Windows2000局域網(wǎng)的組策略管理

2019-11-05 03:11:05

字體：大中小

供稿：網(wǎng)友

    在windows 2000操作系統(tǒng)中，我們可以使用“組策略”為用戶(hù)和計(jì)算機(jī)組定義用戶(hù)和計(jì)算機(jī)的配置。通過(guò)使用“組策略”，Microsoft治理控制臺(tái)（MMC）可以為特定用戶(hù)和計(jì)算機(jī)組創(chuàng)建個(gè)性化的配置。“組策略”配置包含在一個(gè)“組策略對(duì)象”(GPO) 中，該對(duì)象又與選定的Active Directory服務(wù)容器如站點(diǎn)、域或組織單位(OU) 等相關(guān)聯(lián)。組策略對(duì)象包括兩種對(duì)象──非本地和本地的組策略對(duì)象。
    存儲(chǔ)在域控制器中的非本地組策略對(duì)象只能在Active Directory環(huán)境下使用。它們適用于組策略對(duì)象所關(guān)聯(lián)的站點(diǎn)、域或組織單位中的用戶(hù)和計(jì)算機(jī)。
    本地組策略對(duì)象存儲(chǔ)在各個(gè)本地計(jì)算機(jī)上。一臺(tái)計(jì)算機(jī)上只存儲(chǔ)一個(gè)本地組策略對(duì)象，而且它有一個(gè)在非本地組策略對(duì)象中可用的設(shè)置子集。假如二者的設(shè)置發(fā)生沖突，非本地組策略對(duì)象的設(shè)置能覆蓋本地組策略對(duì)象的設(shè)置。假如不沖突，則都可以應(yīng)用。
    使用組策略，我們可以對(duì)用戶(hù)工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實(shí)施治理員定義的策略，對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行治理。

一、組策略安全概述
    組策略包括應(yīng)用于域或計(jì)算機(jī)組的大量安全權(quán)限配置文件。一個(gè)組策略對(duì)象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計(jì)算機(jī)。單個(gè)計(jì)算機(jī)啟動(dòng)時(shí)，組策略得以應(yīng)用，假如作出改動(dòng)時(shí)沒(méi)有重新啟動(dòng)計(jì)算機(jī)，組策略會(huì)得到定期刷新。
1、組策略工作原理
    組策略與Active Directory用戶(hù)中的域和文件夾以及MMC治理單元相關(guān)聯(lián)。組策略授予的權(quán)限應(yīng)用到存儲(chǔ)于該文件夾中的計(jì)算機(jī)上。使用Active Directory站點(diǎn)和服務(wù)治理單元還可將組策略應(yīng)用到站點(diǎn)。子文件夾從父文件夾繼續(xù)組策略，子文件夾也可能依次有自己的組策略對(duì)象。指派給一個(gè)文件夾的組策略可能不止一個(gè)。組策略是安全組的補(bǔ)充，可以將單一安全配置文件應(yīng)用到多臺(tái)計(jì)算機(jī)上。它加強(qiáng)了一致性并易于治理。組策略對(duì)象包含實(shí)現(xiàn)多種類(lèi)型安全策略的權(quán)限和參數(shù)。總之，組策略可由父站點(diǎn)傳遞到子站點(diǎn)和局域網(wǎng)。假如將一個(gè)特定組策略指派給高級(jí)的父站點(diǎn)，這個(gè)組策略會(huì)應(yīng)用到父等級(jí)以下所有站點(diǎn)，包括每個(gè)容器中的用戶(hù)和計(jì)算機(jī)對(duì)象。
2、組策略的安全設(shè)置
     位于組策略對(duì)象“安全設(shè)置”節(jié)點(diǎn)的容器包括：賬戶(hù)策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說(shuō)，策略設(shè)置是在域范圍內(nèi)進(jìn)行的。例如賬戶(hù)策略一律應(yīng)用于域內(nèi)的所有用戶(hù)賬戶(hù)。不能為同一域內(nèi)的不同部門(mén)定義不同賬戶(hù)策略。至于安全策略范圍，賬戶(hù)策略和公鑰策略都具有域范圍。所有其它策略范圍都可在部門(mén)等級(jí)設(shè)定。
3、安全模板
    Windows 2000為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服務(wù)器或客戶(hù)計(jì)算機(jī)上適合某一特定安全等級(jí)的安全設(shè)置配置文件。例如，hisecdc模板包括適合高安全性域控制器的設(shè)置。可以把安全配置文件導(dǎo)入組策略對(duì)象并把它應(yīng)用到一個(gè)等級(jí)的計(jì)算機(jī)上。把安全配置文件導(dǎo)入個(gè)人數(shù)據(jù)庫(kù)用來(lái)檢查和配置本地計(jì)算機(jī)的安全策略。

二、實(shí)施組策略安全治理
    在Windows 2000局域網(wǎng)中實(shí)施安全治理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù)，然后在域上實(shí)施組策略；其次應(yīng)將工作站置于服務(wù)器所治理的域中。
1、啟動(dòng)活動(dòng)目錄服務(wù)
    在“程序→治理工具→配置服務(wù)器”選項(xiàng)中，選定左邊的“Active Directory”，啟動(dòng)活動(dòng)目錄安裝向?qū)АＴO(shè)置過(guò)程中要害是要將服務(wù)器設(shè)置為第一個(gè)域目錄樹(shù)，DNS域名輸入ISP提供的域名，若不連接國(guó)際互聯(lián)網(wǎng)，也可任意設(shè)定。
2、打開(kāi)組策略控制臺(tái)
    啟動(dòng)“Active Directory目錄和用戶(hù)”項(xiàng)，在右面對(duì)象容器樹(shù)中的根目錄上單擊右鍵，然后單擊“屬性”項(xiàng)，在新打開(kāi)的窗口中單擊“組策略”選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。
3、設(shè)置組策略
    Windows 2000組策略有100多個(gè)與安全有關(guān)的設(shè)置和450多個(gè)基于注冊(cè)表的設(shè)置，為治理用戶(hù)計(jì)算機(jī)環(huán)境提供了眾多的選項(xiàng)，某一選項(xiàng)一旦被設(shè)置將會(huì)作用于登錄到域上的所有用戶(hù)和工作站。這里將幾個(gè)常用策略的設(shè)置步驟介紹一下，作為策略設(shè)置的參考。
a、啟用“登錄屏幕”上不顯示上次登錄的用戶(hù)名
    這一選項(xiàng)可以保護(hù)用戶(hù)賬號(hào)的安全，阻止賬號(hào)盜用行為的發(fā)生。該選項(xiàng)所處位置按照“計(jì)算機(jī)配置→安全設(shè)置→本地策略→安全選項(xiàng)”的順序查找，雙擊該選項(xiàng)，選擇“啟用”。
當(dāng)用戶(hù)下次登錄域時(shí)，該項(xiàng)策略將被應(yīng)用在用戶(hù)操作的工作站上。
b、啟動(dòng)“活動(dòng)桌面墻紙”
    使用此選項(xiàng)，局域網(wǎng)上登錄域的所有計(jì)算機(jī)將使用同一桌面墻紙，并且不能被更改。因此，可以通過(guò)這一項(xiàng)策略的設(shè)置，防止臨時(shí)用戶(hù)隨意更換桌面墻紙，使局域網(wǎng)中的工作站具有相同的界面。該選項(xiàng)所處的位置是“用戶(hù)配置→治理模板→桌面→活動(dòng)桌面”。
    綜合應(yīng)用Windows 2000的賬號(hào)安全、組策略安全和文件夾權(quán)限等安全屬性，可以很好地保護(hù)局域網(wǎng)中各工作站的安全。同時(shí)，使用賬號(hào)安全屬性對(duì)系統(tǒng)文件進(jìn)行保護(hù)，還可對(duì)病毒的破壞起到防范作用。

上一篇：虛擬局域網(wǎng)入門(mén)(2)

下一篇：虛擬局域網(wǎng)入門(mén)(1)