下面是Jonathan Hassell的强化Windows系列网络直播讲座的三个一览表之一。这个讲座共分六讲,每次10分钟,旨在帮助你迅速和正确地锁定Windows。
许多产品随着功能的强大而日益复杂,组策略也不例外。Windows管理员要浪费很多时间查找组策略中的毛病。如果你的活动目录充满了部署不一致、冗余或者不适当的组策略对象(GPO),“这个系统中的这个策略为什么没有效果?”或者“我以为我关闭了IPsec!”等问题的答复就很难找到依据。
正确设置组策略的最困难的地方是规划和制定策略。Windows负责管理在客户计算机上的应用。这个功能使组策略成为诱人的管理工具。但是,这种使用的方便性是一把双刃剑。配置访问控制列表或者修改设置很容易出错,在计算机域中造成很大的破坏。
更困难的是有时候很难了解更大范围的情况:很难看到你的活动目录的布局和结构。不过,通过精心规划,组策略能够覆盖你现有的目录结构并且以自己的管理边界补充目录结构。
遵循下列指南保证正确配置。
强化Windows一览表:以安全观念设计组策略
?在本地编辑你的策略并且定义容纳这些策略的边界
根据地理位置编辑活动目录很可能与你的系统管理需求不匹配。例如,公司所有职员的笔记本电脑都需要IPsec功能,但是,所有的公司职员并不一定都在纽约的办公室。或者所有的中层管理人员可能都要使用定制的互联网浏览器。这种浏览器不会关闭这些管理人员的互联网接入功能,并且在这个域名中的所有的电脑都采用这缺省的设置。你必须详细制定你需要的限制措施,然后定义这些策略应用的界限。这样即使地理边界和管理边界不匹配,也能使这个策略更容易适用于目标用户和计算机。
?在这些边界中,配置代表机构统一需求的策略
你是否对财务部门的工作站采用如下设置,经过三次登录系统失败之后,计算机就锁死?你的网络中的特殊域名是否需要额外的台式电脑限制,是不是不允许这些台式电脑运行控制面板?这些策略规定可能听起来相同。把这些策略组合起来,为每一套策略设置创建一个组策略对象。
?配置组织单元,各个单元里的计算机具有相似的任务或功能
Windows默认的域控制器存在于活动目录中独立的组织单元中。你可以考虑把台式电脑、笔记本电脑和服务器都放在他们自己的组织单元中,就像要求使用加密文件系统一样(EFS),更容易只对笔记本电脑部署策略。
