基于域组策略企业网络安全管理实现.docVIP

基于域组策略企业网络安全管理实现 　　摘要：企业网络域环境下的组策略是一组策略的集合，域组策略大大加强了网络管理员通过活动目录数据库在站点、域或组织单位中安全管理企业用户计算机的能力，通过组策略可以同时对企业网络中的多台客户机进行同样的统一安全配置管理。本文通过在Windows 2008上利用域组策略实现企业网络的统一安全管理。 　　关键词：域；组策略；网络安全 　　随着信息化的发展，企业网络的用户计算机不断增多，企业网络安全管理的难度会变的越来越大，如果用户的计算机的安全设置需要网络管理员一台台进行，那么将给网络管理员带来很大的负担，同时也给企业带来了较大的网络安全管理费用，虽然通过配置本地安全策略加强了工作组中计算机的安全性。但在企业网络域环境中，如果要对多台客户机进行同样的安全设置，可以通过“组策略”对多台企业计算机客户机进行统一的配置。通过在公司网络系统中应用域的组策略，网络管理员可以很方便地管理活动目录中的用户和计算机的工作环境，如用户桌面环境、用户计算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、计算机安全设置等，大大提高了企业网络系统的管理效率和安全性。总体来说，在企业网络中利用域组策略可以影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境，有利于降低布置用户和计算机环境的总费用；只须设置一次，相应的用户或计算机即可全部使用规定的设置，有利于减少用户不正确配置环境的可能性；有利于推行公司使用计算机的规范。 　　一、域组策略结构分析 　　组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以很方便地设置各种软件、计算机和用户策略。例如，可使用组策略从桌面删除图标、自定义开始菜单并简化控制面板。此外还可添加在计算机上运行的脚本，甚至可配置IE。组策略是以一个管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。组策略在类别以及功能结构上进行了细化，并且按照客户端，服务???和序列号，把整个组策略划分为三大部分，客户端的管理在安全性方面除了已经出现的是否允许在客户端保存密码和对客户端的登陆验证策略之外，更加强调了它的安全性管理，通过远程桌面服务远程访问的程序，它们看起来像是运行在最终用户的本地计算机上一样。远程桌面服务向管理员提供分组和个性化以及虚拟桌面的能力，使最终用户在运行计算机的开始菜单上可以使用它们。 　　域组策略GPO，在域控制器上针对站点，域或OU来配置组策略，其中域策略内的配置应用到所有域内计算机和用户上，OU对应到该OU内，如果本机冲突则以域或OU组策略的配置优先，本机无效。组策略的组件组策略的具体设置数据保存在GPO组策略对象中，被视为活动目录中的一种特殊形象，可以将GPO和活劢目录的容器站点、域和OU连接起来，以影响容器中的计算机和用户。组策略是通过使用组策略对象来进行管理的。服务器的管理，在更早版本的系统中，因为分类不清晰，当需要实施一条新的组策略时，要在根目录下逐条寻找策略，这就无形之中就增加了实施的时间成本。相对而言，Win2008的组策略设置具有了类别化，系统管理员更加容易从这些类别目录中找到自己所需要的策略。 　　二、域组策略应用规则 　　继承与阻止继承，在默认情况下，下层容器会继承来自上层容器的GPO，子容器可以阻止继承上级的组策略；累加，容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和，容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略，组策略按以下顺序被应用：首先应用本地组策略对象，如果有站点组策略对象，则应用之，然后应用域组策略对象，如果计算机或用户属于某个OU，则应用OU上的组策略对象，如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象，如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用。组策略的“强制生效”会覆盖“阻止继承”设置，也就是如果上级容器中的策略设置强制生效，那么下级容器与其相冲突的一律无效。但NTFS权限的继承与阻止继承是哪个后设置，后设置的生效。 　　三、域组策略的实现方法 　　用组策略实现软件分发，准备MSI软件数据包，它是实现软件分发功能所必要的文件格式，通常包含了安装内置程序所要的环境信息和安装或卸载时需要的指令数据。首先创建软件分发点，包含有用来分发软件的包文件所在的共享文件夹，创建分发点要发布或分配的计算机程序，必须在发布服务器上创建一个发布点。然后以管理员登录并创建共享，放入msi文件和可执行文件，分配文件夹权限；创建组策略对象，设置组策略不链接组策略对象，计算机配置到软件设置到软件安装选择新建数据包再打开已分配时选择启动时自动安装。 　　使用组策略配置脚本