在Windows 2000操作系统中,我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”,Microsoft管理控制台(MMC)可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象”(GPO) 中,该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联。组策略对象包括两种对象──非本地和本地的组策略对象。
存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象,而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突,非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突,则都可以应用。
使用组策略,我们可以对用户工作环境状态只定义一次,然后靠系统实施管理员定义的策略,对用户和计算机进行管理。
一、组策略安全概述
组策略包括应用于域或计算机组的大量安全权限配置文件。一个组策略对象可以应用到局域网内的所有计算机。单个计算机启动时,组策略得以应用,如果作出改动时没有重新启动计算机,组策略会得到定期刷新。
1、组策略工作原理
组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略,子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充,可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参数。总之,组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点,这个组策略会应用到父等级以下所有站点,包括每个容器中的用户和计算机对象。
2、组策略的安全设置
位于组策略对象“安全设置”节点的容器包括:账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。有些策略只应用于域的范围,也就是说,策略设置是在域范围内进行的。例如账户策略一律应用于域内的所有用户账户。不能为同一域内的不同部门定义不同账户策略。至于安全策略范围,账户策略和公钥策略都具有域范围。所有其它策略范围都可在部门等级设定。
3、安全模板
Windows 2000为在网络环境设置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件。例如,hisecdc模板包括适合高安全性域控制器的设置。可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上。把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略。
二、实施组策略安全管理在Windows 2000局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务,然后在域上实施组策略;其次应将工作站置于服务器所管理的域中。
1、启动活动目录服务
在“程序→管理工具→配置服务器”选项中,选定左边的“Active Directory”,启动活动目录安装向导。设置过程中关键是要将服务器设置为第一个域目录树,DNS域名输入ISP提供的域名,若不连接国际互联网,也可任意设定。
2、打开组策略控制台
启动“Active Directory目录和用户”项,在右面对象容器树中的根目录上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。
3、设置组策略
Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置,为管理用户计算机环境提供了众多的选项,某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下,作为策略设置的参考。
a、启用“登录屏幕”上不显示上次登录的用户名
这一选项可以保护用户账号的安全,阻止账号盗用行为的发生。该选项所处位置按照“计算机配置→安全设置→本地策略→安全选项”的顺序查找,双击该选项,选择“启用”。当用户下次登录域时,该项策略将被应用在用户操作的工作站上。
b、启动“活动桌面墙纸”
使用此选项,局域网上登录域的所有计算机将使用同一桌面墙纸,并且不能被更改。因此,可以通过这一项策略的设置,防止临时用户随意更换桌面墙纸,使局域网中的工作站具有相同的界面。该选项所处的位置是“用户配置→管理模板→桌面→活动桌面”。
综合应用Windows 2000的账号安全、组策略安全和文件夹权限等安全属性,可以很好地保护局域网中各工作站的安全。同时,使用账号安全属性对系统文件进行保护,还可对病毒的破坏起到防范作用。