域安全策略和域控制器安全策略的区别

AD域参数1. 什么是AD域参数？AD（Active Directory）域参数是指在Windows操作系统中，用于配置和管理域环境的各种参数设置。

AD域参数包括了许多与域、用户、计算机、组织单位等相关的配置项，通过这些参数的设置，管理员可以灵活地管理和控制域中的资源和权限。

2. AD域参数的作用和重要性AD域参数的作用主要体现在以下几个方面：2.1 用户管理AD域参数允许管理员对用户账户进行各种设置，如密码策略、账户锁定策略、密码复杂性要求等。

管理员可以根据实际需求，灵活地调整这些参数，以提高账户的安全性和管理的便捷性。

2.2 计算机管理通过AD域参数，管理员可以对域中的计算机进行管理和配置。

例如，可以设置计算机的自动登录、远程桌面访问权限、计算机加入域的方式等。

这些参数的设置可以提高计算机的安全性和管理效率。

2.3 组织单位管理在AD域中，可以创建组织单位（OU）来对域中的资源进行组织和管理。

通过AD域参数，管理员可以对OU进行各种设置，如权限控制、策略应用等。

这些参数的设置可以更好地管理和控制域中的资源。

2.4 安全性管理AD域参数还包括了一些与安全性相关的设置，如域控制器安全策略、域安全策略等。

通过这些参数的设置，管理员可以提高域的安全性，并防止未经授权的访问和操作。

2.5 集中管理和控制AD域参数的设置是在域控制器上进行的，通过集中管理和控制这些参数，管理员可以方便地对整个域环境进行管理和配置。

这种集中管理的方式可以提高管理效率，减少重复工作，降低管理成本。

3. 常见的AD域参数3.1 密码策略密码策略是指规定用户账户密码的复杂性要求和安全性控制的一组规则。

通过密码策略的设置，管理员可以要求用户设置复杂的密码、定期更改密码、限制密码重用等，以提高账户的安全性。

3.2 账户锁定策略账户锁定策略是指当用户连续多次输入错误密码时，系统自动锁定用户账户的设置。

通过账户锁定策略的设置，管理员可以限制用户连续尝试登录的次数，防止暴力破解密码的攻击。

FTP用户无法登陆产生原因以及对应解决方法FTP作为一种简单便捷的文件共享技术，在许多企业内部得到使用。

若启用FTP的验证控制，管理员更可对不同的用户设置不同的访问权限，控制用户对特定内容的访问。

IIS中的FTP站点只有一种验证方式，即基本验证。

因基本验证的密码采用明码传输，用户在启用这种验证方式时需注意安全性问题。

本文将对采用基本验证的FTP服务器用户登录出错问题进行讨论。

一般FTP站点建立以后，只需做简单的配置，用户即可登录访问。

但有时当管理员完成FTP服务器的配置后，用户登录该FTP站点时，却发现其用户名与密码无法登录，一般会出现下面的错误提示框。

这种现象一般由以下五个方面的原因导致：1. FTP 站点权限设置2. NTFS权限设置3. 用户权利设置4. 输入完整的用户名5. FTP对用户密码的限制1、FTP 站点权限设置FTP服务器具有灵活的目录访问控制，它可限制用户对站点或目录的读、写权限，此外它还可根据客户端IP地址进行访问控制。

若站点或目录没有赋予用户读的权限，或用户的IP地址被拒绝，则会出现无法登录的错误信息。

这种情况的解决方法如下：打开IIS管理控制台：开始->程序->管理工具->Internet服务管理器右键选择FTP站点或虚拟目录属性，在主目录或虚拟目录属性页中，选择读取及写入选项。

单击目录安全性属性页，选择授权访问，并确认客户端的IP地址不在拒绝之列。

2、NTFS权限设置FTP服务器可以利用Windows操作系统中的文件或文件夹的NTFS权限属性来控制用户访问，因此一个用户若需访问某个FTP站点或目录，则其必须对该物理目录有至少读的权限。

文件或文件夹的NTFS权限属性具体的设置方法为：打开Windows资源管理器，找到FTP站点或虚拟目录所对应的物理目录，右键点击属性，选择安全性，赋给该FTP用户相应的NTFS权限(读取，写入)。

3、用户权利设置因FTP采用基本验证方式，所以基本验证的用户权利要求也适用于FTP验证。

1、本地安全策略。

本地安全策略主要包含：账户策略和本地策略。

账户策略包含：密码策略和账户锁定策略。

本地策略包含：审核策略、用户权限分配和安全选项。

2、密码策略密码长度设置范围0-14，设置为0表示不需要密码。

密码使用的最长时间，默认为42天，如果设为0，表示密码永不过期。

密码应用后到再一次更改密码的最短时间，默认为0 ，代表可以随时更改密码。

最短时间必须小于最长使用期限。

最近使用过的多少个密码不允许使用，默认为0表示随意使用过去使用过的密码。

3、账户锁定策略输入几次错误密码后，将账户锁定。

0表示不锁定账户。

注意：账户锁定策略对管理员账户administrator无效。

4、审核策略最常用的审核对象。

审核的记录存放在日志中，通过事件查看器-安全日志。

管理工具-事件查看器-windows日志-安全。

如果要审核哪些用户对某个文件夹的访问，可以右击文件夹-共享和安全-高级-审核，添加用户为everyone，表示对所有访问该文件夹的用户进行审核。

用户权限分配：规定了哪些用户可以做什么事。

安全选项：可以控制一些和操作系统安全相关的设置。

5、普通域账户需要在DC上登录，域控制器安全策略只对DC生效。

域控制器安全策略-安全设置-本地策略-用户权限分配-允许本地登录-添加需要在DC上登录的用户账户。

然后刷新域控制器安全策略：gpupdate /force6、域安全策略：对整个域用户生效。

本地安全策略和域控制器安全策略冲突，域控制器安全策略生效，域控制器安全策略和域安全策略冲突，域安全策略生效。

管理用户账户和组计图1 公司域环境示意图二、项目任务分析根据图1的公司域环境示意图，完成活动目录的管理与维护。

具体要求如下。

1．在Win2016-2这台独立服务器上创建本地用户账户及设置本地用户账户的属性；删除本地用户账户；2．在Win2016-2这台独立服务器上使用命令行创建账户和组；3．在Win2016-1这台域控制器上创建与管理域用户；4．在Win2016-1这台域控制器上管理域组账户。

三、项目理论目标分析1．分析知识目标2．分析技能目标讲授5’讲解示范（E）模仿练习（E）任务1 创建本地用户账户一、课堂讲解1．管理用户账户和组的相关知识；2．讲解本地用户和账户的创建与管理。

二、操作示范1．在Win2016-2这台独立服务器上创建本地用户账户；2．在Win2016-2这台独立服务器上设置本地用户账户的属性；3．在Win2016-2这台独立服务器上删除本地用户账户。

三、模仿练习请同学们按刚才的操作示范进行练习，该独立服务器名是Server1。

完成：✧在Server1这台独立服务器上创建本地用户账户；✧在Server1这台独立服务器上设置本地用户账户的属性；✧在Server1这台独立服务器上删除本地用户账户。

讲授案例分析学生实践35’讲解示范（E）一、课堂讲解相关命令。

讲授20’模仿练习（E）任务2 使用命令行创建账户和组net user username password /addnet localgroup groupname username /add二、操作示范在Win2016-2这台独立服务器上使用命令创建本地用户账户和组；三、模仿练习请同学们按刚才的操作示范进行练习，该独立服务器名是Server1。

完成：✧在Server1这台独立服务器上使用命令创建本地账户；✧在Server1这台独立服务器上使用命令创建本地组。

相关命令。

net user username password /addnet localgroup groupname username /add案例分析学生实践讲解示范（E）模仿练习（E）任务3 创建与管理域用户一、课堂讲解1．域用户账户；2．计算机账户。

网络安全技术综合测试卷（1）学号:_________ 姓名：_________ 小课班级：_____一、选择题（单选或多选）1、公开密钥方法的主要优点之一是（③1），RSA算法的基础是（①2），当N个用户采用公开密钥方法保密通讯时，系统中一共有（②3）个密钥，每个用户要小心保管好（②4）个密钥，为了防止用户否认他们曾经通过计算机发送过的文件，方法是利用公开密钥方法完成（③5）。

供选择的答案：(1)①所有密钥公开②加密解密计算方便③便于密钥的传送④易于用硬件实现(2)①素因子分解②替代和置换的混合③求高阶矩阵特征值④K-L变换(3)①N ②2N③N(N_1)/2 ④N2(4)①0 ②1 ③N-1 ④N(5)①文件加密②文件复制③数字签名④文件存档2、鲍伯总是怀疑爱丽丝发给他的信在传输途中遭人篡改,为了打消鲍伯的怀疑,计算机网络采用的技术是_B__A.加密技术 C. FTP匿名服务B.消息认证技术 D. 身份验证技术3、鲍伯通过计算机网络给爱丽丝发消息说同意签订合同,随后鲍伯反悔,不承认发过该条消息.为了防止这种情况发生,应在计算机网络中采用__A__A.身份认证技术 C. 数字签名技术B.消息认证技术 D. 防火墙技术4、鲍伯不但怀疑爱丽丝发给他的信在传输途中遭人篡改,而且怀疑爱丽丝的公钥也是被人冒充的.为了打消鲍伯的疑虑,鲍伯和爱丽丝决定找一个双方都信任的第三方来签发数字证书,这个第三方就是_C____A.国际电信联盟电信标准分部ITU-T C.证书权威机构CAB.国际标准组织ISO D.国家安全局NSA5、用户U1属于G1组和G2组，G1组对文件File拥有读和写的本地权限，G2组对文件File拥有读和执行的本地权限，那么用户U1对文件拥有的本地权限是_D____A．读和执行B．写和执行C．读和写D．读、写和执行6、在公开密钥体系中，甲方签名将加密信息发给乙方解密并确认（D）用于加密，（ C ）用于解密，（ A ）用于签名，（B）用于确认A)甲方的私钥B) 甲方的公钥C)乙方的私钥D)乙方的公钥7、用户stu是一台Windows 2003计算机上的普通用户，当stu登录后发现无法关机。

《崭新的一页：粒子的波动性》教案【教学目标】1．知识与技能：了解光的波粒二象性．了解粒子的波动性．2．过程与方法：培养学生的观察．分析能力。

3．情感态度与价值观：培养学生严谨的科学态度，正确地获取知识的方法。

【重点难点】1．重点：粒子波动性的理解2．难点：对德布罗意波的实验验证【授课内容】一、说明：光的波粒二象性的联系（1）E=hν 光子说不否定波动性光具有能量动量，表明光具有粒子性。

光又具有波长．频率，表明光具有波动性。

且由E=hν，光子说中E=hν，ν是表示波的物理量，可见光子说不否定波动说。

（2）光子的动量和光子能量的比较：p=h 与ε=hν Ｐ与ε是描述粒子性的，λ．ν是描述波动性的，h 则是连接粒子和波动的桥梁波粒二象性对光子来讲是统一的。

二、德布罗意波（物质波）1924年，德布罗意(due de Broglie, 1892-1960)最早想到了这个问题，并且大胆地设想，对于光子的波粒二象性会不会也适用于实物粒子。

De . Broglie 1924年发表了题为“波和粒子”的论文，提出了物质波的概念。

他认为，“整个世纪以来（指19世纪）在光学中比起波动的研究方法来，如果说是过于忽视了粒子的研究方法的话，那末在实物的理论中，是否发生了相反的错误呢？是不是我们把粒子的图象想得太多，而过分忽略了波的图象呢”于是，他提出：一切实物粒子都有具有波粒二象性。

即每一个运动的粒子都与一个对应的波相联系。

能量为E ．动量为p 的粒子与频率为v ．波长为λ的波相联系，并遵从以下关系：E=mc 2=hv p=mv=λh 其中p ：运动物体的动量 h ：普朗克常量 1．德布罗意波这种和实物粒子相联系的波称为德布罗意波(物质波或概率波),其波长λ称为德布罗意波长。

2．一切实物粒子都有波动性后来，大量实验都证实了：质子．中子和原子．分子等实物微观粒子都具有波动性，并都满足德布罗意关系。

一颗子弹．一个足球有没有波动性呢？【例1】试估算一个中学生在跑百米时的德布罗意波的波长。

Windows Server 2003系统管理.第1章安装和配置Windows Server 20031、课后选择题和练习题2.、提交实验目标中的实验报告3、简答题1）Windows Server 2003 家族成员2）使用ghost+sysprep技术部署多台客户机3）“每服务器”和“每设备或每用户”有什么区别4）Windows组件的安装有哪几种方法4、记忆本章单词和术语,关对下章内容做好预习5、预习下一章内容。

第2章配置Windows网络1、课后选择题和练习题2.、提交实验目标中的实验报告3、简答题1) 静态设置IP的缺点有哪些2) Windows网络测试工具ipconfig/ ping /tracert/ route print 的作用是什么3)Windows MMC控制台的优点是什么4)MMC控制台作者模式和用户模式有什么区别4、记忆本章单词和术语,关对下章内容做好预习5、预习下一章内容。

:第3章工作组环境下的应用1、课后选择题和练习题2.、提交实验目标中的实验报告3、简答题1)工作组有哪些特点2)本地用户账户有哪些特点3)重设密码与更改密码有什么区别4)内置组Power Users有什么权限5)简述ALP规则4、记忆本章单词和术语,关对下章内容做好预习5、预习下一章内容。

:第4章创建Windows域1、课后选择题和练习题2.、提交实验目标中的实验报告3、简答题1)活动目录的特点是什么2)要安装域控制器（DC）需要什么条件3)本地用户帐户与域用户帐户有什么区别4)用户属性中的登录时间和登录的计算机有什么作用5)安全组和通讯组各有什么作用6)OU的设计方式有哪几种4、记忆本章单词和术语,关对下章内容做好预习5、预习下一章内容。

:第5章NTFS1、课后选择题和练习题2.、提交实验目标中的实验报告3、简答题1)NTFS文件系统的特点2)如何获得NTFS3)移动和复制操作对权限的影响4)AGDLP规则含义是什么4、记忆本章单词和术语,关对下章内容做好预习5、预习下一章内容。

windows安全策略组策略对象存储在两个位置，链接GPOActivDirectory容器和域控制器上的Syvol文件夹。

GPO组策略对象的缩写，GPO组策略设置的集合，存储在ActivDirectory中的一个虚拟对象。

GPO由组策略容器GPC和组策略模板GPT组成，GPC包括GPO属性信息，存储在域中每台域控制器活动目录中；GPT包括GPO数据，存储在Syvol/Policie子目录下。

2.外地战略，域控制器策略，域策略：大家可能有时候分不清其中的关系，给大家解释下，外地战略是针对当前计算机的刚安装还系统时，就自动生成，可以用adminitr进入进行相应的设置。

下面2个策略则是针对ad环境下的其中域控制器策略是针对dc设置的只对dc生效，而域策略则是针对当下域环境下所有的机器。

成员计算机和域的设置项冲突时，域安全策略生效，域控制器和域的设置项冲突时，域控制器安全策略生效。

下面我就举个例子说下本地安全策略的各个选项的意思打开计算机-顺序-管理-外地平安战略1.账户战略：密码战略;主要设定用户登录密码的复杂水平账户锁定战略：帐户锁定阈值：就是设定用户在输入错误密码的情况下，可以登录几次帐户锁定时间：顾名思义就是账户锁定的时间，要过多长时间这个账户才可以从新登录复位帐户锁定计数器：记录用户登录输入密码错误的次数如我设定帐户锁定阈值为3帐户锁定时间30分钟复位帐户锁定计数器2意思是输入3次密码错误的情况下，再输入错误了账户锁定30分钟，只有两次这样连续输入3次密码错误的机会。

2.外地战略：审核战略：主要是一些事件记录用户权利指派：把用户加入不同的组，使之有不同权限，如我把用户张三加入adminitratior组，张三就有了管理员的权限c平安选项：系统的一些关于安全的自定设置，如交互登录其实3者策略分关系是相关的可以通过在具体运用中自己些相关的知识，总之知识出于运用，大家明白其中的道理再在这基础上做实验，相信大家会有不一样的收获，不推荐大家跟着一些教程的东西一步步跟着去做，可能做完这个你会了转下问题你又不会做了理解原理，综合运用，这是推荐大家学习网络的方法其实3者策略分关系是相关的可以通过在具体运用中自己总结些相关的知识，总之知识出于运用，大家明白其中的道理再在这基础上做实验，相信大家会有不一样的收获，不推荐大家跟着一些教程的东西一步步跟着去做，可能做完这个你会了转下问题你又不会做了理解原理，综合运用，这是推荐大家学习网络的方法。

域安全策略和域控制器安全策略的区别域控制器安全策略仅更改域控制器的本地用户而域安全策略控制整个域的用户正如你说的“域控制器安全策略”优先于“域安全策略”，所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略，而域中的其他的计算机还将继续使用域安全策略的设置项因为很长时间没有设置带有域的网络了，所以可能我说的可能也有不对的地方，你还是把各种组合试一下来看看规律的好策略大体上分为4类，即本地策略，域策略，站点策略，ou策略，他们的作用顺序：local policy——〉site policy——〉domain policy——〉ou policy本地安全策略是本地策略的一部分，在开机的时后就会被执行，无论你是否处于工作组模式还是域模式.域安全策略是domain policy的一部分，domain policy的作用范围是整个域，因此一台计算机只要处于域模式，就会采用域策略site的策略一般只在site之间有慢速连接的时候才会使用它，所以微软没有内置站点策略，需要管理员手工设置.DC安全策略是OU策略的一种，ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上，所以把他们称作dc安全策略，而domain controller这个ou下默认存储的就是域内的所有dc，因此dc安全策略仅作用在dc之上，当然，如果你手工将一个计算机账号移入dc ou，则那台计算机也会执行dc安全策略。

也就是说，一台处于工作组模式的计算机只会执行本地安全策略，而dc则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，换言之，处于域模式的计算机要执行多条策略，那么就要有相应的措施保证策略不冲突。

默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是merge的关系，即和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。

也就是说无论在何种情况下，ou设置的策略都会生效一条策略又可以分为计算机策略和用户策略，计算机策略作用在计算机上，用户策略作用在用户对象上，当同一条策略的计算机策略和用户策略产生冲突的时候，以计算机策略为准,那么接下来又会有问题，一个用户a属于sales ou，而一个计算机账号b属于marketing ou，并且在这两个ou上分别设定有ou的策略，那么这个时候，如果用户a到b上进行登陆会出现什么样的情况呢。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

理论目标：1、理解安全模型的层次结构。

实践目标：（一台Win2003作服务器）1、查看安全策略。

2、通过修改安全模板设置安全策略，并在工作组环境和域环境下应用安全策略。

3、在工作组环境下，使用安全配置与分析应用安全策略。

一、系统安全模型系统安全级别的高低取决于配置（例如，设置强密码）和补丁两部分内容。

如果没打补丁，即使对方不懂黑客技术，对方也能用第三方软件对计算机进行攻击。

不管是被黑还是黑别人都很有意思。

有时尽管密码设置得很强，照样被黑。

甚至没有联网，也会出现各种各样的问题。

为了提高系统自身的安全级别，常规下采用分层的方法。

这样做既可增加攻击者被检测到的风险，又可降低攻击者的成功几率。

具体分层图如下。

【策略、过程和意识】，最外层。

主要针对人，并且被黑的60%以上原因是这个。

【物理安全】，倒数第二层，企业里的网络防卫模型。

针对服务器（例如，DC或防火墙设备）做严密的隔绝。

若是家庭则没这个必要。

【周边网络】，很多人可通过VPN拨入进企业内网。

假设一台客户机中了冲击波病毒，那么它完全有可能通过VPN带进企业内网。

所以我们就要确保这种VPN客户端或VPN服务器端是安全的。

【内部网络】，内部局域网，启用NIDS（网络入侵监测系统）。

【主机】，配置的关键，补丁也在这里打。

【应用程序】、【数据】，最上层，旨在加密等操作。

综上所述，要想配置得非常安全，就要做到层层安全。

二、通过安全策略加强安全2.1、工作组环境下安全策略Win2003中【管理工具|本地安全策略】指的就是本台计算机的安全策略内容。

例如，将【密码最长使用期】设置为42天。

为什么有的用户说我都用一年了还不提示我换密码呢？那是因为在用户账户设置中勾选了【密码用不过期】。

此外，密码设置也不要过强。

再例如，【账户锁定策略】旨在防止黑客暴力进攻。

【账户锁定阀值】指N次输错密码就锁定。

【账户锁定时间】指锁定后多长时间自动解锁。

【复位账户锁定计数器】指在多长时间内连续输错N次才有效。

网络安全技术综合测试卷（1）学号:_________ 姓名：_________ 小课班级：_____一、选择题（单选或多选）1、公开密钥方法的主要优点之一是（③1），RSA算法的基础是（①2），当N个用户采用公开密钥方法保密通讯时，系统中一共有（②3）个密钥，每个用户要小心保管好（②4）个密钥，为了防止用户否认他们曾经通过计算机发送过的文件，方法是利用公开密钥方法完成（③5）。

供选择的答案：(1)①所有密钥公开②加密解密计算方便③便于密钥的传送④易于用硬件实现(2)①素因子分解②替代和置换的混合③求高阶矩阵特征值④K-L变换(3)①N ②2N③N(N_1)/2 ④N2(4)①0 ②1 ③N-1 ④N(5)①文件加密②文件复制③数字签名④文件存档2、鲍伯总是怀疑爱丽丝发给他的信在传输途中遭人篡改,为了打消鲍伯的怀疑,计算机网络采用的技术是_B__A.加密技术 C. FTP匿名服务B.消息认证技术 D. 身份验证技术3、鲍伯通过计算机网络给爱丽丝发消息说同意签订合同,随后鲍伯反悔,不承认发过该条消息.为了防止这种情况发生,应在计算机网络中采用__A__A.身份认证技术 C. 数字签名技术B.消息认证技术 D. 防火墙技术4、鲍伯不但怀疑爱丽丝发给他的信在传输途中遭人篡改,而且怀疑爱丽丝的公钥也是被人冒充的.为了打消鲍伯的疑虑,鲍伯和爱丽丝决定找一个双方都信任的第三方来签发数字证书,这个第三方就是_C____A.国际电信联盟电信标准分部ITU-T C.证书权威机构CAB.国际标准组织ISO D.国家安全局NSA5、用户U1属于G1组和G2组，G1组对文件File拥有读和写的本地权限，G2组对文件File拥有读和执行的本地权限，那么用户U1对文件拥有的本地权限是_D____A．读和执行B．写和执行C．读和写D．读、写和执行6、在公开密钥体系中，甲方签名将加密信息发给乙方解密并确认（D）用于加密，（ C ）用于解密，（ A ）用于签名，（B）用于确认A)甲方的私钥B) 甲方的公钥C)乙方的私钥D)乙方的公钥7、用户stu是一台Windows 2003计算机上的普通用户，当stu登录后发现无法关机。

AD域维日常维护手册目录一、Active Directory (域) 介绍 (3)二、AD域界面预览 (5)三、AD域账号的建立 (6)四、AD域OU的建立 (9)五、AD域账户OU间的移动 (11)六、AD域策略的介绍以及部署范围 (12)七、AD域OU的策略部署 (13)八、AD域策略的阻止策略继承和禁止替代 (16)九、客户端加域操作 (17)十、组策略管理(GPMC)工具的使用(重点) (19)10.1、GPMC管理界面的认识 (20)10.2、组策略的使用 (21)10.3、组策略应用 (22)10.4、报表形式查看组策略 (23)10.5、组策略的备份、还原、导出和导入 (24)十一、AD服务器日常维护方法 (25)一、Active Directory (域) 介绍Active Directory 的体系结构介绍Active Directory 的体系结构分为逻辑结构和物理结构。

必须对Active Directory 的逻辑结构与物理结构进行规则，才能较好地满足企业的需求。

为了管理Active Directory ，必须首先理解这些结构。

Active Directory 的作用Active Directory可以存储用户、计算机和网络资源的信息，并且使资源可以被用户和应用程序访问。

它提供了一种统一的方法来命名、描述、定位、访问、管理、和保护这些资源。

Active Directory具有如下功能：●对网络资源的集中控制。

通过对诸如服务器、共享文件和打印机等的资源进行集中控制，只有授权用户可以访问Active Directory 中的资源……例如，可以通过给行政部的激光打印机设置权限，设置只有行政部人员可以使用该打印机……从而避免非法使用和资源浪费。

●集中和分散管理。

管理员通过一致的管理界面，能够可以编写一个组策略，使得某个应用程序的升级包能够在网络中每个用户开机的时候就自动安装，从而分散管理任务。

windows 2008 r2 AD密码策略新装了一台windows 2008 r2 升為AD。

发现密码策略是灰色的，查看域安全策略及域default 策略，都是没有定义！！在域控制器上，执行本地策略，发现都是灰色不可修改状，没法设置？这是为何？？组策略分为两种：本地组策略和域组策略。

本地组策略本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点开始–运行–然后键入gpedit.msc，在弹出本地组策略编辑器中即可进行设置。

域组策略域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始–运行–然后键入gpmc.msc来运行。

针对您的问题，密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。

所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers 而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。

另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

因为当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

当我们点击开始–运行–然后键入gpedit.msc回车后，本地策略编辑器就会被打开。

而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，您可以使用以下方法：1．点击开始–运行–然后键入gpmc.msc，回车后打开“组策略管理”控制台。

2．展开到“域-> -> 组策略对象（是指您的域名）”。

安全策略级別高低须序如下安全策略级別高低须序如下：对于DC:域控制器安全策略>域安全策略>組策略>本地安全策略．对于非DC:域安全策略>本地安全策略．策略执行顺序：本地-->站点-->域-->OU-->子OU，正常，后执行的策略有效，除非策略设为不可Override等因素。

在DC上，当域策略与域控制器策略发生冲突时，当然是域控制器策略有效，域控制器是域下的一个OU。

最好在“域控制器安全策略”中设置，而不要在“域安全策略”或“本地安全策略”中设置。

因为组策略（安全策略是组策略的一个子集）冲突时，优先级别是：LSDOU，即本地、站点、域、OU（组织单元）、小OU。

本地策略的优先级别最低，然后是站点、域、OU。

本例中“域控制器安全策略”中的域控制器（Domain Controller）在“AD用户和计算机”中是一个OU，因此它所链接的“Default Domain Controllers Policy”下的安全策略的优先级最高。

而且如果在此三处都有设置时，系统认为是冲突，而不是累加的结果。

冲突时，“域控制器安全策略”优先级高，只有它生效。

新增说明：另外普通用户无法利用终端服务登录到终端服务器，还有一种情况就是：终端服务器为2003，用户使用03终端服务器上的本地帐号登录，且所用口令为空。

出错提示为“由于帐号限制，用户无法登录”。

这是由于03的本地安全策略/本地策略/安全选项，新增：“帐户：使用空白密码的本地帐户只允许进行控制台登录”，且默认已启用。

当网络访问或TS客户端登录时，输入的用户名，口令为空，这项就不允许网络登录。

注意：域帐号不受此限制。

对于本地用户和组，2000DC：红叉，03DC：干脆没有了。

本地策略与有效策略审核事件设置遵守标准组策略应用规则。

应用顺序是：１、本地策略设置２、站点策略设置３、组策略设置４、组织单位策略设置默认情况下，站点、域和OU 策略都是未定义的。