本地安全策略 组策略

回顾

一.权限的继承

特殊权限：

工作组

二.磁盘管理：

1.磁盘的类型：

基本磁盘、动态磁盘

2.磁盘的分区方式：

1)MBR

主分区（系统）

扩展分区（不能直接使用）

逻辑分区（扩展分区内划分的分区）

主分区+扩展分区总数量不超过4个

2）GPT

3.动态磁盘

高读写

较强的扩展性

高可靠

卷名 数量 磁盘空间利用率 特点

简单卷 1 100% 可扩展

跨区卷 2-32（成员空间大小可不同） 100% 可扩展

带区卷 2-32（成员空间大小相同） 100% 高读写

镜像卷 只能2（成员空间大小相同） 50% 可靠性（容错，冗余，故障转移）

RAID-5 3-32(成员空间大小相同) (n-1)/n 可靠性（容错，冗余，故障转移）

选择以下可扩展的卷

A 简单

B 跨区

C 带区

D 镜像卷

E RAID-5

选择以下高读写的卷

A 简单

B 跨区

C 带区

D 镜像卷

E RAID-5

选择高可靠的卷

A 简单

B 跨区

C 带区

D 镜像卷

E RAID-5

有三块100G硬盘，创建RAID-5卷，选择校验占用的存储空间

A 100

B 200

C 300

D 150

有三块100G硬盘，创建RAID-5卷，选择数据占用的存储空间

A 100

B 200

C 300

D 150

一． WSB

windows server backup是系统自带的备份与还原工具

管理-添加角色和功能-下一步到功能选项-勾选windows server backup-下一步-安装

备份方式：

一次性备份

周期性按计划备份

备份内容

备份整个服务器（所有卷）

自定义（备份选定的卷或者特定的夹或文件）

一次性手动备份与恢复

1） D盘创建目录ntd并创建01.txt,02.txt

2） 工具- windows server backup-本地备份-一次性备份-其他选 项-下一步-自定义-下一步-添加项目-选择d:\ntd目录-下一步-本地驱动器-备份目标盘符-下一步-备份

3） 册除01.txt,02.txt

4） 恢复-此服务器-下一步-选择时间-下一步-文件和文件夹-下一步-选择ntd目录-下一步-原始位置-不恢复已存在-下一步-恢复

数据恢复时发现文件已在恢复目标目录中可选择

创建副本

覆盖现在版本

不恢复已存在

验证备份计划

一．本地安全策略

1.本地安全策略影响对象本地一台计算机

2.打开本地安全策略

控制面板-管理工具-本地安全策略

开始-widnows管理工具-本地安全策略

运行-secpol.msc

3.本地安全策略主要包含

1）帐户策略

2）本地策略

4.帐户策略

1）密码策略

密码必须符合复杂性要求（英文字母小写、大写、数字、特殊符号，四个个条件取其三，称为3/4原则）

密码长度最小值（范围0-14，0表示无限制）

密码最长使用期限（默认42天，范围0-999，0表示永不过期）

密码最短使用期限（0-998，0表示随时更改密码）

强制密码历史（范围0-24，0表示无限制）

2）帐户锁定策略

帐户锁定阈值（配置允许用户输入错误 密码的次数，设置范围0-999，默认为0表示不锁定帐户）

帐户锁定时间（帐户锁定多长时间后自动解锁，单位为分钟，设置范围0-99999，0必须由管理员手动解锁）

重置帐户锁定计数器（用户输入密码错误开始计时，当该时间超时，计数器重置为0）

验证帐户锁定阈值

配置帐户锁定阈值为5

注销普通用户登录输入5次错误密码

更改过锁定时间为1分钟

由管理员手动解锁

注：管理员不受帐户锁定策略的影响

5.本地策略

1）审核策略

清除日志：控制面板-管理工具-事件查看器-windows日志-右击安全-清除日志

验证：审核帐户管理

本地策略-审核策略-审核帐户管理-勾选成功与失败

管理员修改普通用户密码输入简单密码提示错误

查看日志：控制面板-管理工具-事件查看器-windows 日志-安全-查找锁图标的事件内容。

2）用户权限分配

验证普通用户更改系统时间

由普通用户登录进入桌面环境更改系统时间，默认无更改权限

本地策略-用户权限分配-更改系统时间-添加普通用户

验证普通用户关闭系统

对比win10与win普通用户关机的区别

Win主机-本地策略-用户权限分配-关闭系统-添加普通用户

普通用户登录再次验证关机操作

验证不允许普通用户本地登录

允许本地登录-删除users

验证普通用户能否本地登录

配置允许普通用户本地登录

拒绝本地登录

拒绝从网络访问

提高员工计算机操作的安全意识

3）安全选项

交互式登录：试图登录的消息标题

交互式登录：试图登录的消息文本

交互式登录：无须按ctrl+alt+del

交互式登录：不显示最后的用户名

帐户：使用空密码的用户仅允许本地控制台登录

二． 本地组策略

组策略是规范计算机/用户行为工具

组策略主要包含

计算机配置

用户配置

运行-gpedit.msc

拒绝U盘写入

运行-gpedit.msc

计算机配置-管理模板-系统-可移动存储访问-可移动磁盘拒绝写入-启用