本文主要介绍了用户权限的功能以及组策略与安全配置的相关知识,涉及用户权限指派、组策略界面、组策略对象、组策略的作用范围、应用时机以及处理顺序。
在用户权限的功能方面,提到了以下几个关键点:
1. **从网络访问此计算机**:控制哪些用户和组可以通过网络连接到计算机,建议删除Everyone组以增强安全性。
2. **向域中添加工作站**:这项权限允许向指定域添加计算机,通常应限制为Administrators组。
3. **允许从本地登录**:决定哪些用户可以在本地交互式登录,建议仅授予Administrators组。
4. **允许通过终端服务登录**:用于远程桌面连接,推荐只授予Administrators组,且禁止 Administrator 帐户拥有此权限。
5. **装载和卸载设备驱动程序**:默认权限赋予Print Operators组,但建议仅限于Administrators组。
6. **还原文件及目录**:允许用户恢复备份并设置安全主体,这通常应局限于Administrators组。
在组策略配置中:
- 组策略界面包含**本地计算机策略**,分为**计算机配置**和**用户配置**两个部分,右边窗格显示具体可配置的策略。
- **组策略对象 (GPO)** 是组策略的核心,分为**本地组策略对象**和**非本地组策略对象**,其作用范围根据链接的站点、域或组织单元确定。
- 组策略的启用时间:**计算机配置**在开机时自动启用,非域控制器每16小时自动更新;**用户配置**在用户登录时启用,每90分钟自动更新。
- 手动启动组策略的命令是`gpupdate /target:computer /force`。
- **组策略的处理顺序**:从本地组策略对象开始,然后是站点、域、组织单元的策略,后面的策略会覆盖前面的。
这些知识对于服务器安全配置和管理至关重要,通过合理配置用户权限和组策略,可以有效保障系统的稳定性和安全性。