Windows2000區域網的組策略管理(轉)

RegisterForBlog發表於2007-08-11
Windows
Windows2000區域網的組策略管理(轉)[@more@]

  在Windows 2000作業系統中,我們可以使用“組策略”為使用者和計算機組定義使用者和計算機的配置。透過使用“組策略”,Microsoft管理控制檯(MMC)可以為特定使用者和計算機組建立個性化的配置。“組策略”配置包含在一個“組策略物件”(GPO) 中,該物件又與選定的Active Directory服務容器如站點、域或組織單位(OU) 等相關聯。組策略物件包括兩種物件──非本地和本地的組策略物件。

  

  儲存在域控制器中的非本地組策略物件只能在Active Directory環境下使用。它們適用於組策略物件所關聯的站點、域或組織單位中的使用者和計算機。

  

  本地組策略物件儲存在各個本地計算機上。一臺計算機上只儲存一個本地組策略物件,而且它有一個在非本地組策略物件中可用的設定子集。如果二者的設定發生衝突,非本地組策略物件的設定能覆蓋本地組策略物件的設定。如果不衝突,則都可以應用。

  

  使用組策略,我們可以對使用者工作環境狀態只定義一次,然後靠系統實施管理員定義的策略,對使用者和計算機進行管理。

  

  一、組策略安全概述

  

  組策略包括應用於域或計算機組的大量安全許可權配置檔案。一個組策略物件可以應用到區域網內的所有計算機。單個計算機啟動時,組策略得以應用,如果作出改動時沒有重新啟動計算機,組策略會得到定期重新整理。

  

  1、組策略工作原理

  

  組策略與Active Directory使用者中的域和資料夾以及MMC管理單元相關聯。組策略授予的許可權應用到儲存於該資料夾中的計算機上。使用Active Directory站點和服務管理單元還可將組策略應用到站點。子資料夾從父資料夾繼承組策略,子資料夾也可能依次有自己的組策略物件。指派給一個資料夾的組策略可能不止一個。組策略是安全組的補充,可以將單一安全配置檔案應用到多臺計算機上。它加強了一致性並易於管理。組策略物件包含實現多種型別安全策略的許可權和引數。總之,組策略可由父站點傳遞到子站點和區域網。如果將一個特定組策略指派給高階的父站點,這個組策略會應用到父等級以下所有站點,包括每個容器中的使用者和計算機物件。

  

  2、組策略的安全設定

  

  位於組策略物件“安全設定”節點的容器包括:賬戶策略、本地策略、事件日誌、受限組、系統服務、登錄檔、檔案系統、公鑰策略、Active Directory中的網際協議安全策略等。有些策略只應用於域的範圍,也就是說,策略設定是在域範圍內進行的。例如賬戶策略一律應用於域內的所有使用者賬戶。不能為同一域內的不同部門定義不同賬戶策略。至於安全策略範圍,賬戶策略和公鑰策略都具有域範圍。所有其它策略範圍都可在部門等級設定。

  

  3、安全模板

  

  Windows 2000為在網路環境設定中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、伺服器或客戶計算機上適合某一特定安全等級的安全設定配置檔案。例如,hisecdc模板包括適合高安全性域控制器的設定。可以把安全配置檔案匯入組策略物件並把它應用到一個等級的計算機上。把安全配置檔案匯入個人資料庫用來檢查和配置本地計算機的安全策略。

  

  二、實施組策略安全管理

  

  在Windows 2000區域網中實施安全管理應分別從伺服器和工作站兩方面進行。首先應在伺服器上安裝活動目錄服務,然後在域上實施組策略;其次應將工作站置於伺服器所管理的域中。

  

  1、啟動活動目錄服務

  

  在“程式→管理工具→配置伺服器”選項中,選定左邊的“Active Directory”,啟動活動目錄安裝嚮導。設定過程中關鍵是要將伺服器設定為第一個域目錄樹,DNS域名輸入ISP提供的域名,若不連線國際網際網路,也可任意設定。

  

  2、開啟組策略控制檯

  

  啟動“Active Directory目錄和使用者”項,在右面物件容器樹中的根目錄上單擊右鍵,然後單擊“屬性”項,在新開啟的視窗中單擊“組策略”選項卡,即可開啟組策略控制檯。

  

  3、設定組策略

  

  Windows 2000組策略有100多個與安全有關的設定和450多個基於登錄檔的設定,為管理使用者計算機環境提供了眾多的選項,某一選項一旦被設定將會作用於登入到域上的所有使用者和工作站。這裡將幾個常用策略的設定步驟介紹一下,作為策略設定的參考。

  

  a、啟用“登入螢幕”上不顯示上次登入的使用者名稱

  

  這一選項可以保護使用者賬號的安全,阻止賬號盜用行為的發生。該選項所處位置按照“計算機配置→安全設定→本地策略→安全選項”的順序查詢,雙擊該選項,選擇“啟用”。當使用者下次登入域時,該項策略將被應用在使用者操作的工作站上。

  

  b、啟動“活動桌面牆紙”

  

  使用此選項,區域網上登入域的所有計算機將使用同一桌面牆紙,並且不能被更改。因此,可以透過這一項策略的設定,防止臨時使用者隨意更換桌面牆紙,使區域網中的工作站具有相同的介面。該選項所處的位置是“使用者配置→管理模板→桌面→活動桌面”。

  

  綜合應用Windows 2000的賬號安全、組策略安全和資料夾許可權等安全屬性,可以很好地保護區域網中各工作站的安全。同時,使用賬號安全屬性對系統檔案進行保護,還可對病毒的破壞起到防範作用。

  作者:臧疆洋


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10763080/viewspace-947457/,如需轉載,請註明出處,否則將追究法律責任。

相關文章