46、活动目录管理与维护全解析

活动目录管理与维护全解析

1. 利用组策略保障安全

活动目录中，组策略是一项强大且实用的技术。系统管理员借助组策略设置，能为用户、组和组织单位（OU）分配数百种不同的设置和选项。在安全方面，可通过组策略控制密码策略、用户权限和账户锁定设置等重要功能。

1.1 有效使用组

假设你是一家中型企业的新系统管理员，网络覆盖单一园区环境。前任管理员将网络从 Windows NT 迁移到 Windows Server 2003，但管理方式较为随意，资源权限多是按需分配给单个账户，目录设计和资源分配缺乏策略。

公司收购新公司后，为确保新组织融入时信息系统平稳运行，需采用最佳网络管理实践，其中关键是使用组来分配权限。尽管单独分配权限简单，但从长远看，创建组并分配权限，再将用户添加到组中，更有利于网络的扩展和管理。

1.2 组策略安全设置

创建安全的活动目录环境，可通过创建组策略对象（GPO）并将其链接到 OU 或其他活动目录对象来实现。以下是一些相关的组策略设置：
| 设置部分 | 设置名称 | 目的 |
| ---- | ---- | ---- |
| 账户策略 - 密码策略 | 强制密码历史记录 | 指定要记住的密码数量，防止用户重复使用相同密码 |
| 账户策略 - 密码策略 | 最小密码长度 | 指定密码必须包含的最小字符数，防止使用短而弱的密码 |
| 账户策略 - 账户锁定策略 | 账户锁定持续时间 | 指定账户锁定后保持锁定的时长，减少管理开销并维持安全 |
| 本地策略 - 安全选项 | 账户：重命名管理员账户 | 重命名管理员账户，增加安全，防止猜测密