Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目7 修改域用户的账户策略.pptx

项目7修改域用户的账户策略

客户机用户的设置原则域用户的设置原则域用户账户策略目录

客户机用户的设置原则

客户机用户的设置原则要使用Windows操作系统，必须先输入有效的用户账户和密码，在系统验证无误后才可以使用，并且在默认情况下可以访问和使用大部分资源。由此可见，用户对操作系统来说是非常重要的，而域用户更加重要，因为通过它可以访问域中的大部分计算机和资源。因此，要保证网络中的数据安全，需要先确保网络中的账户安全。

用户账户管理唯一性和准确性：确保每个用户账户都是唯一的，并且账户信息（如用户名、全名、电子邮件地址等）是准确无误的。这有助于避免混淆和错误，提高网络管理的效率。创建与删除：根据业务需求及时创建新用户账户，并在用户离职或不再需要访问网络时及时删除其账户。这有助于维护网络的安全性和整洁性。命名规范：制定用户账户命名的规范，例如使用“姓名首字母+部门缩写+数字”的格式，以便于管理和识别。

安全策略强密码策略：实施强密码策略，要求用户定期更换密码，并使用复杂的密码组合（包括字母、数字和特殊字符）。这有助于防止未经授权的访问和账户被破解的风险。账户锁定策略：设置账户锁定策略，当用户连续输入错误密码达到一定次数时，自动锁定其账户。这可以防止暴力破解攻击，并保护账户安全。权限分配：根据用户的职责和需要分配适当的访问权限。避免给用户过多的权限，以减少潜在的安全风险。

域用户的设置原则

域用户的定义域用户（DomainUser）是在企业或组织的网络环境中，由网络管理员创建和管理的用户账号，这些账号用于访问网络中的资源和服务。具体来说，域用户是域环境中的逻辑组织单元之一，其所有信息都保存在活动目录（ActiveDirectory,AD）中，并由域控制器（DomainController,DC）进行身份验证和策略管理。域用户位于域全局组（如DomainUsers）中，与计算机本地用户账户（位于本地User组中）相区分。当计算机加入域时，全局组DomainUsers会被添加到计算机本地User组中，从而允许域用户在该计算机上登录和使用资源。

域用户的设置原则针对域用户，域管理员通常会对其密码进行以下处理：1.禁止使用空密码。空密码在给用户带来方便的同时，也给恶意用户带来了便捷。2.禁止使用与用户登录名相同或相关密码，这类密码被破译的概率非常高。3.禁止使用用户的相关个人信息作为密码。有很多用户习惯用生日、电话号码等个人信息作为密码，但用户的个人信息很容易被其他人知道，因此这类密码非常容易被破译。4.禁止使用英文单词作为密码。各种密码破译软件中都有一个密码字典，如果你的系统允许别人任意次地猜测密码，那么这类密码是非常容易被破译的。5.建议使用复杂的密码。复杂的密码至少要包括大小写字母、数字、特殊字符，并且是无意义的组合和不少于8位长度，如1qez@WYX。此外，还需要定期修改密码

域用户设置的重要性降低成本减少因错误配置或安全漏洞导致的损失提高安全通过策略控制访问权限简化管理集中化用户账户和权限管理提升效率快速部署和更新用户配置

域用户账户策略

域用户账户策略在默认情况下，活动目录中的一个域只能使用一套密码策略，这套密码策略由“DefaultDomainPolicy”进行统一管理。如果一些企业需要针对不同的群体设置不同的密码策略，则需要启用多元化密码策略（要求Windowsserver2008R2及以上域功能级别）。多元化密码策略的部署方法将在后续项目中进行介绍。