第1页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共15页实验七设置安全策略实验背景某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单,容易被扫描软件扫描扫到,同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象管理员需要查找是否有人有意的删除文件。由于域用户帐号一旦登录域内成员主机成功,访问文件服务器不在需要做身份验证,为了放置有人恶意尝试用户密码,公司要求所有员工有三次输入密码机会,三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定,不得不频繁找管理员,管理员需设定用户帐号的30分钟自动解锁。公司有人反应访问加入域后,用域用户帐号登录后不能自动关机,公司要求所有员工下班必须关机离开,管理员解决这个问题。有部分输入domainusers组的员工需要登录域控制器,可这些员工反应他们无法登录域控制器,管理员解决这个问题文件服务器公司要求所有员工可以网络访问,但不可以对文件服务器本地登录,公司要求管理员完成,并对文件服务器做登录审核。对于文件服务器,公司要求本地登录成功后需要提示:标题:重要警告,内容:服务器重地,请不要做任何删除和剪切。实验目标1所有域用户帐号在设置密码时,必须符合复杂密码要求,密码长度至少7位,密码必须每60天更新一次2设置三次密码锁定,设置锁定复位时间30分钟。3为域控制器启动帐号的登录审核,对文件服务器启动对象审核4把域用户帐号加入关闭系统,保证可以下班关机5把域用户帐号加入本地登录安全策略6文件服务器上把所有的用户帐号加入拒绝网络访问,对文件服务器启动审核7对文件服务器设置登录提示第2页共15页第1页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共15页实验环境1一人一组2准备2台WindowsServer2003虚拟机(1台域控制器,1台成员主机)3实验网络为192.168.8.0/24实验步骤:1在域控制器上完成以域管理员登录域控制器,设置域安全策略gpupdate更新域安全策略第3页共15页第2页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共15页创建用户帐号test重启成员主机,用test帐号登录输入简单密码123第4页共15页第3页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共15页输入正确密码2在域控制器上以域管理员登录更新域测试第5页共15页第4页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共15页重新启动成员主机,故意输入密码3次错误输入正确密码,帐号已经被锁定思考:test帐号即使用正确密码都没有办法登录,目前用什么方法可以让test帐号马上登录成功。在test帐号锁定的状态下,如果在另外一个域内的成员主机上用test登录,可以登录成功吗?3域管理员在域控制器上设置域控制器安全策略的登录审核第6页共15页第5页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第6页共15页利用gpupdate更新策略。登录域控制器查看结果查看登录日志第7页共15页第6页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第7页共15页思考:如果域管理员administrator登录成员主机,会有日志结果吗。域管理员在域控制器上设置域安全策略在文件服务器上对公司资料设置everyone审核第8页共15页第7页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第8页共15页以test帐号登录文件服务器,删除文件,查看结果思考,用test帐号本身可以查看事务日志吗4用域用户帐号test在成员主机上登录,关机结果为域管理员在域控制器上设置域安全策略第9页共15页第8页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第9页共15页gpupdate更新策略重新启动成员成员主机,用test帐号登录,可关机以test帐号在域控制器上登录第10页共15页第9页共15页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第10页共15页域管理员在域控制器设置域控制器安全策...
