现在2003还是很多用户用来做服务器系统,组策略用于从一个单独的点对多个Microsoft Active Directory目录服务用户和计算机对象进行配置。在默认情况下,策略不仅影响应用该策略的容器中的对象,还影响子容器中的对象。
组策略包含了计算机配置、windows 设置、安全设置下的安全设置。您可将预先配置的安全模板导入策略,来完成对这些设置的配置。
应用组策略
下列步骤显示了如何应用组策略,以及如何向用户权限分配添加安全组。
将组策略应用于组织单位或域
1.依次单击开始、管理工具、Active Directory 用户和计算机,打开Active Directory 用户和计算机。
2.突出显示相关域或组织单位,单击操作菜单,选择属性。
3.选择组策略选项卡。
注意:每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突,最后应用的策略优先。
4.单击新建创建一个策略,并为其指定有实际意义的名称,如域策略。
注意:单击选项按钮可配置禁止替代设置。禁止替代是为每个单独的策略配置的,而不是为整个容器;阻止策略继承则是为整个容器配置的。如果禁止替代和阻止策略继承设置发生冲突,禁止替代设置优先。要配置阻止策略继承,请选中 OU 属性中的复选框。
组策略可自动更新,但为了立即启动更新过程,可在命令提示符下使用下面的 GPUpdate 命令:GPUpdate /force
向用户权限分配添加安全组
1.依次单击开始、管理工具、Active Directory 用户和计算机,打开Active Directory 用户和计算机。
2.突出显示相关 OU(如成员服务器),单击操作菜单,选择属性。
3.单击组策略选项卡,选择相关策略(如成员服务器基准策略),然后单击编辑。
4.在组策略对象编辑器中,依次展开计算机配置、Windows 设置、安全设置、本地策略,然后突出显示用户权限分配。
5.在右侧窗格中,右键单击相关用户权限。
6.选中定义这些策略设置复选框,单击添加用户和组修改该列表。
7.单击确定。
将安全模板导入组策略
下列步骤显示了如何向组策略导入安全模板。
导入安全模板
1.依次单击开始、管理工具、Active Directory 用户和计算机,打开Active Directory 用户和计算机。
2.突出显示相关域或 OU,单击操作菜单,选择属性。
3.选择组策略选项卡。
4.突出显示相关策略,单击编辑。
5.依次展开计算机配置、Windows 设置,然后突出显示安全设置。
6.单击操作菜单,选择导入策略。
7.导航到 \\Security Guide\\Job Aids,选择相关模板,单击打开。
8.在组策略对象编辑器中,单击文件菜单,选择退出。
9.在容器属性中,单击确定。
使用安全配置和分析
下列步骤显示了如何使用安全配置和分析来导入、分析和应用安全模板。
导入安全模板
1.依次单击开始、运行。在打开文本框中键入 mmc,然后单击确定。
2.在 Microsoft 管理控制台中,单击文件,选择添加/删除管理单元。
3.单击添加,突出显示列表中的安全配置和分析。
4.依次单击添加、关闭、确定。
5.突出显示安全配置和分析,单击操作菜单,选择打开数据库。
6.键入新的数据库名称(如 Bastion Host),单击打开。
7.在导入模板界面中,导航到 \\Security Guide\\Job Aids,选择相关模板。单击打开。
分析导入的模板并与当前设置比较
1.突出显示 Microsoft 管理单元中的安全配置和分析,单击操作菜单,并选择立即分析计算机。
2.单击确定,接受默认的错误日志文件路径。
3.完成分析后,展开节点标题对结果进行研究。
应用安全模板
1.突出显示 Microsoft 管理单元中的安全配置和分析,单击操作菜单,选择立即配置计算机。
2.单击确定,接受默认的错误日志文件路径。
3.在 Microsoft 管理控制台,单击文件,然后选择退出关闭安全配置和分析。
