文/Microsoft China.

Windows 2000 安全策略 本部分介紹各種安全策略工具及其有關(guān)安全策略應(yīng)用的優(yōu)先級順序。默認(rèn)情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory® 容器中的所有計算機。通過使用組策略對象 (GPO) 可以管理組策略，這些組策略對象是在選定 Active Directory 對象（如站點、域或組織單位 (OU)）的特定層次結(jié)構(gòu)中附加的數(shù)據(jù)結(jié)構(gòu)。創(chuàng)建了這些 GPO 后，可以按照如下標(biāo)準(zhǔn)順序應(yīng)用：LSDOU，其表示 (1) 本地、(2) 站點、(3) 域、(4) OU。后應(yīng)用的策略優(yōu)先級高于先應(yīng)用的策略優(yōu)先級。如果某臺計算機屬于某一域，并且在域和本地計算機策略之間存在沖突時，則域策略有效。然而，如果某臺計算機不再屬于某一域，則應(yīng)用本地組策略。

計算機加入實施 Active Directory 和組策略的域時，會處理本地 GPO。請注意，甚至在指定了“阻止策略繼承”選項時，也會處理本地 GPO 策略。

可以在默認(rèn)域 GPO 本地策略（審核策略、用戶權(quán)限分配和安全選項）中定義整個域的帳戶策略（密碼、帳戶鎖定和 Kerberos 策略），因為在默認(rèn)域控制器 GPO 中定義了域控制控制器 (DC) 。對于 DC，在默認(rèn) DC GPO 中定義的設(shè)置優(yōu)先級高于在默認(rèn)域 GPO 中定義的設(shè)置。這樣，如果在默認(rèn)域 GPO 中配置用戶特權(quán)（例如，“域中添加工作站”），則對此域中的 DC 沒有影響。

存在有在特定 GPO 中允許強制實施組策略的選項，這樣可以防止較低級別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級別定義了特定 GPO，并指定強制實施 GPO，則 GPO 包含的策略將會應(yīng)用于此域中的所有 OU；也就是說，較低級別的容器 (OU) 無法替代此域組策略。

注意：帳戶策略安全區(qū)域接收它在此域計算機中生效的專門處理方式。此域中的所有 DC 接收來自在域節(jié)點配置的 GPO 的帳戶策略，而不考慮 DC 的計算機對象的位置。這樣可確保對于所有域帳戶強制實施一致的帳戶策略。域中的所有非 DC 的計算機可按照正常的 GPO 層次結(jié)構(gòu)來獲得這些計算機上本地帳戶的策略。默認(rèn)情況下，成員工作站和服務(wù)器強制實施其本地帳戶域 GPO 中配置的策略設(shè)置，但如果存在有替代默認(rèn)設(shè)置的更低范圍的其他 GPO，則這些設(shè)置將會生效。

本地安全策略 使用本地安全策略可以在本地計算機中設(shè)置安全要求。其主要用于單獨計算機或用于將特定安全設(shè)置應(yīng)用于域成員。在 Active Directory 托管網(wǎng)絡(luò)中，本地安全策略設(shè)置具有最低優(yōu)先級。

• 打開本地安全策略 1.以管理員權(quán)限登錄到計算機。2.在 Windows 2000 Professional 計算機中，默認(rèn)情況下“管理工具”不會作為“開始”菜單中的選項進(jìn)行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項，請單擊“開始”，指向“設(shè)置”，然后單擊“任務(wù)欄和開始菜單”。在“任務(wù)欄和開始菜單屬性”窗口中，單擊“高級”選項卡。在“開始菜單設(shè)置”對話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設(shè)置。3.單擊“開始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設(shè)置”控制臺。

圖 1：本地安全設(shè)置 域安全策略

使用域安全策略可以設(shè)置和傳播域中所有計算機的安全要求。域安全策略替代域中所有計算機的本地安全策略設(shè)置。

• 打開域安全策略

1.打開“Active Directory 用戶和計算機”管理單元。2.右鍵單擊要查看的適當(dāng)?shù)慕M織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”O(jiān)U。3.單擊“組策略”選項卡。4.單擊“編輯”按鈕。5.展開“Windows 設(shè)置”。6.在“安全設(shè)置”樹中執(zhí)行安全配置。

組織單位組策略對象

應(yīng)該使用 OU 管理域中的安全策略。此域已經(jīng)與域控制器 OU 一起提供。但是，可以根據(jù)需要定義其他 OU。例如，在域級別應(yīng)該應(yīng)用基準(zhǔn)設(shè)置，然后在 OU 級別應(yīng)用特定設(shè)置。這樣，可以創(chuàng)建工作站 OU 并將所有工作站置于其中，創(chuàng)建域服務(wù)器 OU 并將所有域成員服務(wù)器置于其中，等等。

OU GPO 可以替代由前面討論的策略界面實施的安全策略設(shè)置。例如，如果為域設(shè)置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會繼承域策略設(shè)置。通過在創(chuàng)建 OU GPO 時選擇“禁止替代”選項，可以避免發(fā)生此情況。“禁止替代”選項會強制所有子容器繼承來自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設(shè)置了“阻止繼承”的情況下也是如此。通過單擊 GPO 的“屬性”對話框上的“選項”按鈕，定位“禁止替代”復(fù)選框。

其他安全配置界面

為了便于討論和實施，本文檔重點介紹有關(guān)通過 Windows 2000 安全策略管理安全設(shè)置。但是，在獨立計算機上，這些界面不可用，甚至在域成員中有時需要逐一管理安全性，而不是通過組策略進(jìn)行管理。有許多獨立工具可以用于執(zhí)行這些任務(wù)。最常使用的是所有 Windows 2000 系統(tǒng)都附帶的安全配置編輯器。

安全配置編輯器

管理配置編輯器 (SCE) 由 Microsoft 管理控制臺 (MMC) 兩個管理單元組成，用于提供對 Windows 2000 操作系統(tǒng)進(jìn)行安全配置和分析的功能。第一個管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應(yīng)用安全設(shè)置）的圖形方式。第二個管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關(guān)的系統(tǒng)的安全性以及將模板中的設(shè)置應(yīng)用于系統(tǒng)。這些界面如圖 2 所示。為了查看這些管理單元，必須創(chuàng)建一個新的控制臺。

• 創(chuàng)建新的控制臺

1.單擊“開始”，然后單擊“運行...”并運行 MMC。2.MMC 出現(xiàn)后，單擊“控制臺”，然后單擊“添加/刪除管理單元...”。接著，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。3.單擊“關(guān)閉”和“確定”返回控制臺。為了將來使用，現(xiàn)在可以保存此控制臺以便在“開始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器

使用 SCE 工具，管理員可以配置 Windows 2000 操作系統(tǒng)的安全性，然后執(zhí)行對系統(tǒng)的定期分析以確保保持配置完整或者隨時間推移進(jìn)行必要的更改。這些工具可以有效地提供對組策略“安全設(shè)置”樹中顯示的每一項內(nèi)容的訪問能力。

有關(guān)使用 SCE 工具的詳細(xì)信息，請參閱：http://www.microsoft.com/。

其他工具

有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡要介紹其中的一些工具。估計管理員已熟悉這些工具并且不需要對這些工具進(jìn)行更多的介紹。

• Windows Explorer – 允許配置文件系統(tǒng)上的隨機訪問控制列表 (DACL) 和系統(tǒng)訪問控制列表 (SACL)。• Regedt32.exe – 允許配置注冊表上的 DACL 和 SACL。• Cacls.exe – 命令行工具，此工具允許配置和查看文件系統(tǒng) DACL。• Net.exe – 命令行工具，可以用于創(chuàng)建和配置用戶帳戶和組成員身份以及用于配置各種設(shè)置（如系統(tǒng)在網(wǎng)絡(luò)瀏覽列表中是否可見）。

• Netsh.exe – 命令行工具，用于配置網(wǎng)絡(luò)參數(shù)。• Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。