搜索
配置ActiveDirectory域基础结构(1)本模块内容本模块介绍了将组策略应用于WindowsServer2003和Windows2000Server域中的WindowsXPProfessional客户端所需的概念。组策略是MicrosoftActiveDirectory目录服务的一个功能,它使管理员可以更改用户和计算机设置以及管理配置,但是,在将组策略应用于环境中的WindowsXPProfessional客户端之前,需要在域中执行某些基本步骤。组策略是确保WindowsXP安全的重要工具。本模块提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。本指南为企业环境和高安全级环境提供选项。对于台式计算机和便携式计算机客户端,本模块中建议的设置是相同的。目标使用本模块可以实现下列目标:描述ActiveDirectory如何应用组策略对象设计组织单位结构以支持安全管理设计组策略对象以支持安全管理对安全模板进行管理对管理模板进行管理使用组策略实现有效的密码策略使用组策略实现有效的帐户锁定策略确定哪些用户可以向域中添加工作站确保在允许的登录时间结束时注销用户使用组策略管理工具来更新策略和查看组策略应用的结果适用范围本模块适用于下列产品和技术:WindowsServer2003域中的WindowsXPProfessional客户端Windows2000域中的WindowsXPProfessional客户端如何使用本模块本模块提供了一种方法,并描述了使用组策略在WindowsServer2003或Windows2000ActiveDirectory域中确保WindowsXPProfessional客户端的安全所需的步骤。为了充分理解本模块内容,请阅读“WindowsXP安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。使用检查表。本指南的“检查表”部分中的检查表“配置ActiveDirectory域基础结构”提供了可打印的作业指导,以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。使用随本指南提供的“WindowsXP安全指南设置”电子表格。它可以帮助您将环境中所做的设置编制为文档。使用附带的解决方法。本指南引用下列指导文章(均为英文):“HowTo:PreventUsersfromChangingaPasswordExceptWhenRequiredinWindowsServer2003”“HowTo:PreventUsersfromChangingaPasswordExceptWhenRequiredinWindows2000”组策略组策略是Microsoft?ActiveDirectory?目录服务的一个功能,可用来更改用户和计算机设置,以及MicrosoftWindowsServer2003?和MicrosoftWindows?2000Server域中的配置管理。但是,在将组策略应用于环境中的MicrosoftWindowsXPProfessional客户端之前,需要在域中执行某些基本步骤。组策略设置存储在环境中域控制器上的组策略对象(GPO)中。GPO链接到容器,这些容器包括ActiveDirectory站点、域和组织单位(OU)。由于组策略与ActiveDirectory紧密集成,在实现组策略之前有必要对ActiveDirectory结构和在其中配置不同设计选项的安全含义进行基本的了解。有关ActiveDirectory设计的详细信息,请参阅“WindowsServer2003SecurityGuide”的模块2“ConfiguringtheDomainInfrastructure”(英文)。表2.1:基准安全模板支持安全管理的OU设计OU是ActiveDirectory域中的容器。OU可以包含用户、组、计算机和其他组织单位,它们都称为子OU。可以将GPO链接到OU,它是ActiveDirectory层次结构中的最低容器。还可以将管理权限委派给OU。OU提供了对用户、计算机和其他安全主体进行分组的简便方法,还提供了划分管理边界的有效方法。将用户和计算机分配给单独的OU,因为某些设置只适用于用户,而某些则只适用于计算机。可以使用委派向导来委派对一个组或单个OU的控制,委派向导可以作为ActiveDirectory用户和计算机Microsoft管理控制台(MMC)管理单元工具的一部分获得。有关委派权限的文档的链接,请参阅本模块结尾的“其他信息”部分。为任何环境设计OU结构的一个主要目标是,为创建覆盖ActiveDirectory中驻留的所有工作站的无缝组策略实现提供基础,同时确保它们符合组织的安全标准。设计OU结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。例如,可以允许开发人员对工作站进行一般用户无权进行的操作。便携式计算机用户与台式计算机用户相比,安全要求也可以略有不同。下图说明了足以用来讨论本模块中的组策略的简单OU结构。此OU的结构可能与您的环境的组织要求不同。图2.1WindowsXP计算机的OU结构部门OU由于组织内的安全要求经常变化,很有必要在环境中创建部门OU。部门安全设置可以通过GPO应用于各自部门OU中的计算机和用户。安全的XP用户OU此OU包含同时参与企业客户端环境和高安全级环境的用户的帐户。模块4“WindowsXP管理模板”中的“用户配置”部分中讨论了对此OU应用的设置。WindowsXPOU此OU包含环境中每种WindowsXP客户端的子OU。在这里,包含了用于台式计算机和便携式计算机客户端的指南。出于此原因,已经创建了台式计算机OU和便携式计算机OU。台式计算机OU:此OU包含始终连接到公司网络的台式计算机。模块3“WindowsXP客户端安全设置”和模块4“WindowsXP管理模板”中详细讨论了对此OU应用的设置。便携式计算机OU:此OU包含不始终连接到公司网络的移动用户的便携式计算机。模块3“WindowsXP客户端安全设置”和模块4“WindowsXP管理模板”中详细讨论了对此OU应用的设置。支持安全管理的GPO设计使用GPO确保特定设置、用户权限和行为应用于OU中的所有工作站或用户。通过使用组策略(而不是使用手动步骤),可以很方便地更新大量将来需要额外更改的工作站或用户。使用GPO应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。图2.2GPO应用顺序上图显示了对作为子OU成员的计算机应用GPO的顺序。首先从每个WindowsXP工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何GPO。对于几个OU层中嵌套的WindowsXP客户端,在层次结构中按从最高OU级别到最低级别的顺序应用GPO。从包含客户端计算机的OU应用最后的GPO。此GPO处理顺序(本地策略、站点、域、父OU和子OU)非常重要,因为此过程中稍后应用的GPO将会替代先前应用的GPO。用户GPO的应用方式相同,唯一区别是用户帐户没有本地安全策略。当设计组策略时请记住下列注意事项。管理员必须设置将多个GPO链接到一个OU的顺序,否则,默认情况下,将按以前链接到此OU的顺序应用策略。如果在多个策略中指定了相同的顺序,容器的策略列表中的最高策略享有最高优先级。可以使用“禁止替代”选项来配置GPO。选择此选项后,其他GPO不能替代为此策略配置的设置。可以使用“阻止策略继承”选项来配置ActiveDirectory、站点、域或OU。此选项阻止来自ActiveDirectory层次结构中更高的GPO的GPO设置,除非它们选择了“禁止替代”选项。组策略设置根据ActiveDirectory中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下,可能需要根据计算机对象的位置(而不是用户对象的位置)对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息,请参阅本模块的“其他信息”部分中列出的组策略白皮书。下图展开了基本OU结构,以显示如何对运行WindowsXP且属于便携式计算机OU和台式计算机OU的客户端应用GPO。图2.3展开的OU结构,包含运行WindowsXP的台式计算机和便携式计算机的安全GPO在上例中,便携式计算机是便携式计算机OU的成员。应用的第一个策略是运行WindowsXP的便携式计算机上的本地安全策略。由于此例中只有一个站点,所以站点级别上未应用GPO,将域GPO作为下一个要应用的策略。最后,应用便携式计算机GPO。注意:台式计算机策略未应用于任何便携式计算机,因为它未链接到包含便携式计算机OU的层次结构中的任何OU。另外,安全的XP用户OU没有对应的安全模块(.inf文件),因为它只包括来自管理模块的设置。作为GPO之间优先级如何起作用的示例,假设“通过终端服务允许登录”的WindowsXPOU策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机GPO设置被设置为“PowerUsers”和“Administrators”组。在此情况下,帐户位于“PowerUsers”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机OU是WindowsXPOU的子级。如果在WindowsXPGPO中启用了“禁止替代”策略选项,只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。安全模板组策略模板是基于文本的文件。可以使用MMC的安全模板管理单元,或使用文本编辑器(如记事本),来更改这些文件。模板文件的某些章节包含由安全描述符定义语言(SDDL)定义的特定访问控制列表(ACL)。有关编辑安全模板和SDDL的详细信息,请参阅本模块中的“其他信息”部分。安全模板的管理将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下,安全模板存储在所有运行WindowsXP和WindowsServer2003的计算机的%SystemRoot%\security\templates文件夹中。此文件夹不是跨多个域控制器复制的。因此,您需要选择一个域控制器来保存安全模板的主副本,以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。导入安全模板使用下列过程导入安全模板。将安全模板导入GPO:1.导航到组策略对象编辑器中的“Windows设置”文件夹。2.展开“Windows设置”文件夹,然后选择“安全设置”。3.右键单击“安全设置”文件夹,然后单击“导入策略...”。4.选择要导入的安全模板,然后单击“打开”。文件中的设置将导入到GPO中。管理模板在称为管理模板的基于Unicode的文件中,可以获得其他安全设置。管理模板是包含影响WindowsXP及其组件以及其他应用程序(如MicrosoftOfficeXP)的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在HKEY_LOCAL_MACHINE注册表配置单元中。用户设置存储在HKEY_CURRENT_USER注册表配置单元中。管理模板的管理像上面的用于存储安全模板的最佳操作一样,将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。WindowsXP和Windows2003Server附带的管理模板存储在%systemroot%\inf目录中。“OfficeXPResourceKit”附带了用于OfficeXP的其他模板。这些模板在发布ServicePack时会进行更改,所以不能编辑。向策略添加管理模板除了WindowsXP附带的管理模板外,还要将OfficeXP模板应用于要在其中配置OfficeXP设置的GPO。使用下列过程向GPO添加其他模板。向GPO添加管理模板:1.导航到组策略对象编辑器中的“管理模板”文件夹。2.右键单