你目前正处于脱机状态,正在等待 Internet 重新连接

Windows 2000 中的域安全性策略

本文的发布号曾为 CHS221930
概要
在 Microsoft Windows NT Server 4.0 中,概念“域安全性策略”是指对域的安全配置至关重要的一组关联项。 它们包括:
  • 用户密码,或控制用户帐户将如何使用密码的帐户策略。
  • 控制在安全日志中要记录哪些事件类型的审核策略。
  • 用户权限被应用到组或用户,并影响在单个工作站、成员服务器或域内所有域控制器上所允许的活动。
在 Windows 2000 中,Microsoft 已将这些组件重新配置为一个一致的层次结构或工具,即“组策略编辑器”中的“安全措施设置”管理单元。 如果想知道要更改的正确组策略,这一点很有用。
更多信息
要配置专门针对跨域的安全设置,请使用“组策略编辑器”管理单元,其中心设置为“默认域策略”组策略对象 (GPO):
  1. 单击开始,指向程序,指向管理工具,然后单击 Active Directory 用户和计算机
  2. 右键单击相应的域对象,然后单击属性
  3. 单击组策略选项卡查看当前链接的组策略对象。
  4. 单击默认域策略 GPO 链接,然后单击“编辑”。
启动“组策略编辑器”管理单元之后,可以从下列节点访问域安全策略:
控制台根节点\“默认域策略”\计算机配置\Windows设置\安全设置
在层次结构中的该点上,可以获得下列节点:

帐户策略



  • 密码策略
  • 帐户锁定策略
  • Kerberos 策略

本地策略



  • 审核策略
  • 用户权利指派
  • 安全选项
    • 事件日志
    • 受限制的组
    • 系统服务
    • 注册表
    • 文件系统
    • Active Directory 上的 IP 安全性策略
    • 公钥策略
“组策略”是通过使用“组策略对象”来进行管理的,组策略对象是在指定的层次结构中被附加到所选 Active Directory 对象(如站点、域或组织单位)上的数据结构。 这些 GPO一旦创建,就会按以下标准顺序被应用: LSDOU,它表示 (1) 本地,(2)站点,(3)域,(4)组织单位,后面的策略高于前面所应用的策略。

如果计算机加入到实施了 Active Directory 和组策略的域中,就将处理一个本地组策略对象。 注意,即使已指定“阻止策略继承”选项,也会处理本地组策略对象策略。

首先处理本地组策略对象,然后处理域策略。 如果计算机加入到域中,并在域和本地计算机策略之间发生冲突,那么,域策略将胜出。 但是,如果计算机不再属于某个域,将应用本地组策略对象。
2000
属性

文章 ID:221930 - 上次审阅时间:03/25/2004 17:17:00 - 修订版本: 3.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbinfo kbtool kbnetwork KB221930
反馈