文/Microsoft China.

　　Windows 2000 安全策略
　　本部分介紹各種安全策略工具及其有關(guān)安全策略應(yīng)用的優(yōu)先級(jí)順序。默認(rèn)情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory® 容器中的所有計(jì)算機(jī)。通過使用組策略對(duì)象 (GPO) 可以管理組策略，這些組策略對(duì)象是在選定 Active Directory 對(duì)象（如站點(diǎn)、域或組織單位 (OU)）的特定層次結(jié)構(gòu)中附加的數(shù)據(jù)結(jié)構(gòu)。
 
　　創(chuàng)建了這些 GPO 后，可以按照如下標(biāo)準(zhǔn)順序應(yīng)用：LSDOU，其表示 (1) 本地、(2) 站點(diǎn)、(3) 域、(4) OU。后應(yīng)用的策略優(yōu)先級(jí)高于先應(yīng)用的策略優(yōu)先級(jí)。如果某臺(tái)計(jì)算機(jī)屬于某一域，并且在域和本地計(jì)算機(jī)策略之間存在沖突時(shí)，則域策略有效。然而，如果某臺(tái)計(jì)算機(jī)不再屬于某一域，則應(yīng)用本地組策略。

　　計(jì)算機(jī)加入實(shí)施 Active Directory 和組策略的域時(shí)，會(huì)處理本地 GPO。請(qǐng)注意，甚至在指定了“阻止策略繼承”選項(xiàng)時(shí)，也會(huì)處理本地 GPO 策略。

　　可以在默認(rèn)域 GPO 本地策略（審核策略、用戶權(quán)限分配和安全選項(xiàng)）中定義整個(gè)域的帳戶策略（密碼、帳戶鎖定和 Kerberos 策略），因?yàn)樵谀J(rèn)域控制器 GPO 中定義了域控制控制器 (DC) 。對(duì)于 DC，在默認(rèn) DC GPO 中定義的設(shè)置優(yōu)先級(jí)高于在默認(rèn)域 GPO 中定義的設(shè)置。這樣，如果在默認(rèn)域 GPO 中配置用戶特權(quán)（例如，“域中添加工作站”），則對(duì)此域中的 DC 沒有影響。

　　存在有在特定 GPO 中允許強(qiáng)制實(shí)施組策略的選項(xiàng)，這樣可以防止較低級(jí)別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級(jí)別定義了特定 GPO，并指定強(qiáng)制實(shí)施 GPO，則 GPO 包含的策略將會(huì)應(yīng)用于此域中的所有 OU；也就是說，較低級(jí)別的容器 (OU) 無法替代此域組策略。

　　注意：帳戶策略安全區(qū)域接收它在此域計(jì)算機(jī)中生效的專門處理方式。此域中的所有 DC 接收來自在域節(jié)點(diǎn)配置的 GPO 的帳戶策略，而不考慮 DC 的計(jì)算機(jī)對(duì)象的位置。這樣可確保對(duì)于所有域帳戶強(qiáng)制實(shí)施一致的帳戶策略。域中的所有非 DC 的計(jì)算機(jī)可按照正常的 GPO 層次結(jié)構(gòu)來獲得這些計(jì)算機(jī)上本地帳戶的策略。默認(rèn)情況下，成員工作站和服務(wù)器強(qiáng)制實(shí)施其本地帳戶域 GPO 中配置的策略設(shè)置，但如果存在有替代默認(rèn)設(shè)置的更低范圍的其他 GPO，則這些設(shè)置將會(huì)生效。

　　本地安全策略
　　使用本地安全策略可以在本地計(jì)算機(jī)中設(shè)置安全要求。其主要用于單獨(dú)計(jì)算機(jī)或用于將特定安全設(shè)置應(yīng)用于域成員。在 Active Directory 托管網(wǎng)絡(luò)中，本地安全策略設(shè)置具有最低優(yōu)先級(jí)。

　　• 打開本地安全策略
　　1.以管理員權(quán)限登錄到計(jì)算機(jī)。
　　2.在 Windows 2000 PRofessional 計(jì)算機(jī)中，默認(rèn)情況下“管理工具”不會(huì)作為“開始”菜單中的選項(xiàng)進(jìn)行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項(xiàng)，請(qǐng)單擊“開始”，指向“設(shè)置”，然后單擊“任務(wù)欄和開始菜單”。在“任務(wù)欄和開始菜單屬性”窗口中，單擊“高級(jí)”選項(xiàng)卡。在“開始菜單設(shè)置”對(duì)話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設(shè)置。
　　3.單擊“開始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設(shè)置”控制臺(tái)。

圖 1：本地安全設(shè)置 域安全策略

　　使用域安全策略可以設(shè)置和傳播域中所有計(jì)算機(jī)的安全要求。域安全策略替代域中所有計(jì)算機(jī)的本地安全策略設(shè)置。

　　• 打開域安全策略

　　1.打開“Active Directory 用戶和計(jì)算機(jī)”管理單元。
　　2.右鍵單擊要查看的適當(dāng)?shù)慕M織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”O(jiān)U。
　　3.單擊“組策略”選項(xiàng)卡。
　　4.單擊“編輯”按鈕。
　　5.展開“Windows 設(shè)置”。
　　6.在“安全設(shè)置”樹中執(zhí)行安全配置。

　　組織單位組策略對(duì)象

　　應(yīng)該使用 OU 管理域中的安全策略。此域已經(jīng)與域控制器 OU 一起提供。但是，可以根據(jù)需要定義其他 OU。例如，在域級(jí)別應(yīng)該應(yīng)用基準(zhǔn)設(shè)置，然后在 OU 級(jí)別應(yīng)用特定設(shè)置。這樣，可以創(chuàng)建工作站 OU 并將所有工作站置于其中，創(chuàng)建域服務(wù)器 OU 并將所有域成員服務(wù)器置于其中，等等。

　　OU GPO 可以替代由前面討論的策略界面實(shí)施的安全策略設(shè)置。例如，如果為域設(shè)置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會(huì)繼承域策略設(shè)置。通過在創(chuàng)建 OU GPO 時(shí)選擇“禁止替代”選項(xiàng)，可以避免發(fā)生此情況。“禁止替代”選項(xiàng)會(huì)強(qiáng)制所有子容器繼承來自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設(shè)置了“阻止繼承”的情況下也是如此。通過單擊 GPO 的“屬性”對(duì)話框上的“選項(xiàng)”按鈕，定位“禁止替代”復(fù)選框。

　　其他安全配置界面

　　為了便于討論和實(shí)施，本文檔重點(diǎn)介紹有關(guān)通過 Windows 2000 安全策略管理安全設(shè)置。但是，在獨(dú)立計(jì)算機(jī)上，這些界面不可用，甚至在域成員中有時(shí)需要逐一管理安全性，而不是通過組策略進(jìn)行管理。有許多獨(dú)立工具可以用于執(zhí)行這些任務(wù)。最常使用的是所有 Windows 2000 系統(tǒng)都附帶的安全配置編輯器。

　　安全配置編輯器

　　管理配置編輯器 (SCE) 由 Microsoft 管理控制臺(tái) (MMC) 兩個(gè)管理單元組成，用于提供對(duì) Windows 2000 操作系統(tǒng)進(jìn)行安全配置和分析的功能。第一個(gè)管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應(yīng)用安全設(shè)置）的圖形方式。第二個(gè)管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關(guān)的系統(tǒng)的安全性以及將模板中的設(shè)置應(yīng)用于系統(tǒng)。這些界面如圖 2 所示。為了查看這些管理單元，必須創(chuàng)建一個(gè)新的控制臺(tái)。

　　• 創(chuàng)建新的控制臺(tái)

　　1.單擊“開始”，然后單擊“運(yùn)行...”并運(yùn)行 MMC。
　　2.MMC 出現(xiàn)后，單擊“控制臺(tái)”，然后單擊“添加/刪除管理單元...”。接著，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。
　　3.單擊“關(guān)閉”和“確定”返回控制臺(tái)。為了將來使用，現(xiàn)在可以保存此控制臺(tái)以便在“開始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器

　　使用 SCE 工具，管理員可以配置 Windows 2000 操作系統(tǒng)的安全性，然后執(zhí)行對(duì)系統(tǒng)的定期分析以確保保持配置完整或者隨時(shí)間推移進(jìn)行必要的更改。這些工具可以有效地提供對(duì)組策略“安全設(shè)置”樹中顯示的每一項(xiàng)內(nèi)容的訪問能力。

　　有關(guān)使用 SCE 工具的詳細(xì)信息，請(qǐng)參閱：http://www.microsoft.com/。

　　其他工具

　　有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡(jiǎn)要介紹其中的一些工具。估計(jì)管理員已熟悉這些工具并且不需要對(duì)這些工具進(jìn)行更多的介紹。

　　• Windows Explorer – 允許配置文件系統(tǒng)上的隨機(jī)訪問控制列表 (DACL) 和系統(tǒng)訪問控制列表 (SACL)。
　　• Regedt32.exe – 允許配置注冊(cè)表上的 DACL 和 SACL。
　　• Cacls.exe – 命令行工具，此工具允許配置和查看文件系統(tǒng) DACL。
　　• Net.exe – 命令行工具，可以用于創(chuàng)建和配置用戶帳戶和組成員身份以及用于配置各種設(shè)置（如系統(tǒng)在網(wǎng)絡(luò)瀏覽列表中是否可見）。

　　• Netsh.exe – 命令行工具，用于配置網(wǎng)絡(luò)參數(shù)。
　　• Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。