-
Windows 2000安全策略
本节介绍的各种安全政策工具及其安全策略应用的优先顺序。默认情况下,组策略继承和累积,影响微软活动目录的所有计算机(R)的容器。组策略可以通过使用组策略对象(GPO)管理。这些组策略对象是在ActiveDirectory对象的特定层次结构中选择的其他数据结构,如站点、域或组织单元(欧)。
在创建这些GPO中,您可以应用在以下标准为:lsdou,代表(1),(2)网站,(3)结构域,和(4)欧,后应用的策略优先级高于第一次申请的优先政策。如果计算机属于域有一个域和本地计算机策略之间的冲突,域名策略是有效的。但是,如果计算机不再属于某个域,应用本地组策略。
当计算机加入域,实现活动目录和组策略,本地GPO将被处理。注意本地GPO政策也是处理即使政策继承选项是防止。
会计政策(密码、帐户锁定和Kerberos策略)的整个域可以在默认域GPO(当地政策定义审计策略,用户权限分配和安全选项),因为域控制器(DC)是在默认域控制器GPO定义。DC,高于默认域GPO中定义的设置在默认GPO定义DC设置的优先级,这样,如果用户权限配置在默认域GPO(例如,加入域的工作站),在这一领域中的DC没有影响。
有允许组策略是在一个特定的GPO执行期权,以防止GPO由低级Active Directory容器而不是这个策略。例如,如果一个特定的GPO在域级别的定义,和GPO指定要执行,那么包含在GPO的策略将应用于此域中的所有OU;也就是说,一个低级别的容器(OU)不能代替这个域的组策略。
注:户口政策安全区接收,此域中的计算机有特殊的处理方法。在这个域中的所有DC从GPO配置域中的节点接收到政策,不考虑DC的计算机对象的位置。这将确保一致的会计政策的执行所有的域帐户。域中的所有非直流电脑可以获得本地户口政策在这些计算机上按照正常的GPO层次。默认情况下,成员工作站和策略设置配置在本地帐户域GPO是强制性的,但如果有其他GPO替代默认设置,这些设置就会生效。
本地安全策略
本地安全策略可用于在本地计算机中设置安全需求,主要用于单个计算机或用于将特定安全设置应用于域成员。本地安全策略设置在ActiveDirectory管理网络中具有最低优先级。
打开本地安全策略
1。使用管理员权限登录计算机。
2。在Windows 2000专业版的电脑,默认的管理工具是不显示在开始菜单的一个选项。看到Windows 2000专业版,为管理工具的菜单选项,请单击开始,指向设置,然后单击任务栏和开始菜单,在任务栏和开始菜单属性窗口,单击高级选项卡。在开始菜单设置对话框中选择显示管理工具。单击确定按钮完成设置。
三.单击开始,指向程序,指向管理工具,然后单击本地安全策略。这允许您为本地安全设置控制台。
图1:本地安全设置域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全需求。域安全策略替代域中所有计算机的本地安全策略设置。
开放域安全策略
1。打开Active Directory用户和计算机管理单元。
2。右键单击要查看的相应组织单元或域,然后单击属性。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击域控制器。
三.单击组策略选项卡。
4。单击编辑按钮。
5。展开windows设置。
6。在安全设置树中执行安全配置。
组织单元组策略对象
在你的管理域的安全策略应该被使用。这个领域已经有域控制器OU。然而,其他的你可以根据需要定义。例如,基础设置应该被应用在域级别,然后具体设置将应用在你的水平。这样,你可以创建一个工作站,你把所有的工作站,创建一个域区,并把所有的域成员,等等。
OU GPO可以替代前面讨论的政策接口实现安全策略设置的。例如,如果域设置政策与域控制器OU配置相同的政策不符,域控制器不继承域策略设置。这可以通过选择禁止替代选项创建OU GPO时避免。禁止替代选项将强制所有子容器从父容器继承的政策,即使这些策略的子容器的策略冲突,和子容器设置阻止继承。通过单击GPO的属性对话框的选项按钮,检查框的位置位于。
其他安全配置接口
为了方便讨论和实施,本文的重点是通过Windows 2000的安全策略管理安全设置。然而,在独立的计算机,这些接口是不可用的,有时甚至是在域的成员,他们需要管理的安全一个接一个,而不是通过组策略。有一些独立的工具可用于执行这些任务。最常见的用途是与所有的Windows 2000系统的安全配置编辑器。
安全配置编辑器
管理配置编辑器(SCE)是由微软管理控制台的管理单元(MMC),这是用来为Windows 2000提供的安全配置和分析功能,管理第一单元的安全模板管理单元,为管理员管理图形化的方式提供的INF文件(应用程序的安全设置)。第二管理单位是安全配置和分析管理单元,这是管理员用来分析的具体模板相关系统的安全性,并应用设置的模板系统。这些接口如图2所示。为了看到这些管理单位,一个新的控制台必须创建。
创建一个新控制台
1。单击开始,然后单击运行…运行MMC。
2.mmc出现时,单击控制台,然后单击添加/删除管理单元,然后单击添加…然后双击安全配置、分析和安全模板。
三.单击关闭并决定返回控制台。在将来的使用中,您可以将控制台保存在开始菜单的管理工具文件夹中。
图2:安全配置编辑器
使用SCE工具,管理员可以配置Windows 2000的安全性,并对系统进行定期分析,以确保配置是完整的或必要的随时间变化的。这些工具可以有效地提供对组策略安全设置树中显示的每个内容的访问。
有关SCE工具使用的详细信息,请参见:。
其他工具
Windows 2000上还有许多其他工具可以用来管理安全性。本节简要介绍了一些工具。据估计,管理员对这些工具很熟悉,不需要更多地介绍这些工具。
Windows资源管理器允许随机访问控制列表(DACL)在配置文件系统和系统访问控制列表(SACL)。
regedt32.exe -允许DACL和SACL配置。
cacls.exe -命令行工具,它允许文件系统DACL配置和查看。
u2013程序命令行工具可用于创建和配置用户帐户和组成员身份,并配置各种设置,如是否系统是网络浏览列表可见。
netsh.exe -命令行工具,用于配置网络参数。
secedit.exe -命令行工具,它提供了相同的功能作为SCE的工具。