公钥策略/加密文件系统 证书 颁发给 Administrator 有关单个设置的其他信息,请启动组策略对象编辑器。 公钥策略/受信任的根证书颁发机构 属性 策略 允许用户选择新的根证书授权机构(CA)来信任 客户端计算机可以信任下列证书存储 若要对用户和计算机执行基于证书的身份验证,CA 必须符合下列标准 用户配置(已启用) 策略 Windows 设置 远程安装服务 客户端安装向导选项 策略 工具 重新启动安装 自定义安装
设置 已禁用 已禁用 已禁用 设置 已启用 颁发者 Administrator 截止日期
2010/5/31 16:43:58 预期目的 文件恢复 第三方根证书授权机构和企业根证书授权机构 仅在 Active Directory 中注册
微软中行项目小组 Page 2 of 77
第2章 域控制器策略
PO-DC-V0.6
计算机配置(已启用) 策略
Windows 设置 安全设置
本地策略/审核策略 策略 审核策略更改 审核登录事件 审核对象访问 审核过程跟踪 审核目录服务访问 审核特权使用 审核系统事件 审核帐户登录事件 审核帐户管理
本地策略/用户权限分配 策略
备份文件和目录 充当操作系统的一部分 创建全局对象 创建一个令牌对象 创建一个页面文件 创建永久共享对象 从扩展坞上取下计算机 从网络访问此计算机
设置
BUILTIN\\Administrators
BUILTIN\\Administrators,NT AUTHORITY\\SERVICE
BUILTIN\\Administrators
BUILTIN\\Administrators BUILTIN\\Administrators,NT
AUTHORITY\\Authenticated
Users,NT
设置 成功 成功,失败 失败 无审核 失败 失败 成功 成功,失败 成功,失败
AUTHORITY\\ENTERPRISE DOMAIN CONTROLLERS
从远程系统强制关机 调试程序 更改系统时间 关闭系统
BUILTIN\\Administrators
NT AUTHORITY\\LOCAL SERVICE,BUILTIN\\Administrators BUILTIN\\Administrators
微软中行项目小组 Page 3 of 77
管理审核和安全日志 还原文件和目录 加载和卸载设备驱动程序 将工作站添加到域 将页锁定在内存 拒绝本地登录
拒绝从网络访问此计算机 拒绝作为服务登录 拒绝作为批处理作业登录 配置文件单个进程 配置文件系统性能
取得文件或其他对象的所有权 绕过遍历检查 身份验证后模拟客户端 生成安全审核 提高计划优先级 替换一个进程级令牌 通过终端服务拒绝登录 通过终端服务允许登录 同步目录服务数据 为进程调整内存配额
BUILTIN\\Administrators BUILTIN\\Administrators BUILTIN\\Administrators BUILTIN\\Administrators
BUILTIN\\Guests,Support_388945a0
NT AUTHORITY\\ANONYMOUS LOGON,BUILTIN\\Guests,Support_388945a0
BUILTIN\\Guests,Support_388945a0 BUILTIN\\Administrators BUILTIN\\Administrators BUILTIN\\Administrators
NT AUTHORITY\\Authenticated Users
BUILTIN\\Administrators,NT AUTHORITY\\SERVICE
NT AUTHORITY\\LOCAL SERVICE,NT AUTHORITY\\NETWORK SERVICE BUILTIN\\Administrators
NT AUTHORITY\\LOCAL SERVICE,NT AUTHORITY\\NETWORK SERVICE BUILTIN\\Guests BUILTIN\\Administrators
BUILTIN\\Administrators,NT
AUTHORITY\\LOCAL
SERVICE,NT
AUTHORITY\\NETWORK SERVICE
信任计算机和用户帐户可以执行委派 BUILTIN\\Administrators 修改固件环境值 允许在本地登录 执行卷维护任务 作为服务登录 本地策略/安全选项 Microsoft 网络服务器 策略
设置
BUILTIN\\Administrators
BUILTIN\\Administrators,S-1-5-21-3096976193-2406008153-3948778612-1155 BUILTIN\\Administrators
NT AUTHORITY\\NETWORK SERVICE
Microsoft 网络服务器: 登录时间过期后断开与客户端的连已启用 接
Microsoft 网络服务器: 对通信进行数字签名(如果客户端已启用 允许)
Microsoft 网络服务器: 对通信进行数字签名(始终)
已启用
微软中行项目小组 Page 4 of 77
Microsoft 网络服务器: 暂停会话前所需的空闲时间数量 Microsoft 网络客户端 策略
15 分钟
设置
Microsoft 网络客户端: 对通信进行数字签名(如果服务器已启用 允许)
Microsoft 网络客户端: 对通信进行数字签名(始终)
已启用
Microsoft 网络客户端: 将未加密的密码发送到第三方 已禁用 SMB 服务器 关机 策略
关机: 清除虚拟内存页面文件 关机: 允许系统在未登录的情况下关闭 恢复控制台 策略
设置 设置 已禁用 已禁用
恢复控制台: 允许软盘复制并访问所有驱动器和所有文件已启用 夹
恢复控制台: 允许自动管理登录 交互式登录 策略
交互式登录: 不显示最后的用户名 交互式登录: 提示用户在过期之前更改密码 交互式登录: 无须按 Ctrl+Alt+Del
交互式登录: 需要域控制器身份验证以对工作站进行解锁 交互式登录: 需要智能卡
交互式登录: 之前登录到缓存的次数(域控制器不可用时) 交互式登录: 智能卡移除行为 设备 策略
设备: 防止用户安装打印机驱动程序
设备: 将 CD-ROM 的访问权限仅限于本地登录的用户 设备: 将软盘驱动器的访问权限仅限于本地登录的用户 设备: 允许对可移动媒体进行格式化并弹出 设备: 允许在未登录的情况下弹出 审核
设置 已启用 已禁用 已禁用 管理员 已禁用 设置 已启用 14 天 已禁用 已启用 已禁用 0 登录 锁定工作站 已禁用
微软中行项目小组 Page 5 of 77
