Windows 2000安全配置工具

文/Microsoft China.
Windows 2000 安全策略
本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序 。默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory?容器中的所有计算机 。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构 。

创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU 。后应用的策略优先级高于先应用的策略优先级 。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效 。然而,如果某台计算机不再属于某一域,则应用本地组策略 。
计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO 。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略 。
可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC)。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置 。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响 。
存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略 。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略 。
注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式 。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置 。这样可确保对于所有域帐户强制实施一致的帐户策略 。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略 。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效 。
本地安全策略
使用本地安全策略可以在本地计算机中设置安全要求 。其主要用于单独计算机或用于将特定安全设置应用于域成员 。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级 。
? 打开本地安全策略
1.以管理员权限登录到计算机 。
2.在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示 。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单” 。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡 。在“开始菜单设置”对话框中选择“显示管理工具” 。单击“确定”按钮完成设置 。
3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略” 。这样就可以“本地安全设置”控制台 。
图 1:本地安全设置 域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全要求 。域安全策略替代域中所有计算机的本地安全策略设置 。
? 打开域安全策略
1.打开“Active Directory 用户和计算机”管理单元 。
2.右键单击要查看的适当的组织单位或域,然后单击“属性” 。例如,要查看域安全策略,右键单击域 。要查看域控制器策略,右键单击“域控制器”OU 。

推荐阅读