Windows 2000 安全策略
本部分介紹各種安全策略工具及其有關安全策略應用的優先級順序。默認情況下,組策略具有繼承性和累積性,並且影響 Microsoft Active Directory® 容器中的所有計算機。通過使用組策略對象 (GPO) 可以管理組策略,這些組策略對象是在選定 Active Directory 對象(如站點、域或組織單位 (OU))的特定層次結構中附加的數據結構。
創建了這些 GPO 後,可以按照如下標准順序應用:LSDOU,其表示 (1) 本地、(2) 站點、(3) 域、(4) OU。後應用的策略優先級高於先應用的策略優先級。如果某台計算機屬於某一域,並且在域和本地計算機策略之間存在沖突時,則域策略有效。然而,如果某台計算機不再屬於某一域,則應用本地組策略。
計算機加入實施 Active Directory 和組策略的域時,會處理本地 GPO。請注意,甚至在指定了“阻止策略繼承”選項時,也會處理本地 GPO 策略。
可以在默認域 GPO 本地策略(審核策略、用戶權限分配和安全選項)中定義整個域的帳戶策略(密碼、帳戶鎖定和 Kerberos 策略),因為在默認域控制器 GPO 中定義了域控制控制器 (DC) 。對於 DC,在默認 DC GPO 中定義的設置優先級高於在默認域 GPO 中定義的設置。這樣,如果在默認域 GPO 中配置用戶特權(例如,“域中添加工作站”),則對此域中的 DC 沒有影響。
存在有在特定 GPO 中允許強制實施組策略的選項,這樣可以防止較低級別的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域級別定義了特定 GPO,並指定強制實施 GPO,則 GPO 包含的策略將會應用於此域中的所有 OU;也就是說,較低級別的容器 (OU) 無法替代此域組策略。
注意:帳戶策略安全區域接收它在此域計算機中生效的專門處理方式。此域中的所有 DC 接收來自在域節點配置的 GPO 的帳戶策略,而不考慮 DC 的計算機對象的位置。這樣可確保對於所有域帳戶強制實施一致的帳戶策略。域中的所有非 DC 的計算機可按照正常的 GPO 層次結構來獲得這些計算機上本地帳戶的策略。默認情況下,成員工作站和服務器強制實施其本地帳戶域 GPO 中配置的策略設置,但如果存在有替代默認設置的更低范圍的其他 GPO,則這些設置將會生效。
本地安全策略
使用本地安全策略可以在本地計算機中設置安全要求。其主要用於單獨計算機或用於將特定安全設置應用於域成員。在 Active Directory 托管網絡中,本地安全策略設置具有最低優先級。
• 打開本地安全策略
1.以管理員權限登錄到計算機。
2.在 Windows 2000 Professional 計算機中,默認情況下“管理工具”不會作為“開始”菜單中的選項進行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項,請單擊“開始”,指向“設置”,然後單擊“任務欄和開始菜單”。在“任務欄和開始菜單屬性”窗口中,單擊“高級”選項卡。在“開始菜單設置”對話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設置。
3.單擊“開始”,指向“程序”,再指向“管理工具”,然後單擊“本地安全策略”。這樣就可以“本地安全設置”控制台。
圖 1:本地安全設置 域安全策略
