一、 用戶的權利與權限 用戶在登錄時收到一個包含用戶權利的訪問令牌。用戶權利授權登錄計算機或網絡用戶在系統上執行特定操作。如果用戶沒有某項操作的權利，系統會阻止用戶操作。 權限定義了授予用戶或組對某個對象或對象屬性的訪問類型。 用戶的權利：是系統上的行為，比如：登錄、更改時間、關閉系統、從網絡訪問此計算機。 權限：是對象上的行為，比如：文件夾的讀寫權限，打印機的使用權限等。 例1：通過禁止用戶從本地登錄到計算機來測試用戶權利分配。成功之后，再把本地登錄權利分配給用戶。 1、 刪除“Users”組的本地登錄權利。 Users組用戶bei是本地用戶，可正常登錄計算機。 運行本地組策略編輯器。 定位到計算機配置→Windows設置→安全設置→本地策略→用戶權限分配允許在本地登錄，然后對右側“允許在本地登錄”雙擊。 刪除Users后確定，關閉所有窗口，然后注銷。 2、 測試權限是否已經刪除。 Bei用戶已經不能再登錄。 3、 為“Users”組分配本地登錄權利。 重新使用本地系統管理員身份登陸，再打開本地組策略編輯器，再次定位到下圖位置，把Users重新加入“允許在本地登錄”，再確定關閉所有窗口，注銷。 4、 測試是否分配成功。 再使用bei用戶登錄。 登錄成功。 二、使用“安全模板”、“安全配置和分析”來保護計算機 例2：為了提高財務部工作的安全，公司要求只允許財務部的用戶能從財務部計算機登錄到域，禁止其他用戶從賬務部計算機登陸，財務部成員使用不小于10位的復雜密碼，在該部門用戶登陸時必須顯示一個對話框，告知未經授權禁止使用財務部電腦，并且禁用“Alerter”服務。 1、域控制器上，在Active Directory用戶和計算機中，當前財務部用戶情況如下圖： 2、在財務部下建立一個“財務部計算機”組織單位（OU），并把所有財務部計算機移到其內。 3、假設GLASGOW代表所有財務部計算機，把它從容器“Computers”移到“財務部計算機”內。 4、在財務部內建立一個全局安全組“G S 財務組”（不要建成了域本地安全組），用于容納所有財務部用戶。 5、財務部所有用戶賬戶添加到“G S 財務組”中，確定后，關閉Active Directory用戶和計算機。 6、 在運行中輸入MMC執行，在MMC中添加“安全模板”、“安全配制和分析”。 7、 安全模板：是經過配置的安全設置的集合。本例以Securedc.inf為模板新建一個MY Securedc.inf模板。 系統自帶安全模板功能介紹， 域控制器默認安全設置(DC security.inf):針對域控制器指定缺省安全設置從默認安全設置更新（security.inf） 兼容(Compatws.inf):針對用戶組啟用最大應用程序兼容性來修改權限和注冊表設置 安全(Securedc.inf 、Securews.inf):加強安全設置（定義了至少可能影響應用程序兼容性的增強安全設置） 高級安全(Hisecdc.inf 、Hisecws.inf):在安全設置中增加了限制 系統根目錄安全 (Rootsec.inf):為系統驅動器根目錄定義權限 8、 對Securedc右擊選菜單中的另存為，給新的安全模板取名為：MY Securedc，并展開它。 9、 更改密碼長度最小值為10個字符。 10、 “允許在本地登錄”設為“G S 財務組”和“Administrators”組。（“Administrators”組是必須的，不然系統會拒絕設置） 11、 設置登錄時消息標題“登陸請注意：”。 12、 登錄時消息文字：“非財務部所屬員工，禁止使用財務部電腦，一經發現嚴重處理。???? 公司經理室” 13、 禁用系統服務：Alerter。 14、 保存當前對模板的修改。 15、 使用“安全配置和分析”工具比較MY Securedc安全設置和當前正使用的安全設置有什么區別。（它將本地計算機的安全配置與另一個候選配置進行比較，該候選配置從一個安全模板（.inf文件）導入并保存在一個單獨的數據庫（.sdb文件）中。分析結束后，管理員可以瀏覽控制臺樹中的安全設置以查看結果。兩者不匹配的設置項以紅色叉號標記，一致的設置項以綠色句號鉤標記。沒有用這兩種符號的表明沒有在數據庫中配置該項。） 16、 首先對“安全配置和分析”右擊選“打開數據庫”。 17、 在文件名中輸入新建數據庫的名字：my securedc，再單擊“打開”。 18、 在導入模板中選擇“my securedc.inf”，單擊打開。 19、 裝入比較模板后，再對它右擊選“立即分析計算機”。 20、 指定錯誤日志文件路徑后，確定。 21、 這是分析出來的結果，可以關閉MMC了。【注意：這個工具只是用來分析一個候選安全配置和當前安全配置之間的的差別，并不是本例中要實現這些功能所必須的。】 22、 安全模板建成后需要導入GPO中來使用，接下來，在“組策略管理”中建立一個“賬務部安全策略”的新策略，然后把這個GPO鏈接到“財務部”。 23、 剛鏈接的GPO“財務部安全策略”順序號為7，優先積最低，它的一些安全設置可能被上面的GPO所覆蓋，因此把它移到第一位。（按一下左側的向上雙三角形） 24、 對這個GPO進行編輯。 25、 在計算機配置→Windows設置→安全設置上右擊，選“導入策略”。 26、 選剛編輯好的安全模板“MY securedc.inf”，再單擊“打開”。 27、 關掉組策略編輯器和組策略管理，在開始→運行中執行：gpupdate /force，刷新組策略，輸入N不注銷。 28、 對財務部的計算機（Glasgow）重啟，測試效果，按Ctrl+Alt+Delete后出現的登陸對話框。 使用非財務部成員來登陸被拒絕。 使用財務部成員jack可正常登陸。 【說明：雖然現在限定了用戶密碼最小為10個字符，但以前設置的不足10個字符的密碼仍可用，但后來新建的用戶就需要10個了。】 三 、配置審核和安全日志管理 沒有綜合審核策略的安全策略是不完整的策略。審核就是通過在服務器或工作站的安全日志中記錄選定類型的事件來跟蹤用戶和操作系統的活動。常見審核的內容如下： ? 訪問對象，例如文件和文件夾； ? 用戶賬戶和組賬戶的管理； ? 用戶登錄到系統和從系統注銷。 例3：Glasgow為域中的文件服務器，要求在其中建立一個共享文件夾“機密文件”，只允許財務部用戶訪問并完全控制，但有可能有非財務部用戶嘗試非法訪問，或者有人晚上加班時偷用財部電腦訪問，為了確保它的正規使用，要求跟蹤所有成功和失敗訪問事件。另外，懷疑財務部的委派管理員，私自建立用戶賬戶給非財務部人員使用，然后又刪除，要求記錄相關事件，以做為有力證據。 要完成這些要求，需要先建立審核策略，再對審核對象進行配置，啟動它的相關審核功能。 本例中的網絡環境： 當前域中OU結構、委派管理員，及鏈接財務部的GPO和例2相同。 1. 打開審核策略中的“審核對象訪問”和“審核帳戶管理”的成功、失敗審核。 因為“財務部安全策略”鏈接在財務部，且財務部所有的用戶和計算機賬戶都在財務部，對“財務部安全策略”右擊選“編輯”。 在打開的組策略編輯器中，定位到“審核策略”。 【知識點： 審核策略更改：該安全設置確定是否審核用戶權限分配策略、審核策略或信任策略更改的每一個事件。 審核登錄事件：該安全設置確定是否審核每一個登錄或注銷計算機的用戶實例。 審核對象訪問：該安全設置確定是否審核用戶訪問某個對象的事件，例如文件、文件夾、注冊表項、打印機等，它們都有自己特定的系統訪問控制列表 (SACL)。 審核過程跟蹤：該安全設置確定是否審核事件（例如程序激活、進程退出、句柄復制和間接對象訪問等）的詳細跟蹤信息。 審核目錄服務訪問：該安全設置確定是否審核用戶訪問那些指定自己的系統訪問控制列表 (SACL) 的 Active Directory 對象的事件。 審核特權使用：該安全設置確定是否審核用戶實施其用戶權利的每一個實例。 審核系統事件:當用戶重新啟動或關閉計算機時或者對系統安全或安全日志有影響的事件發生時，安全設置確定是否予以審核。 審核帳戶登錄事件：該安全設置確定是否審核在這臺計算機用于驗證帳戶時，用戶登錄到其他計算機或者從其他計算機注銷的每個實例。當在域控制器上對域用戶帳戶進行身份驗證時，將產生帳戶登錄事件。該事件記錄在域控制器的安全日志中。當在本地計算機上對本地用戶進行身份驗證時，將產生登錄事件。該事件記錄在本地安全日志中。不產生帳戶注銷事件。 審核帳戶管理：該安全設置確定是否審核計算機上的每一個帳戶管理事件。帳戶管理事件的例子包括：創建、更改或刪除用戶帳戶或組、重命名、禁用或啟用用戶帳戶、設置或更改密碼。】 打開審核對象訪問的成功、失敗操作。（用于跟蹤記錄文件夾的成功、失敗訪問操作） 再打開審核賬戶管理的成功操作。(用于跟蹤記錄財務部成功對用戶的建立、刪除等操作，這里不需要記錄失敗操作) 【知識點：并不是所有操作都需要審核成功和失敗事件的，通過實踐，我們有最佳配置審核的方法： l 審核目錄服務訪問類別成功事件 l 審核對象訪問目錄類別成功事件 l 審核系統類別成功和失敗事件 l 審核在域控制器上策略改變類別成功或失敗事件 l 審核賬戶管理類別成功和失敗事件 l 審核登錄類別成功事件 l 審核域控制器上賬戶登錄類別的成功事件 l 設置合適的安全日志大小????? 】 2. 在Glasgow上建立一個共享文件夾“機密文件”，只允許財務部用戶訪問并完全控制，另外對其進行訪問進行策略審核【說明：本例操作全部都在域控制器上完成。】 打開Active Directory用戶和計算機，找到財務部中的Glasgow計算機，并對它右擊選“管理”（本例是接上例，這里所有財務部用戶都隸屬于“G S 財務組”）。 在計算機管理中，展開系統工具→共享文件夾→共享，在右側單擊選“新建共享”。 下一步 單擊瀏覽。 在D$上新建一個文件夾“機密文件”，并要確保D盤是NTFS系統，不然無法使用文件夾的審核策略。 單擊“自定義”按鈕，在共享權限和安全選項卡中都加入“G S 財務組”，并設為完全控制，刪除其他用戶和組，然后“確定”。 在安全中單擊“高級”，在高級的“審核”選項卡中單擊“添加”，把everyone加入并確定。 對Everyone訪問設置成所有成功和失敗事件。 一路確定下來，再“關閉”。 3. 對組織單位（OU）財務部進行管理審核。 打開“財務部”的屬性。 在彈出的屬性框的安全中單擊“高級”按鈕，在高級的審核選項卡在單擊“添加”按鈕。 審核項目為：Everyone。 只審核成功管理。 一路確定下來，完成了對文件夾的審核設置。 4. 測試：對“財務部”的賬戶管理跟蹤。 所有審核事件都記錄在“安全性”日志中，對域賬戶管理都記錄在域控制器的“安全性”日志中，但并不是所有對象的“安全性”日志都在域控制器上，比如“機密文件”在Glasgow上，它的審核策略就記錄在Glasgow的“安全性”日志中，為了后面的審核日志很干凈，我們把域控制器London當前所有的安全性日志，全保存后再刪除。 在Glasgow上用Leo用戶登陸，履行其委派管理員職能，先運行MMC，添加“Active Directory用戶和計算機”管理單元，在“財務部”中建立一個用戶cool。 回以域控制器London的事件查看器，在右側刷新下，出現很多最新的審核日志。 使用篩選，只篩選出來源“Security”和分類“賬戶管理”。 日志記錄了Leo創建了用戶Cool。 5. 測試對“機密文件”的訪問跟蹤 用Leo用戶通過“網上鄰居”訪問Glasgow上的“機密文件”，并建立一個文件夾。 在域控制器London上的本地事件查看中，關于“對象訪問”的分類，并沒有“機密文件”的日志，顯然它不存儲在域控制器上。 對“事件查看器（本地）”右擊，選“連接到另一臺計算機”。 連接到Glasgow。 篩選出來源“Security”和分類“對象訪問”。 篩選出很多“對象訪問”分類的日志記錄，其中有Leo建立的“Leo測試訪問跟蹤”文件夾的跟蹤日志記錄。 另外1：對每一種日志右擊選“屬性”，可設置日志上限和達到大小上限時采用的處理方法。 另外2：也可以在組策略中對安全設置→事件日志，對日志的訪問、大小、保留等情況設置。 本文出自 51CTO.COM技術博客

轉載于:https://blog.51cto.com/yllmz/288560

總結

以上是生活随笔為你收集整理的网络管理员＆MCSE2003之12: 第8章 应用管理模板和审核策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。