54SA.COM|专注于系统运维管理,为中国SA提供动力!

54SA.COM|系统运维网

系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > 域服务器 >

配置Active Directory域基础结构(1)

分享到:
时间:2010-10-28 21:27来源:未知 作者:Matin

  本模块内容
  本模块介绍了将组策略应用于Windows Server 2003和Windows 2000 Server 中的Windows XP Professional 客户端所需的概念。组策略是 Microsoft Active Directory 目录服务的一个功能,它使管理员可以更改用户和计算机设置以及管理配置,但是,在将组策略应用于环境中的 Windows XP Professional 客户端之前,需要在中执行某些基本步骤。
  
  组策略是确保 Windows XP 安全的重要工具。本模块提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。
  
  本指南为企业环境和高安全级环境提供选项。对于台式计算机和便携式计算机客户端,本模块中建议的设置是相同的。
  
  目标
  使用本模块可以实现下列目标:
  
  描述 Active Directory 如何应用组策略对象
  
  设计组织单位结构以支持安全管理
  
  设计组策略对象以支持安全管理
  
  对安全模板进行管理
  对管理模板进行管理
  使用组策略实现有效的密码策略
  
  使用组策略实现有效的帐户锁定策略
  
  确定哪些用户可以向域中添加工作站
  
  确保在允许的登录时间结束时注销用户
  
  使用组策略管理工具来更新策略和查看组策略应用的结果
  
  适用范围
  本模块适用于下列产品和技术:
  
  Windows Server 2003 域中的 Windows XP Professional 客户端
  
  Windows 2000 域中的 Windows XP Professional 客户端
  
  如何使用本模块
  本模块提供了一种方法,并描述了使用组策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中确保 Windows XP Professional 客户端的安全所需的步骤。
  
  为了充分理解本模块内容,请阅读“Windows XP 安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。
  
  使用检查表。本指南的“检查表”部分中的检查表“配置 Active Directory 域基础结构”提供了可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。
  
  使用随本指南提供的“Windows XP 安全指南设置”电子表格。它可以帮助您将环境中所做的设置编制为文档。
  
  使用附带的解决方法。本指南引用下列指导文章(均为英文):
  
  “How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”
  
  “How To:Prevent Users from Changing a Password Except When Required in Windows 2000”
  
  组策略
  组策略是 Microsoft? Active Directory? 目录服务的一个功能,可用来更改用户和计算机设置,以及 Microsoft Windows Server 2003? 和 Microsoft Windows? 2000 Server 域中的配置管理。但是,在将组策略应用于环境中的 Microsoft Windows XP Professional 客户端之前,需要在域中执行某些基本步骤。
  
  组策略设置存储在环境中域控制器上的组策略对象 (GPO) 中。GPO 链接到容器,这些容器包括 Active Directory 站点、域和组织单位 (OU)。由于组策略与 Active Directory 紧密集成,在实现组策略之前有必要对 Active Directory 结构和在其中配置不同设计选项的安全含义进行基本的了解。有关 Active Directory 设计的详细信息,请参阅“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”(英文)。
  
 

  
表 2.1:基准安全模板

  支持安全管理的 OU 设计
  
  OU 是 Active Directory 域中的容器。OU 可以包含用户、组、计算机和其他组织单位,它们都称为子 OU。可以将 GPO 链接到 OU,它是 Active Directory 层次结构中的最低容器。还可以将管理权限委派给 OU。OU 提供了对用户、计算机和其他安全主体进行分组的简便方法,还提供了划分管理边界的有效方法。将用户和计算机分配给单独的 OU,因为某些设置只适用于用户,而某些则只适用于计算机。
  
  可以使用委派向导来委派对一个组或单个 OU 的控制,委派向导可以作为 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元工具的一部分获得。有关委派权限的文档的链接,请参阅本模块结尾的“其他信息”部分。
  
  为任何环境设计 OU 结构的一个主要目标是,为创建覆盖 Active Directory 中驻留的所有工作站的无缝组策略实现提供基础,同时确保它们符合组织的安全标准。设计 OU 结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。例如,可以允许开发人员对工作站进行一般用户无权进行的操作。便携式计算机用户与台式计算机用户相比,安全要求也可以略有不同。下图说明了足以用来讨论本模块中的组策略的简单 OU 结构。此 OU 的结构可能与您的环境的组织要求不同。
  

  
图 2.1 Windows XP 计算机的 OU 结构

  部门 OU
  由于组织内的安全要求经常变化,很有必要在环境中创建部门 OU。部门安全设置可以通过 GPO 应用于各自部门 OU 中的计算机和用户。
  
  安全的 XP 用户 OU
  此 OU 包含同时参与企业客户端环境和高安全级环境的用户的帐户。模块 4“Windows XP 管理模板”中的“用户配置”部分中讨论了对此 OU 应用的设置。
  
  Windows XP OU
  此 OU 包含环境中每种 Windows XP 客户端的子 OU。在这里,包含了用于台式计算机和便携式计算机客户端的指南。出于此原因,已经创建了台式计算机 OU 和便携式计算机 OU。
  
  台式计算机 OU:此 OU 包含始终连接到公司网络的台式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。
  
  便携式计算机 OU:此 OU 包含不始终连接到公司网络的移动用户的便携式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。

[责任编辑:Lavy]

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>