活动目录服务中的安全策略究竟有哪些？

大家好，今天咱们来聊聊活动目录服务中的安全策略。就像家里装防盗门要选好几道锁一样，企业用活动目录（Active Directory）管理用户和资源时，也得靠各种安全策略来守好大门。下面我就带大家看看这些策略到底长啥样，怎么用才顺手。

一、账户策略：管好用户账户的"身份证"

账户策略就像公司前台的人脸识别系统，得先确认你是你，才能放你进门。这里头主要有三员大将：

• 密码策略：规定密码长度、复杂度要求，就跟咱们的支付密码要大小写混合一个道理
• 账户锁定策略：输错密码5次就锁账户，防止有人瞎蒙
• Kerberos策略：管理身份验证票据的有效期，就像临时访客证要定时更换

策略类型	典型设置	适用场景
密码最短长度	8-12位	普通员工账户
账户锁定阈值	5次尝试	防范暴力破解

密码策略的实战经验

记得去年给某客户做优化时，他们原本设的密码有效期是30天。结果员工老忘记改密码，反而写在便利贴上贴显示器。后来改成90天有效期，配合双因素认证，既安全又人性化。

二、本地策略：给每台电脑上规矩

本地策略好比给每个工位定规矩，包含三大模块：

• 审核策略：记录谁在什么时候干了什么
• 用户权限分配：规定哪些人能关服务器、改系统时间
• 安全选项：控制匿名访问、USB接口使用等细节

审核策略设置要点

建议至少开启账户登录事件、对象访问事件这两项审计。去年某物流公司被黑，就是靠审计日志发现攻击者用了已离职员工的账号，才及时止损。

三、高级安全防护套餐

• 受限组策略：管好管理员等特殊群组
• 软件限制策略：禁止运行来路不明的程序
• 文件/注册表保护：给重要系统文件上锁

防护类型	推荐配置	生效范围
管理员组管控	仅允许指定用户	全域生效
可执行文件限制	禁止临时目录运行	终端设备

最近帮一家电商平台做加固时，发现他们的财务系统管理员组有20多人。后来用受限组策略精简到5人，权限风险直降70%。

四、日常维护小贴士

安全策略可不是设置完就完事了，得定期做这四件事：

• 每季度检查策略继承情况
• 半年做一次权限审查
• 更新系统时同步测试策略
• 新业务上线前做策略模拟

上个月有个客户急着上线新系统，忘了把新OU加入策略应用范围，结果新员工全都登不上业务系统。后来加了条组策略筛选器，问题才解决。

说到这儿，想起有次帮朋友公司排查问题。他们有个策略设置要求密码必须包含特殊符号，结果把CEO锁外面了——老爷子习惯用生日当密码。最后单独给他开了个例外策略，既保证安全又不影响工作效率。

说到底，活动目录的安全策略就像炒菜放盐，得根据业务需求调整用量。太松了容易出事，太严了影响效率。建议大家多参考微软的《安全配置基线》，再结合自家业务特点做调整。毕竟，适合自己的才是最好的防护方案嘛！