安全工程师在规划用户分组的过程中,最好把不同的部门用户加入到不同的全局组内。这需要网络工程师为相应的部门创建组织单位(OU),或者建立全局组,再把部门用户帐号加入该全局组,这是推荐的方式。所以小张要做的就是针对不同的特殊部门组创建密码策略就
3、可以了。任务分析多元密码策略或颗粒化密码策略FGPP(Fine-Grained Password Policies),它可以让我们在一个域环境内实现多套密码策略。可以针对用户或全局安全组设置相应的用户密码策略,这样就相当于我们可以针对不同的部门实施不同的密码策略了,当然,你最好把不同的部门用户加入到不同的全局组内。相应的部门创建OU,异或再建全局组,再把部门用户帐号加入该全局组,所以你要做的就是针对不同的特殊部门组创建密码策略就可以了。应用策略优先级原则:1.【用户级别密码策略】【全局组级别密码策略】【域级别密码策略】;2.同一级别,如用户,关联多个PSO(Password-Setting-O
4、bject)时,优先(Precedence)值最小的生效;而最终判断原则,上述两点中,先判断第一点,再判断第二点。操作步骤使用ADSI编辑器创建密码设置对象(PSO),针对用户或组应用密码设置对象(PSO),验证用户的密码设置对象应用。域中用户组名称分别为,应用服务器管理员组【server admin】,教职员用户组【teacher group】,学生用户组【student group】。1.在域控制器服务器桌面点击【开始】菜单,选择【管理工具】,打开【ADSI 编辑器】。操作步骤2.鼠标右键单击窗口左侧的【ADSI 编辑器】,然后点击【连接到】。操作步骤3.使用默认配置点击【确定】。连接域控
5、制器。操作步骤4.找到域下的密码设置容器(CN=System-CN=Password Settings Container)。然后右键选择【新建】-【对象】。操作步骤5.在【创建对象】界面中使用默认,点击【下一步】。操作步骤6.为对象设置一个名称,这里使用与用户组相同的名称,应用服务器管理员设置名称,为“server admin”。点击【下一步】。操作步骤7.设置优先级属性为1,值越小优先级越高。点击【下一步】继续。操作步骤8.设置“是否用可还原的加密来存储密码”属性,设置为否,输入“false”,点击【下一步】。操作步骤9.设置“密码历史”属性为1次,输入值为1。点击【下一步】。操作步骤10
6、.设置“选择是否启用密码复杂性”属性,设置为是,输入值为“true”,点击【下一步】。操作步骤11.设置“最小密码长度”属性,输入值为“8”,即最短8个字符长度。操作步骤12.设置“密码最短使用期限”属性,任务描述中没有需求,所以设置为0天,输入值“0:0:0:0”。但格式必须是d:h:m:s(天:小时:分:秒)。点击【下一步】。操作步骤13.设置“密码最长使用期限”属性,设置为90天,输入值“90:0:0:0”。点击【下一步】。此属性任务需求中虽没有要求但必须要进行设置,此属性为对象强制要求设置。操作步骤14.设置“密码锁定阈值”属性,设置3次输入值“3”点击【下一步】。操作步骤15.设置“
7、复位帐户记数器”的时间属性,我们设置20分钟后,计数器清0。输入值“0:00:20:00”点击【下一步】。操作步骤16.设置“密码锁定时间”属性,我们也设置20分钟,即20分钟后解锁。输入值“0:00:20:00”点击【下一步】。操作步骤17.最后如果点击【完成】一个对象就建立完成了。再根据其他组要求将来相应组的密码策略对象。操作步骤18.都创建完成后,选择创建好的对象鼠标【右键】点击【属性】打开【对象属性】界面。操作步骤19.找到“msDS-PSOAppliesTo”属性双击,点击【添加Windows账户】添加相应的用户组或用户。操作步骤20.在【对象属性界面】点击【应用】后点击【确定】,至此配置完成。可以从新设置一下不同组内的用户密码看看来验证你的策略。拓展练习使用ADSI编辑器,在密码设置容器中新建对象(server admins),设置最小密码长度为6;密码使用期限从最短的0天到最长的60天;密码锁定阈值为5;密码锁定时间设定为20分钟。THANK YOU感谢观看社社