IT_ 计算机操作系统运维管理_思路

扎西德勒bdz

1. 计算机操作系统运维管理

1.1. 域控策略

1.1.1. 计算机策略

1.1.1.1. 账号安全策略

1.1.1.1.1. 密码策略

密码最长期限：        XX天

最短密码长度：        XX个字符

密码必须符合复杂性要求：        已启用

强制密码历史：        XX个

用可还原的加密来存储密码：        已禁用

最短密码期限：        XX天

1.1.1.1.2. 账号锁定策略

账户锁定时间：        XX分钟

账户锁定阀值：        XX次无效登录

在此后重置账户锁定计数器：        XX分钟

1.1.1.1.3. 计算机本地账号

禁用本地普通账号，.\Administrator周期修改密码。

1.1.1.2. 登录策略

1.1.1.2.1. 禁止本地账号登录

控制普通用户只能通过域账号登录此电脑。

1.1.1.2.2. 隐藏“快速用户切换”的入口点

控制一台电脑同时只能登录一个账号，此账号注销后其他账号方可登录。

1.1.1.3. 日志策略

1.1.1.3.1. 控制日志文件的位置

1.1.1.3.2. 制定日志文件最大大小

1.1.1.3.3. 日志文件写满后自动备份

1.1.1.4. 网络连接策略

1.1.1.4.1. 网络访问限制

1.1.1.4.2. 无线网卡禁用策略

1.1.1.4.3. NDIS网络共享协议的禁用策略

1.1.1.5. 时间策略

1.1.1.5.1. 时间修改策略

1.1.1.5.2. 时间同步策略

1.1.1.5.3. 时间检查策略

1.1.1.6. 系统更新策略

1.1.1.6.1. 禁止操作系统自动更新

1.1.1.7. 移动存储设备禁用策略

1.1.1.7.1. 所有可移动存储类：拒绝所有权限

1.1.1.8. 计算机远程登录策略

1.1.1.8.1. domain admin 允许登录，其他账号禁止登录。

1.1.1.9. 电源管理策略

1.1.1.9.1. 选择电源按钮操作（接通电源）        已启用

1.1.1.9.2. 电源按钮操作：不执行操作

1.1.1.9.3. 选择休眠按钮操作（接通电源）        已启用

1.1.1.9.4. 睡眠按钮操作：不执行操作

1.1.1.9.5. 选择盖子开关操作（接通电源）        已启用

1.1.1.9.6. 盖子开关操作：不执行操作

1.1.1.9.7. 允许在连接待机期间进行网络连接（接通电源）        已启用

1.1.1.9.8. 指定系统休眠超时（接通电源）        已启用  系统休眠超时：0

1.1.1.9.9. 指定系统睡眠超时（接通电源）        已启用  系统睡眠超时：0

1.1.1.9.10. 关闭硬盘（接通电源）        已启用        关闭硬盘：0

1.1.1.10.  防病毒程序

1.1.1.10.1. 禁用【关闭Windows Defender 防病毒程序】

1.1.1.11. 用户帐户控制设置

1.1.1.11.1. 始终通知：应用试图安装软件或更改我的计算机；我更改了windows设置

1.1.2. 用户策略

1.1.2.1. 打印机策略

1.1.2.1.1. 域控连接打印机，设置共享

1.1.2.1.2. 共享打印机通过策略推送到计算机或用户

1.1.2.2. 锁屏策略

密码保护屏幕保护程序：        已启用

屏幕保护程序超时：        已启用：（秒：120）

启用屏幕保护程序：        已启用

1.1.2.3. 开始菜单和任务栏策略

1.1.2.3.1. XXXX

1.1.2.3.2. 用户注销后清楚用户使用记录

详情参照附件：《实验域控策略部署实施标准》

1.2. 操作系统

1.2.1. 操作系统安装

1.2.1.1. 磁盘分区格式和分区标准

1.2.1.2. 标准系统安装文件

1.2.1.3. 安装方式

1.2.1.4. 驱动安装和升级

1.2.2. 系统版本和授权

1.2.3. 系统补丁

1.3. 软件安装

1.3.1. 常规软件

1.3.2. 备份软件

1.3.3. 安全防护软件

1.3.3.1. 杀毒软件

1.3.3.2. 系统监控软件

1.4. 计算机系统时间

1.4.1. 实验计算机以域控为单位统计进行校时。

1.4.2. 实验客户端计算机设置用户首次登录。

1.4.3. 服务器类计算机设置周期检查任务。

1.4.4. 时间校准操作需要登记、批准、核实。

1.5. 操作系统本地设置

1.5.1. 网卡电源管理

1.5.1.1. 取消【允许计算机关闭此设备以节约电源】

1.5.2. 文件夹安全属性设置

1.5.2.1. 策略对象为Domain users组或本地users组指定成员。

1.5.2.2. 策略设置：禁止删除文件、禁止删除文件夹、禁止取得所得权、禁止更改权限

1.5.3. 本地组策略设置

1.5.3.1. 加域电脑统一使用域控设置的策略，本地组策略设置不得和域控策略冲突。

1.5.3.2. 非域控电脑组策略设置参照域控策略设置。

1.5.4. 本地注册表设置

1.5.4.1. 实验环境正式使用后，原则上不对本地注册了进行特殊设置，特殊需求需测试、评估、审核后操作。

1.5.5. 计算机名称和域控

1.5.5.1. 原则上统一命名格式，避免计算机名称重复。

1.5.5.2. 统一域控，集中化管理。

1.5.6. IP地址

1.5.6.1. IP地址由IT 统一管理和分配

1.5.6.2. 设置局域网内IP 地址轮训检查策略，减少IP地址冲突的可能。

1.5.7. 操作系统授权

1.5.7.1. 操作系统授权过期需按照需求及时激活授权

1.5.8. 防火墙设置

1.5.8.1. 原则上防火墙全部启用

1.5.8.2. 针对工作站具体需求进行特殊放行

1.5.9. 共享文件夹设置

1.5.9.1. 建议禁止使用。

1.5.9.2. 权限设置特定授权用户【只读】权限。

1.5.10. 本地账号设置

1.5.10.1. 保留系统默认【Administrator】账号，对密码进行管控。

1.5.10.2. 禁用其他本地账号。

1.5.11. 用户文件重定向

1.5.11.1. 计算机用户账号文件重定向到非系统盘，例如：D盘。保证系统盘C 盘的空间，用户文件和实验环境相对隔离。

1.5.12. 规范数据存储和备份文件夹

1.5.12.1.  统一文件夹命名，例如：数据文件夹【_Data】、备份文件夹【_Backup_Data】

1.5.13. 文件夹设置：参照【文件夹安全属性设置】 按需设置

YZ_93

非常感谢大佬

nmtul

《实验域控策略部署实施标准》可否分享下？

扎西德勒bdz

nmtul 发表于 2023-2-8 09:54
《实验域控策略部署实施标准》可否分享下？

域控服务器的组策略  比较复杂

love35459

谢谢，已经很全了

KMT

大佬 谢谢分享

irwin009

感谢老师分享，持续学习中