ActiveDirectory组策略.pdfVIP

Windows 2000组策略 利用组策略进行安全配置和管理 什么是组策略 使用组策略进行安全配置和管理 • 组策略概述 组策略是更新、配置和管理用户桌面系统的工具。在 Windows2000中有几百种组策略设置，通过这些设置允许企 业管理员通过加强或控制用户来减少系统的开销，许多安全管理 都需要通过组策略来完成。 • 组策略包括[用户配置]和[计算机配置]。 – [用户配置]含有影响用户环境的相关配置 – [计算机配置]包含网络中计算机的相关参数设定 • 组策略保存在AD站点、域或组织单元中，多个策略可 应用于一个对象（用户和计算机，不能是其他）上，若 存在冲突，以下列顺序为准（即最后以组织单元为准） 1、本地 2、站点 3、域 4、组织单元 使用组策略进行安全配置和管理 • 组策略对象（GPO） – 组策略的基本组成单元是组策略对象（Group policy object） – 组策略对象存储在组策略容器（GPC，存储在 AD中）和组策略模板（GPT，存储在DC的 SYSVOL里）中。 – 查看GPC • [Active Directory用户和计算机]—[查看]-[高级 功能]——展开域—展开system容器—展开policies – 查看GPT • [开始]|[运行]，输入 %systemroot\sysvol\sysvol% 使用组策略进行安全配置和管理 • 组策略对象链接（GPO link） – GPO创建后并不会生效，必须把它连接到站 点、域或组织单元上后才发生作用 – 在容器上创建GPO，则GPO 自动连接到该容器 上。 – Group Policy Creator Owners组的成 员，只能创建GPO，但无法连接容器。 – Domain Admins组和Enterprise Admins 组的成员有权限把GPO连接到域组织单元，只 有Enterprise Admins组的成员才能把GPO 连接到AD站点。 使用组策略进行安全配置和管理 • 实践 – 在容器（站点、域、组织单元）上创建组策略， 则GPO 自动连接（在容器上点击右键，选择[组 策略]） – 创建未连接的组策略对象，使用mmc控制台， 选择增加[组策略] – 选择一个已存在的组策略（连接） 使用组策略进行安全配置和管理 • 组策略元素 – 管理模板 基于注册表，管理用户环境的设置，存放于 HKEY_LOCAL_MACHINE和 HKEY_CURRENT_USER下，若组策略和注册表冲 突，则组策略设置有效。 – 安全性 – 组策略脚本 – 重定向文件夹 – 软件分发管理 安全模板 • mmc控制台— [添加独立管理单元]— [安全模板] • Windows2000提供“安全模板”管理单元实现安全性的集 中管理。 • 安全模板没有引入新的安全参数，它只是将现有的 Windows2000安全属性组织到一个文件以简化管理。 • 在AD中，安全模板可以导入到组策略对象中。 • 默认情况下，Win2000保存一些安全模板在 %systemroot%\security\templates 目录下，扩 展名为.inf的文本格式文件。 • 初始使用的安全模板在工具“本地计算机策略”下可以看到。 安全模板 • 预定义的安全模板 – 基本的默认安全模板 Basicwk.inf 2000