在Windows 2000操作系統(tǒng)中，我們可以使用“組策略”為用戶(hù)和計(jì)算機(jī)組定義用戶(hù)和計(jì)算機(jī)的配置。通過(guò)使用“組策略”，Microsoft管理控制臺(tái)（MMC）可以為特定用戶(hù)和計(jì)算機(jī)組創(chuàng)建個(gè)性化的配置。“組策略”配置包含在一個(gè)“組策略對(duì)象”(GPO) 中，該對(duì)象又與選定的Active Directory服務(wù)容器如站點(diǎn)、域或組織單位(OU) 等相關(guān)聯(lián)。組策略對(duì)象包括兩種對(duì)象──非本地和本地的組策略對(duì)象。存儲(chǔ)在域控制器中的非本地組策略對(duì)象只能在Active Directory環(huán)境下使用。它們適用于組策略對(duì)象所關(guān)聯(lián)的站點(diǎn)、域或組織單位中的用戶(hù)和計(jì)算機(jī)。

本地組策略對(duì)象存儲(chǔ)在各個(gè)本地計(jì)算機(jī)上。一臺(tái)計(jì)算機(jī)上只存儲(chǔ)一個(gè)本地組策略對(duì)象，而且它有一個(gè)在非本地組策略對(duì)象中可用的設(shè)置子集。如果二者的設(shè)置發(fā)生沖突，非本地組策略對(duì)象的設(shè)置能覆蓋本地組策略對(duì)象的設(shè)置。如果不沖突，則都可以應(yīng)用。

使用組策略，我們可以對(duì)用戶(hù)工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實(shí)施管理員定義的策略，對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行管理。

一、組策略安全概述

組策略包括應(yīng)用于域或計(jì)算機(jī)組的大量安全權(quán)限配置文件。一個(gè)組策略對(duì)象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計(jì)算機(jī)。單個(gè)計(jì)算機(jī)啟動(dòng)時(shí)，組策略得以應(yīng)用，如果作出改動(dòng)時(shí)沒(méi)有重新啟動(dòng)計(jì)算機(jī)，組策略會(huì)得到定期刷新。

1、組策略工作原理

組策略與Active Directory用戶(hù)中的域和文件夾以及MMC管理單元相關(guān)聯(lián)。組策略授予的權(quán)限應(yīng)用到存儲(chǔ)于該文件夾中的計(jì)算機(jī)上。使用Active Directory站點(diǎn)和服務(wù)管理單元還可將組策略應(yīng)用到站點(diǎn)。子文件夾從父文件夾繼承組策略，子文件夾也可能依次有自己的組策略對(duì)象。指派給一個(gè)文件夾的組策略可能不止一個(gè)。組策略是安全組的補(bǔ)充，可以將單一安全配置文件應(yīng)用到多臺(tái)計(jì)算機(jī)上。它加強(qiáng)了一致性并易于管理。組策略對(duì)象包含實(shí)現(xiàn)多種類(lèi)型安全策略的權(quán)限和參數(shù)。總之，組策略可由父站點(diǎn)傳遞到子站點(diǎn)和局域網(wǎng)。如果將一個(gè)特定組策略指派給高級(jí)的父站點(diǎn)，這個(gè)組策略會(huì)應(yīng)用到父等級(jí)以下所有站點(diǎn)，包括每個(gè)容器中的用戶(hù)和計(jì)算機(jī)對(duì)象。

2、組策略的安全設(shè)置

位于組策略對(duì)象“安全設(shè)置”節(jié)點(diǎn)的容器包括：賬戶(hù)策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說(shuō)，策略設(shè)置是在域范圍內(nèi)進(jìn)行的。例如賬戶(hù)策略一律應(yīng)用于域內(nèi)的所有用戶(hù)賬戶(hù)。不能為同一域內(nèi)的不同部門(mén)定義不同賬戶(hù)策略。至于安全策略范圍，賬戶(hù)策略和公鑰策略都具有域范圍。所有其它策略范圍都可在部門(mén)等級(jí)設(shè)定。

3、安全模板

Windows 2000為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服務(wù)器或客戶(hù)計(jì)算機(jī)上適合某一特定安全等級(jí)的安全設(shè)置配置文件。例如，hisecdc模板包括適合高安全性域控制器的設(shè)置。可以把安全配置文件導(dǎo)入組策略對(duì)象并把它應(yīng)用到一個(gè)等級(jí)的計(jì)算機(jī)上。把安全配置文件導(dǎo)入個(gè)人數(shù)據(jù)庫(kù)用來(lái)檢查和配置本地計(jì)算機(jī)的安全策略。

二、實(shí)施組策略安全管理

在Windows 2000局域網(wǎng)中實(shí)施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進(jìn)行。首先應(yīng)在服務(wù)器上安裝活動(dòng)目錄服務(wù)，然后在域上實(shí)施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。

1、啟動(dòng)活動(dòng)目錄服務(wù)

在“程序→管理工具→配置服務(wù)器”選項(xiàng)中，選定左邊的“Active Directory”，啟動(dòng)活動(dòng)目錄安裝向?qū)АＴO(shè)置過(guò)程中關(guān)鍵是要將服務(wù)器設(shè)置為第一個(gè)域目錄樹(shù)，DNS域名輸入ISP提供的域名，若不連接國(guó)際互聯(lián)網(wǎng)，也可任意設(shè)定。

2、打開(kāi)組策略控制臺(tái)

啟動(dòng)“Active Directory目錄和用戶(hù)”項(xiàng)，在右面對(duì)象容器樹(shù)中的根目錄上單擊右鍵，然后單擊“屬性”項(xiàng)，在新打開(kāi)的窗口中單擊“組策略”選項(xiàng)卡，即可打開(kāi)組策略控制臺(tái)。

3、設(shè)置組策略

Windows 2000組策略有100多個(gè)與安全有關(guān)的設(shè)置和450多個(gè)基于注冊(cè)表的設(shè)置，為管理用戶(hù)計(jì)算機(jī)環(huán)境提供了眾多的選項(xiàng)，某一選項(xiàng)一旦被設(shè)置將會(huì)作用于登錄到域上的所有用戶(hù)和工作站。這里將幾個(gè)常用策略的設(shè)置步驟介紹一下，作為策略設(shè)置的參考。

a、啟用“登錄屏幕”上不顯示上次登錄的用戶(hù)名

這一選項(xiàng)可以保護(hù)用戶(hù)賬號(hào)的安全，阻止賬號(hào)盜用行為的發(fā)生。該選項(xiàng)所處位置按照“計(jì)算機(jī)配置→安全設(shè)置→本地策略→安全選項(xiàng)”的順序查找，雙擊該選項(xiàng)，選擇“啟用”。當(dāng)用戶(hù)下次登錄域時(shí)，該項(xiàng)策略將被應(yīng)用在用戶(hù)操作的工作站上。

b、啟動(dòng)“活動(dòng)桌面墻紙”

使用此選項(xiàng)，局域網(wǎng)上登錄域的所有計(jì)算機(jī)將使用同一桌面墻紙，并且不能被更改。因此，可以通過(guò)這一項(xiàng)策略的設(shè)置，防止臨時(shí)用戶(hù)隨意更換桌面墻紙，使局域網(wǎng)中的工作站具有相同的界面。該選項(xiàng)所處的位置是“用戶(hù)配置→管理模板→桌面→活動(dòng)桌面”。

綜合應(yīng)用Windows 2000的賬號(hào)安全、組策略安全和文件夾權(quán)限等安全屬性，可以很好地保護(hù)局域網(wǎng)中各工作站的安全。同時(shí)，使用賬號(hào)安全屬性對(duì)系統(tǒng)文件進(jìn)行保護(hù)，還可對(duì)病毒的破壞起到防范作用。