软件开发的家园,编程爱好者的天地.

现在是:北京时间 2016/4/14 上午11:50:51 星期四

设为首页  |  加入收藏  |  网站地图

Windows 2000安全配置工具
发布于:第八基地 来源:互联网 作者:天堂路上 时间:2011-10-11 点击:124

  文/MicrosoftChina.

  Windows2000安全策略  本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序。默认情况下,组策略具有继承性和累积性,并且影响MicrosoftActiveDirectory®容器中的所有计算机。通过使用组策略对象(GPO)可以管理组策略,这些组策略对象是在选定ActiveDirectory对象(如站点、域或组织单位(OU))的特定层次结构中附加的数据结构。  创建了这些GPO后,可以按照如下标准顺序应用:LSDOU,其表示(1)本地、(2)站点、(3)域、(4)OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。

  计算机加入实施ActiveDirectory和组策略的域时,会处理本地GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地GPO策略。

  可以在默认域GPO本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和Kerberos策略),因为在默认域控制器GPO中定义了域控制控制器(DC)。对于DC,在默认DCGPO中定义的设置优先级高于在默认域GPO中定义的设置。这样,如果在默认域GPO中配置用户特权(例如,“域中添加工作站”),则对此域中的DC没有影响。

  存在有在特定GPO中允许强制实施组策略的选项,这样可以防止较低级别的ActiveDirectory容器中的GPO替代此策略。例如,如果在域级别定义了特定GPO,并指定强制实施GPO,则GPO包含的策略将会应用于此域中的所有OU;也就是说,较低级别的容器(OU)无法替代此域组策略。

  注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有DC接收来自在域节点配置的GPO的帐户策略,而不考虑DC的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非DC的计算机可按照正常的GPO层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域GPO中配置的策略设置,但如果存在有替代默认设置的更低范围的其他GPO,则这些设置将会生效。

  本地安全策略  使用本地安全策略可以在本地计算机中设置安全要求。其主要用于单独计算机或用于将特定安全设置应用于域成员。在ActiveDirectory托管网络中,本地安全策略设置具有最低优先级。

  •打开本地安全策略  1.以管理员权限登录到计算机。  2.在Windows2000Professional计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在Windows2000Professional中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。  3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。

图1:本地安全设置域安全策略

  使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。

  •打开域安全策略

  1.打开“ActiveDirectory用户和计算机”管理单元。  2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。  3.单击“组策略”选项卡。  4.单击“编辑”按钮。  5.展开“Windows设置”。  6.在“安全设置”树中执行安全配置。

  组织单位组策略对象

  应该使用OU管理域中的安全策略。此域已经与域控制器OU一起提供。但是,可以根据需要定义其他OU。例如,在域级别应该应用基准设置,然后在OU级别应用特定设置。这样,可以创建工作站OU并将所有工作站置于其中,创建域服务器OU并将所有域成员服务器置于其中,等等。

  OUGPO可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器OU配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建OUGPO时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击GPO的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。

  其他安全配置界面

  为了便于讨论和实施,本文档重点介绍有关通过Windows2000安全策略管理安全设置。但是,在独立计算机上,这些界面不可用,甚至在域成员中有时需要逐一管理安全性,而不是通过组策略进行管理。有许多独立工具可以用于执行这些任务。最常使用的是所有Windows2000系统都附带的安全配置编辑器。

  安全配置编辑器

  管理配置编辑器(SCE)由Microsoft管理控制台(MMC)两个管理单元组成,用于提供对Windows2000操作系统进行安全配置和分析的功能。第一个管理单元是“安全模板”管理单元,可以为管理员提供管理.inf文件(用于应用安全设置)的图形方式。第二个管理单元是“安全配置和分析”管理单元,用于管理员分析与特定模板相关的系统的安全性以及将模板中的设置应用于系统。这些界面如图2所示。为了查看这些管理单元,必须创建一个新的控制台。

  •创建新的控制台

  1.单击“开始”,然后单击“运行...”并运行MMC。  2.MMC出现后,单击“控制台”,然后单击“添加/删除管理单元...”。接着,单击“添加...”,然后双击“安全配置和分析”以及“安全模板”。  3.单击“关闭”和“确定”返回控制台。为了将来使用,现在可以保存此控制台以便在“开始”菜单上的“管理工具”文件夹中可用。

对我有帮助
(0)
0%
对我没帮助
(0)
0%
返回顶部
在线反馈
在线反馈