Active Directory 域基礎(chǔ)結(jié)構(gòu)配置如下文所述：

本模塊內(nèi)容

本模塊介紹了將組策略應(yīng)用于Windows Server 2003和Windows 2000 Server 域中的Windows XP Professional 客戶端所需的概念。組策略是 Microsoft Active Directory 目錄服務(wù)的一個(gè)功能，它使管理員可以更改用戶和計(jì)算機(jī)設(shè)置以及管理配置，但是，在將組策略應(yīng)用于環(huán)境中的 Windows XP Professional 客戶端之前，需要在域中執(zhí)行某些基本步驟。

組策略是確保 Windows XP 安全的重要工具。本模塊提供有關(guān)如何使用組策略從中心位置在整個(gè)網(wǎng)絡(luò)中應(yīng)用和維護(hù)一致安全策略的詳細(xì)信息。

本指南為企業(yè)環(huán)境和高安全級(jí)環(huán)境提供選項(xiàng)。對(duì)于臺(tái)式計(jì)算機(jī)和便攜式計(jì)算機(jī)客戶端，本模塊中建議的設(shè)置是相同的。

目標(biāo)

使用本模塊可以實(shí)現(xiàn)下列目標(biāo)：

描述 Active Directory 如何應(yīng)用組策略對(duì)象

設(shè)計(jì)組織單位結(jié)構(gòu)以支持安全管理

設(shè)計(jì)組策略對(duì)象以支持安全管理

對(duì)安全模板進(jìn)行管理

對(duì)管理模板進(jìn)行管理

使用組策略實(shí)現(xiàn)有效的密碼策略

使用組策略實(shí)現(xiàn)有效的帳戶鎖定策略

確定哪些用戶可以向域中添加工作站

確保在允許的登錄時(shí)間結(jié)束時(shí)注銷用戶

使用組策略管理工具來更新策略和查看組策略應(yīng)用的結(jié)果

適用范圍

本模塊適用于下列產(chǎn)品和技術(shù)：

Windows Server 2003 域中的 Windows XP Professional 客戶端

Windows 2000 域中的 Windows XP Professional 客戶端

如何使用本模塊

本模塊提供了一種方法，并描述了使用組策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中確保 Windows XP Professional 客戶端的安全所需的步驟。

為了充分理解本模塊內(nèi)容，請(qǐng)閱讀“Windows XP 安全指南簡(jiǎn)介”。該模塊定義了在此模塊中引用的企業(yè)客戶端環(huán)境和高安全級(jí)環(huán)境。

使用檢查表。本指南的“檢查表”部分中的檢查表“配置 Active Directory 域基礎(chǔ)結(jié)構(gòu)”提供了可打印的作業(yè)指導(dǎo)，以供快速參考。使用基于任務(wù)的檢查表可以快速評(píng)估需要哪些步驟并幫助您逐步完成各個(gè)步驟。

使用隨本指南提供的“Windows XP 安全指南設(shè)置”電子表格。它可以幫助您將環(huán)境中所做的設(shè)置編制為文檔。

使用附帶的解決方法。本指南引用下列指導(dǎo)文章（均為英文）：

“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”

“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”

組策略

組策略是 Microsoft Active Directory 目錄服務(wù)的一個(gè)功能，可用來更改用戶和計(jì)算機(jī)設(shè)置，以及 Microsoft Windows Server 2003 和 Microsoft Windows 2000 Server 域中的配置管理。但是，在將組策略應(yīng)用于環(huán)境中的 Microsoft Windows XP Professional 客戶端之前，需要在域中執(zhí)行某些基本步驟。

組策略設(shè)置存儲(chǔ)在環(huán)境中域控制器上的組策略對(duì)象 (GPO) 中。GPO 鏈接到容器，這些容器包括 Active Directory 站點(diǎn)、域和組織單位 (OU)。由于組策略與 Active Directory 緊密集成，在實(shí)現(xiàn)組策略之前有必要對(duì) Active Directory 結(jié)構(gòu)和在其中配置不同設(shè)計(jì)選項(xiàng)的安全含義進(jìn)行基本的了解。有關(guān) Active Directory 設(shè)計(jì)的詳細(xì)信息，請(qǐng)參閱“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”（英文）。

　表 2.1：基準(zhǔn)安全模板

支持安全管理的 OU 設(shè)計(jì)

OU 是 Active Directory 域中的容器。OU 可以包含用戶、組、計(jì)算機(jī)和其他組織單位，它們都稱為子 OU?？梢詫?GPO 鏈接到 OU，它是 Active Directory 層次結(jié)構(gòu)中的***容器。還可以將管理權(quán)限委派給 OU。OU 提供了對(duì)用戶、計(jì)算機(jī)和其他安全主體進(jìn)行分組的簡(jiǎn)便方法，還提供了劃分管理邊界的有效方法。將用戶和計(jì)算機(jī)分配給單獨(dú)的 OU，因?yàn)槟承┰O(shè)置只適用于用戶，而某些則只適用于計(jì)算機(jī)。

可以使用委派向?qū)砦蓪?duì)一個(gè)組或單個(gè) OU 的控制，委派向?qū)Э梢宰鳛?Active Directory 用戶和計(jì)算機(jī) Microsoft 管理控制臺(tái) (MMC) 管理單元工具的一部分獲得。有關(guān)委派權(quán)限的文檔的鏈接，請(qǐng)參閱本模塊結(jié)尾的“其他信息”部分。

為任何環(huán)境設(shè)計(jì) OU 結(jié)構(gòu)的一個(gè)主要目標(biāo)是，為創(chuàng)建覆蓋 Active Directory 中駐留的所有工作站的無縫組策略實(shí)現(xiàn)提供基礎(chǔ)，同時(shí)確保它們符合組織的安全標(biāo)準(zhǔn)。設(shè)計(jì) OU 結(jié)構(gòu)的另一個(gè)目標(biāo)是，為組織中特定類型的用戶提供適當(dāng)?shù)陌踩O(shè)置。例如，可以允許開發(fā)人員對(duì)工作站進(jìn)行一般用戶無權(quán)進(jìn)行的操作。便攜式計(jì)算機(jī)用戶與臺(tái)式計(jì)算機(jī)用戶相比，安全要求也可以略有不同。下圖說明了足以用來討論本模塊中的組策略的簡(jiǎn)單 OU 結(jié)構(gòu)。此 OU 的結(jié)構(gòu)可能與您的環(huán)境的組織要求不同。

圖 2.1 Windows XP 計(jì)算機(jī)的 OU 結(jié)構(gòu)

部門 OU

由于組織內(nèi)的安全要求經(jīng)常變化，很有必要在環(huán)境中創(chuàng)建部門 OU。部門安全設(shè)置可以通過 GPO 應(yīng)用于各自部門 OU 中的計(jì)算機(jī)和用戶。

安全的 XP 用戶 OU

此 OU 包含同時(shí)參與企業(yè)客戶端環(huán)境和高安全級(jí)環(huán)境的用戶的帳戶。模塊 4“Windows XP 管理模板”中的“用戶配置”部分中討論了對(duì)此 OU 應(yīng)用的設(shè)置。

Windows XP OU

此 OU 包含環(huán)境中每種 Windows XP 客戶端的子 OU。在這里，包含了用于臺(tái)式計(jì)算機(jī)和便攜式計(jì)算機(jī)客戶端的指南。出于此原因，已經(jīng)創(chuàng)建了臺(tái)式計(jì)算機(jī) OU 和便攜式計(jì)算機(jī) OU。

臺(tái)式計(jì)算機(jī) OU：此 OU 包含始終連接到公司網(wǎng)絡(luò)的臺(tái)式計(jì)算機(jī)。模塊 3“Windows XP 客戶端安全設(shè)置”和模塊 4“Windows XP 管理模板”中詳細(xì)討論了對(duì)此 OU 應(yīng)用的設(shè)置。

便攜式計(jì)算機(jī) OU：此 OU 包含不始終連接到公司網(wǎng)絡(luò)的移動(dòng)用戶的便攜式計(jì)算機(jī)。模塊 3“Windows XP 客戶端安全設(shè)置”和模塊 4“Windows XP 管理模板”中詳細(xì)討論了對(duì)此 OU 應(yīng)用的設(shè)置。

希望了解更多內(nèi)容請(qǐng)點(diǎn)擊Active Directory域基礎(chǔ)結(jié)構(gòu)配置二。

【編輯推薦】

1. 域外控制器的作用與安裝
2. Active Directory之目錄服務(wù)
3. 利用Active Directory標(biāo)識(shí)和跟蹤虛擬機(jī)
4. 如何打開 Active Directory 用戶和計(jì)算機(jī)
5. Windows 2000 Server 如何設(shè)置Active Directory 域