当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows 2000安全配置工具

Windows服务器
IIS5的HTTP 500内部服务器错误的解决
IIS 服务器的错误排查方法
IIS、SQL Server和ASP.NET安全设置解决方案
IIS6设置网站经常遇到的问题详解
IIS环境下不能运行ASP程序怎么办?
IIS下出现401错误提示该怎么解决?
用好Windows Server 2008系统自带的防火墙
Windows服务器下查IIS被挂iframe木马
Windows 2003服务器不能播放Flv文件
Windows Server 2008的防火墙配置
Web服务器启用并运行FTP服务
授予对Web内容的Web服务器权限
微软欲推低成本Windows Server操作系统
Nehalem到数据中心 英特尔全面支持云计算
华硕P5BV-C-2L视频点播首选 稳定高负载
Windows服务器 八个需要注意的安全维护问题
教你如何清除windows2000日志
Windows2003服务器安装设置教程:MSSQL安全篇
Windows2008如何开启AHCI功能?
Windows服务器上配置SNMP服务的方法

Windows服务器 中的 Windows 2000安全配置工具


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 50 ::
收藏到网摘: n/a

 

  文/Microsoft China.

  Windows 2000 安全策略
  本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序。默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory® 容器中的所有计算机。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构。
 
  创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。

  计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略。

  可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC) 。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响。

  存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略。

  注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效。

  本地安全策略
  使用本地安全策略可以在本地计算机中设置安全要求。其主要用于单独计算机或用于将特定安全设置应用于域成员。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级。

  • 打开本地安全策略
  1.以管理员权限登录到计算机。
  2.在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。
  3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。

图 1:本地安全设置 域安全策略

  使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。

  • 打开域安全策略

  1.打开“Active Directory 用户和计算机”管理单元。
  2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。
  3.单击“组策略”选项卡。
  4.单击“编辑”按钮。
  5.展开“Windows 设置”。
  6.在“安全设置”树中执行安全配置。

  组织单位组策略对象

  应该使用 OU 管理域中的安全策略。此域已经与域控制器 OU 一起提供。但是,可以根据需要定义其他 OU。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等。

  OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。

  其他安全配置界面

  为了便于讨论和实施,本文档重点介绍有关通过 Windows 2000 安全策略管理