安全性原則設定
適用對象:
Windows 10
此參考主題說明安全性設定常見的案例、架構及程式。
安全性原則設定是系統管理員為保護裝置或網路上資源之目的,在電腦上或多個裝置上設定的規則。 本機群組策略編輯器管理單元的安全性設定擴充功能可讓您將安全性設定定義為群組原則物件或 GPO (的一) 。 GPO 會連結至 Active Directory 容器 ,例如網站、網域或組織單位,而且它們可支援您管理從任何加入網域的裝置所建立之多個裝置的安全性設定。 安全性設定策略會做為整體安全性的一部分,協助保護您組織的網域控制站、伺服器、用戶端和其他資源。
安全性設定可以控制:
- 網路或裝置的使用者驗證。
- 允許使用者存取的資源。
- 是否要在事件記錄中記錄使用者或群組的動作。
- 群組中的成員資格。
若要管理多個裝置的安全性配置,您可以使用下列其中一個選項:
- 編輯 GPO 中的特定安全性設定。
- 使用安全性範本管理單元來建立包含要申請安全性原則的安全性範本,然後將安全性範本導入群組原則物件。 安全性範本是代表安全性配置的檔案,可以將其導入 GPO、應用程式至本地裝置,或用來分析安全性。
有關管理安全性設定的資訊,請參閱 管理安全性原則設定。
Local Group Policy 編輯器的安全性設定擴充功能包含下列類型的安全性原則:
帳戶原則。 這些策略在裝置上定義;會影響使用者帳戶與電腦或網域互動的方式。 帳戶原則包括下列類型的政策:
- 密碼原則。 這些策略會決定密碼的設定,例如強制執行和生命週期。 密碼原則會用於網域帳戶。
- 帳戶鎖定政策。 這些策略會決定帳戶將鎖定在系統外的條件和時間長度。 帳戶鎖定政策適用于網域或本地使用者帳戶。
- Kerberos 策略。 這些策略適用于網域使用者帳戶;它們決定 Kerberos 相關設定,例如票證生命週期和強制執行。
本地策略。 這些原則適用于電腦,並包含下列原則設定類型:
稽核政策。 指定安全性設定,以控制將安全性事件記錄到電腦的安全性記錄,並指定要記錄 (成功、失敗或兩者均) 。