3.单击“组策略”选项卡 。
4.单击“编辑”按钮 。
5.展开“Windows 设置” 。
6.在“安全设置”树中执行安全配置 。
组织单位组策略对象
应该使用 OU 管理域中的安全策略 。此域已经与域控制器 OU 一起提供 。但是,可以根据需要定义其他 OU 。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置 。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等 。
OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置 。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置 。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况 。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此 。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框 。
【Windows 2000安全配置工具】其他安全配置界面
为了便于讨论和实施,本文档重点介绍有关通过 Windows 2000 安全策略管理安全设置 。但是,在独立计算机上,这些界面不可用,甚至在域成员中有时需要逐一管理安全性,而不是通过组策略进行管理 。有许多独立工具可以用于执行这些任务 。最常使用的是所有 Windows 2000 系统都附带的安全配置编辑器 。
安全配置编辑器
管理配置编辑器 (SCE) 由 Microsoft 管理控制台 (MMC) 两个管理单元组成,用于提供对 Windows 2000 操作系统进行安全配置和分析的功能 。第一个管理单元是“安全模板”管理单元,可以为管理员提供管理 .inf 文件(用于应用安全设置)的图形方式 。第二个管理单元是“安全配置和分析”管理单元,用于管理员分析与特定模板相关的系统的安全性以及将模板中的设置应用于系统 。这些界面如图 2 所示 。为了查看这些管理单元,必须创建一个新的控制台 。
? 创建新的控制台 1.单击“开始”,然后单击“运行...”并运行 MMC 。
2.MMC 出现后,单击“控制台”,然后单击“添加/删除管理单元...” 。接着,单击“添加...”,然后双击“安全配置和分析”以及“安全模板” 。
3.单击“关闭”和“确定”返回控制台 。为了将来使用,现在可以保存此控制台以便在“开始”菜单上的“管理工具”文件夹中可用 。
图 2:安全配置编辑器
使用 SCE 工具,管理员可以配置 Windows 2000 操作系统的安全性,然后执行对系统的定期分析以确保保持配置完整或者随时间推移进行必要的更改 。这些工具可以有效地提供对组策略“安全设置”树中显示的每一项内容的访问能力 。
有关使用 SCE 工具的详细信息,请参阅:http://www.microsoft.com/ 。
其他工具
有许多 Windows 2000 附带的其他工具可以用于管理安全性 。本部分简要介绍其中的一些工具 。估计管理员已熟悉这些工具并且不需要对这些工具进行更多的介绍 。
? Windows Explorer – 允许配置文件系统上的随机访问控制列表 (DACL) 和系统访问控制列表 (SACL) 。
? Regedt32.exe – 允许配置注册表上的 DACL 和 SACL 。
? Cacls.exe – 命令行工具,此工具允许配置和查看文件系统 DACL 。
? Net.exe – 命令行工具,可以用于创建和配置用户帐户和组成员身份以及用于配置各种设置(如系统在网络浏览列表中是否可见) 。
? Netsh.exe – 命令行工具,用于配置网络参数 。
? Secedit.exe – 命令行工具,提供与 SCE 工具相同的功能 。
推荐阅读
- Windows 2000 SP4八大热点问题
- Windows 2000中“NTLDR is missing”故障的解决
- Windows 2000操作系统中ADSL的共享办法
- Windows 2000开机耗内存40M秘技大公开
- Windows 2000操作系统启动菜单详解
- Windows 2000 工具包中的 REG.EXE 中文说明
- Windows 2000局域网的组策略管理
- 轻松设置让Win2000达到最佳性能
- windows 2000虚拟主机基本权限的设置
- Windows 2000操作系统光盘探秘