Deprecated: Creation of dynamic property Kirki\Field\Repeater::$compiler is deprecated in /home1/diywmcom/public_html/baifaqimei/wp-content/themes/blogstream/functions/kirki/kirki-packages/compatibility/src/Field.php on line 305
信息┊治理 – 第 2 页 – 白发齐眉

信息┊治理

Windows组策略相关

近来和同事谈起组策略的相关东西,咨询了相关MVP之后,得到如下的结论

一般来说策略的应用次序如下:
本地-站点-域-ou
如果存在冲突,后执行的覆盖前面执行的,关于组策略执行次序请参考[quote]http://gnaw0725.blogbus.com/logs/10792663.html
组策略执行顺序优先级|到底哪个组策略最终生效

组策略执行顺序优先级|到底哪个组策略最终生效?请问,default domain policy 和 default domain controllers policy的关系是怎样的,谁优先?我要实现的是,WSUS对于AD服务器和其他的计算机不同的策略。其他机器在default domain policy中设置了,而AD在default domain controllers policy中设置了不同的策略。这样会有怎样的结果?

回答:根据您的描述,我对这个问题的理解是:您想了解组策略应用方面的信息。如果我的理解有误,请告诉我。

组策略的应用次序是本地->站点->域->OU,如果策略有冲突,则后应用的生效。因为Default Domain Controller policy是OU策略,所以它会覆盖Default Domain Policy的设定,最终生效的是OU上的策略。

[/quote]

但密码策略是个比较特殊的策略,本地策略仅影响本地账户,只有域策略才能影响域账户,

关于密码策略的问题请参考

[quote]

http://gnaw0725.blogbus.com/logs/5823149.html
密码不符合系统密码复杂性策略

密码不符合系统密码复杂性策略:密码策略一直是活动目录策略中比较特殊的一个策略,也是很多刚接触AD的朋友们经常遇到的问题。系统可能会提示“密码不符合系统密码复杂性策略”。这种情形无论是在域控制器上管理员更改用户账户密码,还是在客户端上用户更改自己的密码,都可能遇到。为了正确解决这个问题,就需要我们对密码复杂性有所了解,所谓密码复杂性,是指:

• 密码必须至少包含 6 个字符。
• 密码不能包含您的用户名或您的全名的任何部分。
• 密码必须至少包含下列四类字符中的三类: 说明 示例
英文大写字母 A, B, C, …Z
英文小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字(“特殊字符”) 标点和其他符号

密码复杂性的要求,被硬编码在 Passfilt.dll 文件中,且不能通过用户界面或注册表进行更改。关于此问题请参考 http://support.microsoft.com/kb/279890/zh-cn
一般情况下,微软不推荐大家禁止密码复杂性,这样会降低活动目录乃至整个基础架构的安全性。那么大家该用什么样的密码,才符合密码复杂性呢?其实也很简单,例如 Password! WindowITPro99 等等。但需要把握的一个原则是,不能太复杂,否则用户可能会把密码写在纸片上,放在桌子上,那就适得其反了。
关于如何在组织中强制使用强密码,请参考 http://www.microsoft.com/china/technet/security/sgk/enforce_strong_passwords.mspx
关于密码策略更为详细的介绍,请参考 http://www.microsoft.com/china/technet/security/guidance/secmod49.mspx#EDAA
需要提到的几点:
1、由于密码策略属于域策略,故而一般情况下,是修改Default domain policy。如果修改某个OU的密码策略,那么仅仅会影响该ou下的计算机本地账户,而不会影响到任何域账户。
2、如果在设置域密码策略之前,在用户账户属性中设置了相关的密码选项,那么最终以用户账户属性为准。
3、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动所有域控制器,才会立刻产生效果。
4、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动客户端计算机,才会立刻产生效果。
5、和众多写入注册表的策略一样,如果您想禁用密码复杂性,简单的将密码复杂性策略项设置为“未定义”是无效的,必须设置为一个确定的状态,即“禁止”。

[/quote]

AIX review 中加速

AIX中,我们一般跑的脚本,有时候会很慢且极度占用资源,导致客户不满,删掉或禁用

/usr/bin/find / -name '.rhosts' -exec /bin/ls -al {} \; -exec /bin/cat {} \; >>& ${SPECIFICO}

再和客户去确认.rhosts文件吧。。
一般这样脚本会在30秒内跑完,不会引起客户顾虑。。

马可波罗假日酒店-住在床上看西湖 – -|| 汗,似乎不可能,这家酒店吹大了。

windows组策略

Windows [/b]组策略[/b]
Windows组策略,可以分为“用户策略”和“计算机策略”。
用户策略在组策略中的“用户配置 (User Settings)”中设置,在用户登录时(不管从哪台计算机)生效;而“计算机策略”则在组策略中的“计算机配置 (Computer Settings)”中配置,在计算机启动时生效(不管哪个用户登录了这台计算机)。
//在我们平时信息系统审计的过程中,据我理解,通常看的应该是“计算机配置”。

上述两种组策略下又可以细分为“软件管理 (Software Settings)”,“Windows设置 (Windows Setting)”和“管理模版 (Administrative Templates)”。
//在我们平时信息系统审计的过程中,据我理解,通常我们跑的脚本是看计算机配置下的“windows设置”。


当计算机启动时,首先执行组策略中的计算机配置部分,然后执行组策略中设置的启动脚本程序(期间,不会执行组策略中的用户设置部分);用户登录时,首先执行的是组策略中的用户设置,然后执行登陆脚本。

组策略的冲突问题?
多个组策略同时作用于一个活动目录时,最终结果是多个组策略的叠加。如果有冲突的地方,则根据如下的规则处理:
1. 当父容器的组策略和子容器的组策略冲突时,子容器的组策略最终执行并生效。
2. 当多个组策略同时设置在一个活动目录对象上面时,根据组策略配置界面中组策略的排列顺序,排在上面的组策略优先执行。
3. 当用户的组策略和计算机的组策略冲突时,绝大多数情况下是计算机的组策略最终生效,虽然计算机的组策略在用户组策略的前面执行。
4. 当站点 (Site)、域 (Domain)、组织单元 (OU)的组策略冲突时,执行次序是站点、域,最后是组织单元,最后执行的组策略生效。
//在信息系统审计过程中,经常会去看组策略的设置,但是有时候对本地组策略和域的组策略的共存问题,并没有一个定论,依我理解,如果是域环境下是是域安全策略生效,如果是本地用户登录,则是本地安全策略起作用;如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。

附:

  上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何 GPO。
  
  对于几个 OU 层中嵌套的 Windows XP 客户端,在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序(本地策略、站点、域、父 OU 和子 OU)非常重要,因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。

UNIX Part 1: User Fundamentals -Unix Evolution

The evolution of the Unix operating system began with the Multiplexed Operating and Computing System (MULTICS) project in 1965. This was a joint project between Bell Laboratories, General Electric, and Massachusetts Institute of Technology.
However, MULTICS became too complex and Bell Laboratories withdrew its participation in the project in 1969.
One of the researchers in Bell Laboratories, Ken Thompson, started writing programs that simulated the behavior of the MULTICS file system. In 1969, he wrote the first version of Unix, called the Unixplexed Operating and Computing System (UNICS). The Unix programs were coded in assembly language.
In 1973, Thompson, along with Dennis Ritchie, who wrote the first C compiler, made a significant change to the Unix operating system with the fifth edition. The kernel, which was originally coded in assembly language, was rewritten in the C language.
The use of the portable C language also made Unix portable to different machines by recompiling the code for the specific target hardware platform.
[quote]
1. BSD-> While at the University of Berkeley, Thompson wrote the first Berkeley version of Unix with students Bill Joy and Chuck Haley. This version was distributed to students, who worked on the source code. The final version that incorporated all the modifications was named BSD, meaning Berkeley Software Distribution. From BSD came virtual memory, Sendmail, and support for TCP/IP. Some examples of Unix products based on BSD are: Sun OS 4.x (SUN), ULTRIX (DEC), NextStep (NeXT), LINUX.
2. System V-> Bell Laboratories felt that Unix was a commercially viable product and charged for it’s licensing fees. The System V operating system was developed by a consortium of vendor to an agreed standard, which incorporated many features to make it more powerful, reliable, and secure. For several years, System V was the most conservative, commercial, and well-supported strain of Unix products. The two most recent releases of System V, Release 3 (SVR 3.2) and Release 4 (SVR 4), remain popular. All System V products that are based on work carried out at Bell Laboratories require a license from the current owner, Unix System Laboratories. Some examples of System V products are: Sun OS 5.x/Solaris (SUN), HP – UX (HP), AIX(IBM), IRIX(SGI), Digital Unix (DEC), SCO UNIXware.

[/quote]

Today, System V and BSD look very much alike. Then have a commonality of software, look and feel, and a broad set of features and commands.
Most versions of Unix have features of both System V and BSD, and users carry out tasks using BSD commands when that works best and System V commands at other times. Two of the main differences between the two versions are in the ways the ps and printing commands function.
The ps command reports the status of the current processes.


For more clear review, plz click the picture.