|
|
概要
在 Microsoft Windows NT Server 4.0 中,概念“域安全性策略”是指对域的安全配置至关重要的一组关联项。 它们包括:
• 用户密码,或控制用户帐户将如何使用密码的帐户策略。
• 控制在安全日志中要记录哪些事件类型的审核策略。
• 用户权限被应用到组或用户,并影响在单个工作站、成员服务器或域内所有域控制器上所允许的活动。
在 Windows 2000 中,Microsoft 已将这些组件重新配置为一个一致的层次结构或工具,即“组策略编辑器”中的“安全措施设置”管理单元。 如果想知道要更改的正确组策略,这一点很有用。
更多信息
要配置专门针对跨域的安全设置,请使用“组策略编辑器”管理单元,其中心设置为“默认域策略”组策略对象 (GPO):
1. 单击开始,指向程序,指向管理工具,然后单击 Active Directory 用户和计算机。
2. 右键单击相应的域对象,然后单击属性。
3. 单击组策略选项卡查看当前链接的组策略对象。
4. 单击默认域策略 GPO 链接,然后单击“编辑”。
启动“组策略编辑器”管理单元之后,可以从下列节点访问域安全策略:
控制台根节点\“默认域策略”\计算机配置\Windows设置\安全设置
在层次结构中的该点上,可以获得下列节点:
帐户策略
• 密码策略
• 帐户锁定策略
• Kerberos 策略
本地策略
• 审核策略
• 用户权利指派
• 安全选项• 事件日志
• 受限制的组
• 系统服务
• 注册表
• 文件系统
• Active Directory 上的 IP 安全性策略
• 公钥策略
“组策略”是通过使用“组策略对象”来进行管理的,组策略对象是在指定的层次结构中被附加到所选 Active Directory 对象(如站点、域或组织单位)上的数据结构。 这些 GPO一旦创建,就会按以下标准顺序被应用: LSDOU,它表示 (1) 本地,(2)站点,(3)域,(4)组织单位,后面的策略高于前面所应用的策略。
如果计算机加入到实施了 Active Directory 和组策略的域中,就将处理一个本地组策略对象。 注意,即使已指定“阻止策略继承”选项,也会处理本地组策略对象策略。
首先处理本地组策略对象,然后处理域策略。 如果计算机加入到域中,并在域和本地计算机策略之间发生冲突,那么,域策略将胜出。 但是,如果计算机不再属于某个域,将应用本地组策略对象。
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
关键字: kbinfo kbtool kbnetwork KB221930
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;221930
在 Microsoft Windows NT Server 4.0 中,概念“域安全性策略”是指对域的安全配置至关重要的一组关联项。 它们包括:
• 用户密码,或控制用户帐户将如何使用密码的帐户策略。
• 控制在安全日志中要记录哪些事件类型的审核策略。
• 用户权限被应用到组或用户,并影响在单个工作站、成员服务器或域内所有域控制器上所允许的活动。
在 Windows 2000 中,Microsoft 已将这些组件重新配置为一个一致的层次结构或工具,即“组策略编辑器”中的“安全措施设置”管理单元。 如果想知道要更改的正确组策略,这一点很有用。
更多信息
要配置专门针对跨域的安全设置,请使用“组策略编辑器”管理单元,其中心设置为“默认域策略”组策略对象 (GPO):
1. 单击开始,指向程序,指向管理工具,然后单击 Active Directory 用户和计算机。
2. 右键单击相应的域对象,然后单击属性。
3. 单击组策略选项卡查看当前链接的组策略对象。
4. 单击默认域策略 GPO 链接,然后单击“编辑”。
启动“组策略编辑器”管理单元之后,可以从下列节点访问域安全策略:
控制台根节点\“默认域策略”\计算机配置\Windows设置\安全设置
在层次结构中的该点上,可以获得下列节点:
帐户策略
• 密码策略
• 帐户锁定策略
• Kerberos 策略
本地策略
• 审核策略
• 用户权利指派
• 安全选项• 事件日志
• 受限制的组
• 系统服务
• 注册表
• 文件系统
• Active Directory 上的 IP 安全性策略
• 公钥策略
“组策略”是通过使用“组策略对象”来进行管理的,组策略对象是在指定的层次结构中被附加到所选 Active Directory 对象(如站点、域或组织单位)上的数据结构。 这些 GPO一旦创建,就会按以下标准顺序被应用: LSDOU,它表示 (1) 本地,(2)站点,(3)域,(4)组织单位,后面的策略高于前面所应用的策略。
如果计算机加入到实施了 Active Directory 和组策略的域中,就将处理一个本地组策略对象。 注意,即使已指定“阻止策略继承”选项,也会处理本地组策略对象策略。
首先处理本地组策略对象,然后处理域策略。 如果计算机加入到域中,并在域和本地计算机策略之间发生冲突,那么,域策略将胜出。 但是,如果计算机不再属于某个域,将应用本地组策略对象。
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
关键字: kbinfo kbtool kbnetwork KB221930
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;221930
添加到百度搜藏
