組策略用于從一個(gè)單獨(dú)的點(diǎn)對(duì)多個(gè)Microsoft Active Directory目錄服務(wù)用戶(hù)和計(jì)算機(jī)對(duì)象進(jìn)行配置。在默認(rèn)情況下，策略不僅影響應(yīng)用該策略的容器中的對(duì)象，還影響子容器中的對(duì)象。 組策略包含了“計(jì)算機(jī)配置 | Windows 設(shè)置 | 安全設(shè)置”下的安全設(shè)置。您可將預(yù)先配置的安全模板導(dǎo)入策略，來(lái)完成對(duì)這些設(shè)置的配置。 應(yīng)用組策略 下列步驟顯示了如何應(yīng)用組策略，以及如何向“用戶(hù)權(quán)限分配”添加安全組。 • 將組策略應(yīng)用于組織單位或域 1.依次單擊“開(kāi)始”、“管理工具”、“Active Directory 用戶(hù)和計(jì)算機(jī)”，打開(kāi)“Active Directory 用戶(hù)和計(jì)算機(jī)”。 2.突出顯示相關(guān)域或組織單位，單擊“操作”菜單，選擇“屬性”。 3.選擇“組策略”選項(xiàng)卡。 注意：每個(gè)容器可應(yīng)用多個(gè)策略。這些策略的處理順序是從列表的底部向上。如果出現(xiàn)沖突，最后應(yīng)用的策略?xún)?yōu)先。 4.單擊“新建”創(chuàng)建一個(gè)策略，并為其指定有實(shí)際意義的名稱(chēng)，如“域策略”。 注意：?jiǎn)螕簟斑x項(xiàng)”按鈕可配置“禁止替代”設(shè)置?！敖固娲笔菫槊總€(gè)單獨(dú)的策略配置的，而不是為整個(gè)容器；“阻止策略繼承”則是為整個(gè)容器配置的。如果“禁止替代”和“阻止策略繼承”設(shè)置發(fā)生沖突，“禁止替代”設(shè)置優(yōu)先。要配置“阻止策略繼承”，請(qǐng)選中 OU 屬性中的復(fù)選框。 組策略可自動(dòng)更新，但為了立即啟動(dòng)更新過(guò)程，可在命令提示符下使用下面的 GPUpdate 命令： GPUpdate /force 向“用戶(hù)權(quán)限分配”添加安全組 1.依次單擊“開(kāi)始”、“管理工具”、“Active Directory 用戶(hù)和計(jì)算機(jī)”，打開(kāi)“Active Directory 用戶(hù)和計(jì)算機(jī)”。 2.突出顯示相關(guān) OU(如“成員服務(wù)器”)，單擊“操作”菜單，選擇“屬性”。 3.單擊“組策略”選項(xiàng)卡，選擇相關(guān)策略(如“成員服務(wù)器基準(zhǔn)策略”)，然后單擊“編輯”。 4.在“組策略對(duì)象編輯器”中，依次展開(kāi)“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”，然后突出顯示“用戶(hù)權(quán)限分配”。 5.在右側(cè)窗格中，右鍵單擊相關(guān)用戶(hù)權(quán)限。 6.選中“定義這些策略設(shè)置”復(fù)選框，單擊“添加用戶(hù)和組”修改該列表。 7.單擊“確定”。
將安全模板導(dǎo)入組策略 下列步驟顯示了如何向組策略導(dǎo)入安全模板。 • 導(dǎo)入安全模板 1.依次單擊“開(kāi)始”、“管理工具”、“Active Directory 用戶(hù)和計(jì)算機(jī)”，打開(kāi)“Active Directory 用戶(hù)和計(jì)算機(jī)”。 2.突出顯示相關(guān)域或 OU，單擊“操作”菜單，選擇“屬性”。 3.選擇“組策略”選項(xiàng)卡。 4.突出顯示相關(guān)策略，單擊“編輯”。 5.依次展開(kāi)“計(jì)算機(jī)配置”、“Windows 設(shè)置”，然后突出顯示“安全設(shè)置”。 6.單擊“操作”菜單，選擇“導(dǎo)入策略”。 7.導(dǎo)航到 \Security Guide\Job Aids，選擇相關(guān)模板，單擊“打開(kāi)”。 8.在“組策略對(duì)象編輯器”中，單擊“文件”菜單，選擇“退出”。 9.在容器屬性中，單擊“確定”。 使用“安全配置和分析” 下列步驟顯示了如何使用“安全配置和分析”來(lái)導(dǎo)入、分析和應(yīng)用安全模板。 • 導(dǎo)入安全模板 1.依次單擊“開(kāi)始”、“運(yùn)行”。在“打開(kāi)”文本框中鍵入 mmc，然后單擊“確定”。 2.在 Microsoft 管理控制臺(tái)中，單擊“文件”，選擇“添加/刪除管理單元”。 3.單擊“添加”，突出顯示列表中的“安全配置和分析”。 4.依次單擊“添加”、“關(guān)閉”、“確定”。 5.突出顯示“安全配置和分析”，單擊“操作”菜單，選擇“打開(kāi)數(shù)據(jù)庫(kù)”。 6.鍵入新的數(shù)據(jù)庫(kù)名稱(chēng)(如 Bastion Host)，單擊“打開(kāi)”。 7.在“導(dǎo)入模板”界面中，導(dǎo)航到 \Security Guide\Job Aids，選擇相關(guān)模板。單擊“打開(kāi)”。 • 分析導(dǎo)入的模板并與當(dāng)前設(shè)置比較 1.突出顯示 Microsoft 管理單元中的“安全配置和分析”，單擊“操作”菜單，并選擇“立即分析計(jì)算機(jī)”。 2.單擊“確定”，接受默認(rèn)的“錯(cuò)誤日志文件路徑”。 3.完成分析后，展開(kāi)節(jié)點(diǎn)標(biāo)題對(duì)結(jié)果進(jìn)行研究。 • 應(yīng)用安全模板 1.突出顯示 Microsoft 管理單元中的“安全配置和分析”，單擊“操作”菜單，選擇“立即配置計(jì)算機(jī)”。 2.單擊“確定”，接受默認(rèn)的“錯(cuò)誤日志文件路徑”。 3.在 Microsoft 管理控制臺(tái)，單擊“文件”，然后選擇“退出”關(guān)閉“安全配置和分析”。
   

最新評(píng)論