Windows 2000局域网的组策略管理

核心提示： 2、组策略的安全设置位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等，有些策略只应用于域的范围，Windows 2000局域网的组策略管理(2

2、组策略的安全设置

位于组策略对象“安全设置”节点的容器包括：账户策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、公钥策略、Active Directory中的网际协议安全策略等。有些策略只应用于域的范围，也就是说，策略设置是在域范围内进行的。例如账户策略一律应用于域内的所有用户账户。不能为同一域内的不同部门定义不同账户策略。至于安全策略范围，账户策略和公钥策略都具有域范围。所有其它策略范围都可在部门等级设定。

3、安全模板

Windows 2000为在网络环境设置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服务器或客户计算机上适合某一特定安全等级的安全设置配置文件。例如，hisecdc模板包括适合高安全性域控制器的设置。可以把安全配置文件导入组策略对象并把它应用到一个等级的计算机上。把安全配置文件导入个人数据库用来检查和配置本地计算机的安全策略。

二、实施组策略安全管理

在Windows 2000局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。

1、启动活动目录服务

在“程序→管理工具→配置服务器”选项中，选定左边的“Active Directory”，启动活动目录安装向导。设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定。

2、打开组策略控制台

启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。

3、设置组策略

Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下，作为策略设置的参考。

a、启用“登录屏幕”上不显示上次登录的用户名

这一选项可以保护用户账号的安全，阻止账号盗用行为的发生。该选项所处位置按照“计算机配置→安全设置→本地策略→安全选项”的顺序查找，双击该选项，选择“启用”。当用户下次登录域时，该项策略将被应用在用户操作的工作站上。

b、启动“活动桌面墙纸”

使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改。因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面。该选项所处的位置是“用户配置→管理模板→桌面→活动桌面”。

综合应用Windows 2000的账号安全、组策略安全和文件夹权限等安全属性，可以很好地保护局域网中各工作站的安全。同时，使用账号安全属性对系统文件进行保护，还可对病毒的破坏起到防范作用。