Windows Server 2012R2 组策略

WindowsServer2012r2优化1.一、组策略2.3.WIN键+R键，输入GPEDIT.MSC，进入组策略设置。

4.5.1、计算机配置，Windows设置，安全设置，帐户策略，密码策略：“密码必须符合复杂性要求”，设置为“已禁用”。

6.7.2、计算机配置，Windows设置，安全设置，帐户策略，密码策略：“密码最短使用期限”，设置为“0”（无期限）。

8.9.3、计算机配置，Windows设置，安全设置，本地策略，安全选项，“无需按Ctrl+Alt+Del”，设置为“已启用”。

10.11.4、计算机配置，管理模板，系统，显示“关闭事件跟踪程序”，设置为“已禁用”。

12.13.5、计算机配置，管理模板，系统，登录时不显示“管理你的服务器”页，设置为“已启用”。

14.15.6、计算机配置，管理模板，服务器管理器，登录时不自动显示“初始配置任务”窗口，设置为“已启用”。

16.17.7、计算机配置，管理模板，服务器管理器，在登录时自动显示服务器管理器，设置为“已启用”。

18.19.8、计算机配置，管理模板，服务器管理器，“配置服务器管理器刷新间隔”，设置为“已禁用”。

20.21.9、用户配置，管理模版，开始菜单和任务栏，更改“开始”菜单电源按钮，设置为“已启用”，下方的选项设置为“关机”。

如果使用第三方的传统开始菜单，建议进行此项设置，使用系统默认的，不需要。

22.23.10、用户配置，windows组件，Internet Explorer，Internet控制面板，安全页，Internet区域模块，设为“已启用”，选项为“中高”或“中”。

（数据中心版要设置，标准版可不设置）24.25.二、功能与服务26.27.点击服务器管理器图标，进入服务器管理器对话界面。

28.29.1、左上方，本地服务器，Windows更新，配置自动更新。

有些选项要不要选，看你的习惯了。

30.31.2、左上方，本地服务器，Internet Explorer增强的安全配置，“管理员”与“用户”的下方，勾选“关闭”。

windows2012 域服务器的账户锁定策略Windows2012 域服务器的账户锁定策略策略概述•账户锁定是一种安全措施，用于保护系统免受恶意攻击和破坏。

•Windows2012 域服务器提供了灵活的账户锁定策略配置选项，可以根据实际需求进行调整。

策略类型1.策略1：账户锁定阈值•设置一个登录失败的次数阈值，超过该阈值则触发账户锁定。

•阈值设置应根据实际情况进行调整，以平衡安全性和用户友好性。

2.策略2：账户锁定时长•配置账户锁定的时间长度，即锁定时长。

•锁定时长应根据实际需求来设定，以防止频繁锁定账户对用户造成困扰。

3.策略3：账户锁定复位•配置账户锁定复位的方式。

•可以选择自动复位或手动复位，根据实际需求来进行相应的设置。

4.策略4：账户锁定通知•配置账户锁定后是否发送通知给管理员或用户。

•通知设置有助于及时发现异常账户活动并采取必要的措施。

策略配置步骤1.打开 Windows2012 域控制器管理工具。

2.在左侧导航菜单中，选择“组策略管理”。

3.找到适用于目标域的组策略对象，并右键点击，选择“编辑”。

4.在左侧面板中，依次展开“计算机配置”、“Windows设置”、“安全设置”、“帐户策略”。

5.找到“账户锁定策略”选项，并双击打开。

6.根据实际需求，依次进行相关配置，包括设置阈值、时长、复位方式和通知选项。

7.确认配置后，保存并关闭策略编辑器。

8.在命令行界面中执行命令gpupdate /force，以使策略立即生效。

注意事项•在进行账户锁定策略配置时，应权衡安全性和用户友好性，以确保系统的稳定运行。

•定期审查和测试账户锁定策略，以适应不断变化的安全需求。

•在部署账户锁定策略时，应确保相关域用户已经接受必要的安全培训和指导。

以上是针对 Windows2012 域服务器的账户锁定策略的相关原则和配置方法。

通过合理配置和使用账户锁定策略，可以提高系统的安全性，并保护系统免受恶意攻击的威胁。

windowsserver2012r2开启远程桌面各种问题汇总Windows server 2012r2开启远程桌面比较麻烦，因为毕竟是服务器，更注重安全性。

问题一：如下图所示，未开启相关权限解决问题一：先进行系统高级设置，允许远程桌面连接，如下图所示再开启防火墙中、接入规则中的“TCP-in”，将其启用，如下图所示最后设置组策略，找到计算机配置----->管理模板----->网络----->网络连接----->Windows防火墙----->标准配置文件----->Windows防火墙允许入站远程桌面例外，将其启用，问题二：如下图所示，验证凭据失败这个问题是因为系统更新了一个补丁“CVE-2018-0886 的CredSSP 更新”这个问题有多种解决方案，下面一一列举解决问题二方案1：添加注册表进入注册表编辑器，找到找到路径：计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System，在System文件夹内创建文件夹：\CredSSP\Parameters，然后在Parameters文件夹内，新建DWORD（32）位值（D），文件名为AllowEncryptionOracle，值为十六进制“2”，重启电脑。

该方法也许对普通windows系统有效，对我无效。

解决问题二：方案2：修改组策略运行gpedit.msc ，依次找到“计算机配置”->“管理模板”->“系统”->“凭据分配”，这里面有个“加密Oracle 修正”，改成易受攻击。

但是在windows server 2012r2系统中看不到这一项，因此需要先更新系统，再进行设置。

解决问题二方案3：降低安全级别这个方法适用于不涉密的服务器，谨慎使用。

也就是在系统属性、远程设置中，不勾选“仅允许使用网络级别身份验证的远程桌面的计算机连接（建议）”，此方法简单有效。

关于windows server 2012 r2的叙述摘要：一、Windows Server 2012 R2简介二、主要特性与升级内容三、系统组件与功能四、兼容性与迁移策略五、部署与维护方法六、总结与展望正文：一、Windows Server 2012 R2简介Windows Server 2012 R2是微软推出的一款操作系统，旨在为企业用户提供更加高效、稳定和安全的服务器解决方案。

作为Windows Server 2012的升级版本，2012 R2在原有基础上带来了更多创新和实用的功能，以满足企业不断发展的需求。

二、主要特性与升级内容1.强化虚拟化技术：Windows Server 2012 R2提供了更强大的虚拟化功能，例如Hyper-V虚拟机监控器、虚拟存储和网络虚拟化等。

2.改进的存储管理：新版本引入了ReFS（Resilient File System）文件系统，提高了存储空间的利用率、数据完整性和性能。

3.动态数据中心：Windows Server 2012 R2支持动态数据中心，通过自动化和智能化管理，帮助企业降低能耗、减少硬件投资。

4.系统集成：集成Skype for Business，提供企业级通信和协作功能。

5.升级版的安全特性：包括改进的防火墙、身份认证和数据保护等功能，提高系统安全性。

三、系统组件与功能Windows Server 2012 R2包含了许多组件和功能，如远程桌面服务、Active Directory、DHCP、DNS、IIS等，为企业搭建各种应用场景提供支持。

四、兼容性与迁移策略Windows Server 2012 R2向后兼容Windows Server 2012，同时支持现有应用程序和系统的迁移。

在迁移过程中，可通过备份与还原、虚拟机迁移等技术降低风险。

五、部署与维护方法1.部署：通过安装介质或虚拟光盘进行部署，也可使用Windows Assessment and Deployment Kit（ADK）进行自动化部署。

WindowsServer2012R2文件服务器安装与配置01 文件服务器配置的相关目录02 基础说明与安装一、文件服务器的基础说明文件服务器是企业里面用的最多的服务器之一,它主要用于提供文件共享。

为了配合文件服务器的权限管理,从WindowsServer2008新增了文件服务器资源管理器,其实在WindowsServer2003里面也有文件服务器资源管理器的功能,只是放于DFS功能模块里面了。

文件服务器资源管理器是一组可让你对文件服务器上存储的数据进行管理和分类的功能。

文件服务器资源管理器包括以下功能：文件分类基础结构文件分类基础结构通过分类流程的自动化提供对数据的洞察力,从而让你更有效地管理数据。

你可以基于此分类对文件进行分类并应用策略。

示例策略包括限制访问文件的动态访问控制、文件加密和文件过期。

可以使用文件分类规则自动分类文件,也可以修改所选文件或文件夹的属性手动分类文件。

文件管理任务文件管理任务可让你基于分类对文件应用有条件的策略或操作。

文件管理任务的条件包括文件位置、分类属性、创建文件的数据、文件的上一次修改日期或上一次访问文件的时间。

文件管理任务可以采取的操作包括使文件过期、加密文件的功能,或运行自定义命令的功能。

配额管理配额允许你限制卷或文件夹可拥有的空间,并且它们可自动应用于卷上创建的新文件夹。

你还可以定义可应用于新卷或文件夹的配额模板。

文件屏蔽管理文件屏蔽可帮助控制用户可存储在文件服务器上的文件类型。

你可以限制可存储在共享文件上的扩展名。

例如,你可以创建文件屏蔽,不允许包含MP3扩展名的文件存储在文件服务器上的个人共享文件夹上。

存储报告存储报告可用于帮助你确定磁盘使用的趋势以及数据分类的方式。

你还可以监视尝试要保存未授权文件的一组所选用户。

通过使用文件服务器资源管理器Microsoft管理控制台<MMC>或使用WindowsPowerShell,可以配置和管理文件服务器资源管理器包含的功能。

《网络服务器配置与管理——Windows Server 2012 R2篇》选择题及参考答案第1章Windows Server 2012 R2服务器基础1．以下关于服务器与客户机的说法中，不正确的是（）。

A．服务器是在网络环境中为用户计算机提供服务的计算机B．同一台计算机要么充当服务器，要么充当客户机C．客户机是指使用服务器所提供服务的用户计算机D．服务器是网络应用的基础和核心2．以下关于B/S结构的说法中，不正确的是（）。

A．B/S是一种三层结构B．B/S是对C/S的改进C．Web服务器作为网关D．B/S无须任何客户端3．某小型外贸公司需部署Web网站和邮件服务来开展业务，选择（）较为合适。

A．工作组级服务器B．部门级服务器C．入门级服务器D．企业级服务器4．某小型IT公司需以外包方式部署自己的服务器来开展综合业务，选择（）性价比高。

A．服务器租用B．服务器托管C．虚拟主机D．云主机5．以下关于角色与功能的说法中，不正确的是（）。

A．Web服务器可以看作是一种角色B．功能相当于系统组件，并不直接构成角色C．每个服务器角色至少包含一个角色服务D．角色描述计算机的主要功能、用途或使用6．以下关于PowerShell脚本的叙述中，正确的是（）。

A．PowerShell脚本中可以使用控制结构来执行复杂的任务B．Windows系统默认允许任何PowerShell脚本运行C．运行PowerShell脚本时必须提供其扩展名D．PowerShell配置文件也是一种PowerShell脚本7．以下关于PowerShell概念的叙述中，不正确的是（）。

A．Cmdlet是内置到Shell中的一个简单的单一功能命令行工具B．现有的Windows命令行工具不能在PowerShell命令行中运行C．PowerShell是可以扩展的D．PowerShell接收和返回.NET对象8．以下关于PowerShell用法的叙述中，不正确的是（）。

基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2012 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

任务2 应用组策略部署软件通过组策略，可以将软件部署给域内的计算机。

软件部署分为分配和发布。

分配可以给用户，也可以给计算机。

如果分配给用户，则用户在域内的任何一台计算机登录时，这个软件都会被通告给该用户，但是此软件并没有完全安装，而只是安装了与这个软件有关的部分信息。

当用户运行此软件时，将会安装此软件。

如果分配给计算机，则当计算机启动时就会自动安装这个软件，而且任何用户登录都可以使用此软件。

软件发布只能给用户，当将软件发布给域用户后，此软件并不会自动被安装到用户的计算机内，用户可以通过控制面板来安装该软件。

[安全管理需求]将软件部署给域内的计算机，当用户登录或计算机启动时会自动安装软件或者很容易安装所部署的软件。

[任务描述]1、利用组策略实现软件发布制作一个QQ的msi文件，将此软件发布到计算机系内用户。

2、利用组策略实现软件的分配（1）为计算机系中的用户设置组策略以实现程序QQ.msi的分配。

（2）为计算机系中的计算机设置组策略以实现程序QQ.msi的分配。