我应该在 Active Directory 中配置哪些重要的组策略设置？

Question

我们启用了许多重要的设置（密码更改、屏幕锁定等），但我确信我们可以启用更多真正有用的设置。

任何建议将不胜感激......特别是在安全领域。

Answer 1

以上通常是起点

电脑政策：

• 查看账户政策/审计政策
• 查看本地策略/用户权限分配
• 本地策略/安全选项/关机/关机：清除虚拟内存页面文件 = 已启用
• System Services\Messenger\Startup Mode = Disabled
• 公钥策略/加密文件系统/允许用户使用 EFS 加密文件=禁用（除非您有 PKI 和帐户以允许解密）

用户政策：

• 查看管理模板\控制面板
• 管理模板\系统\阻止访问注册表编辑工具 = 已启用
• 管理模板\系统\阻止访问命令提示符 = 已启用

还有更多有用和重要的问题，但它们涵盖了 XP/Vista/2003 的大部分问题。这听起来很痛苦，但您唯一能做的就是确保将最新的 .adm 文件加载到组策略管理控制台中，并根据业务需求进行决策。