当前页面位置: » 丰搜网 » 文档中心 » 详细内容
windows2000安全配置工具
文/microsoft china.
windows 2000 安全策略
本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序。默认情况下,组策略具有继承性和累积性,并且影响 microsoft active directory® 容器中的所有计算机。通过使用组策略对象 (gpo) 可以管理组策略,这些组策略对象是在选定 active directory 对象(如站点、域或组织单位 (ou))的特定层次结构中附加的数据结构。
创建了这些 gpo 后,可以按照如下标准顺序应用:lsdou,其表示 (1) 本地、(2) 站点、(3) 域、(4) ou。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。
计算机加入实施 active directory 和组策略的域时,会处理本地 gpo。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 gpo 策略。
可以在默认域 gpo 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 kerberos 策略),因为在默认域控制器 gpo 中定义了域控制控制器 (dc) 。对于 dc,在默认 dc gpo 中定义的设置优先级高于在默认域 gpo 中定义的设置。这样,如果在默认域 gpo 中配置用户特权(例如,“域中添加工作站”),则对此域中的 dc 没有影响。
存在有在特定 gpo 中允许强制实施组策略的选项,这样可以防止较低级别的 active directory 容器中的 gpo 替代此策略。例如,如果在域级别定义了特定 gpo,并指定强制实施 gpo,则 gpo 包含的策略将会应用于此域中的所有 ou;也就是说,较低级别的容器 (ou) 无法替代此域组策略。
注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 dc 接收来自在域节点配置的 gpo 的帐户策略,而不考虑 dc 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 dc 的计算机可按照正常的 gpo 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 gpo 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 gpo,则这些设置将会生效。
本地安全策略
使用本地安全策略可以在本地计算机中设置安全要求。其主要用于单独计算机或用于将特定安全设置应用于域成员。在 active directory 托管网络中,本地安全策略设置具有最低优先级。
• 打开本地安全策略
1.以管理员权限登录到计算机。
2.在 windows 2000 professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 windows 2000 professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。
3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。
图 1:本地安全设置 域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。
• 打开域安全策略
1.打开“active directory 用户和计算机”管理单元。
2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”ou。
3.单击“组策略”选项卡。
4.单击“编辑”按钮。
5.展开“windows 设置”。
6.在“安全设置”树中执行安全配置。
