活动目录管理与维护全解析
1. 利用组策略保障安全
活动目录中,组策略是一项强大且实用的技术。系统管理员借助组策略设置,能为用户、组和组织单位(OU)分配数百种不同的设置和选项。在安全方面,可通过组策略控制密码策略、用户权限和账户锁定设置等重要功能。
1.1 有效使用组
假设你是一家中型企业的新系统管理员,网络覆盖单一园区环境。前任管理员将网络从 Windows NT 迁移到 Windows Server 2003,但管理方式较为随意,资源权限多是按需分配给单个账户,目录设计和资源分配缺乏策略。
公司收购新公司后,为确保新组织融入时信息系统平稳运行,需采用最佳网络管理实践,其中关键是使用组来分配权限。尽管单独分配权限简单,但从长远看,创建组并分配权限,再将用户添加到组中,更有利于网络的扩展和管理。
1.2 组策略安全设置
创建安全的活动目录环境,可通过创建组策略对象(GPO)并将其链接到 OU 或其他活动目录对象来实现。以下是一些相关的组策略设置:
| 设置部分 | 设置名称 | 目的 |
| ---- | ---- | ---- |
| 账户策略 - 密码策略 | 强制密码历史记录 | 指定要记住的密码数量,防止用户重复使用相同密码 |
| 账户策略 - 密码策略 | 最小密码长度 | 指定密码必须包含的最小字符数,防止使用短而弱的密码 |
| 账户策略 - 账户锁定策略 | 账户锁定持续时间 | 指定账户锁定后保持锁定的时长,减少管理开销并维持安全 |
| 本地策略 - 安全选项 | 账户:重命名管理员账户 | 重命名管理员账户,增加安全,防止猜测密
