一、如何更改AD域安全策略

－－－洛洛根据我的研究，在Windows系统中暂时不提供工具直接实现这种功能。

您可以先将需要加入到本地管理员组的域用户放入一个OU中，然后通过组策略执行脚本来完成。

下面我提供一些方法，供您参考：1．使用域管理员登陆到DC。

活动目录seo2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存：netlocalgroupadministratorsdomain\user/add其中，USER为你当前需要提升权限的用户名。

3．点击“开始→运行”并输入“DSA.MSC”→打开ActiveDirector用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。

4．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。

5．在命令提示符下输入gpupdate/force，重启计算机。

TomZhang张一平在线技术支持工程师微软全球技术支持中心各位，netuser%username%administrators/add这个脚本会无法执行的。

因为要想加入本地管理员组，就需要管理员权限，也就是说只能用计算机登录脚本在用户登录之前执行但此时用户还没有登录，根本无从获取%username%变量。

登录之后，倒是获取到%username%变量了，但普通的users权限是不能添加管理员群组账户的。

这个问题的解决方法，有二要不，用runas，使用管理员账户在用户登录之后添加，但将管理员账户和密码写在脚本里非常不安全。

要不，就是只能做计算机启动脚本，将domainusers这个组添加到本地管理员群组中去。

但又会让所有域用户都可以在域中任何一台电脑上，执行管理员权限，这样做也不安全。

用户之所以有这样的需求，其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题，如果说用户这么做只是暂时的权益之计，尚可，否则就是与活动目录的宗旨背道而驰！最终的解决方法还是要解决用户在域中所遇到的问题，例如软件权限限制问题的解决方法可以参考

二、路由器和交换机的安全策略

路由器安全策略示例：

1. 路由器上不得配置用户账户。

2. 路由器上的enable password命令必须以一种安全的加密形式保存。

3. 禁止IP的直接广播。

4. 路由器应当阻止源地址为非法地址的数据包。

5. 在本单位的业务需要增长时，添加相应的访问规则。

6. 路由器应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 每一台路由器都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。

您必须在获得明确许可的情况下才能访问或配置该设备。

在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。

每一台网络交换机必须满足以下的配置标准：

1. 交换机上不得配置用户账户。

2. 交换机上的enable password命令必须以一种安全的加密形式保存。

3. 如果交换机的.MAC水平的地址能够锁定，就应当启用此功能。

4. 如果在一个端口上出现新的或未注册的MAC地址，就应当禁用此端口。

5. 如果断开链接后又重新建立链接，就应当生成一个SNMP trap.

6. 交换机应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 交换机应当禁用任何Web 服务器软件，如果需要这种软件来维护交换机的话，应当启动服务器来配置交换机，然后再禁用它。

对管理员功能的所有访问控制都应当启用。

三、如何设置IP安全策略

03系统例举

01.首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”

02.使用鼠标右键单击左方的“ip

安全策略，在

本地计算机”选项，并选择“创建

ip

安全策略”选项

03.点击“下一步”按钮

04.设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以

05.点击“下一步”按钮

06.去掉“激活默认响应规则”选项的勾

07.点击“下一步”按钮

08.点击“完成”按钮

09.去掉右导”选项的勾

10.现在先开始添止所有机器访问服务器，点击“添加”按钮

11.点击“添加”按钮

12.设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以

13.点击“添加”按钮

14.如果该服务器不打算上网，则可以将“源地址”设置为“任何

ip

地址”。

如果需要上网，建议设置为“一个特定的

ip

子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192.168.1.10，则可以设置为192.168.1.0，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在192.168.1.*的范围，则直接设置为255.255.255.0即可

15.将“目标地址”设置为“我的

ip

地址”

16.点击“确定”按钮

17.点击“确定”按钮

18.选择刚创建的ip筛选器（即12步中设置的名称）

19.切换到“筛选器操作”选项页

20.去掉“使用添加向导”选项的勾

21.点击“添加”按钮

22.选择“阻止”选项

23.切换到“常规”选项页

24.设置筛选器操作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以

25.点击“确定”按钮

26.选择刚创建的筛选器操作（即24步设置的名称）

27.点击“应用”按钮

28.点击“确定”按钮

29.现在开始添加允许访问该服务器的机器，点击“添加”按钮

30.点击“添加”按钮

31.设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以

32.点击“添加”按钮

33.将“源地址”设置为“一个特定的

ip

地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）

34.设置“目标地址”为“我的

ip

地址”

35.点击“确定”按钮

36.重复32至35步将要允许访问该服务器的ip全部添加

37.点击“确定”按钮

38.选择刚创建的“ip

筛选器”（即31步设置的名称）

39.切换到“筛选器操作”选项页

40.选择“许可”选项

41.点击“应用”按钮

42.点击“确定”按钮

43.点击“确定”按钮

44.使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可

45.以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置

注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。

因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp

-s命令来绑定），并在路由器中对这些ip绑定mac地址。

不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。