Active Directory域基礎(chǔ)結(jié)構(gòu)配置二

作者：佚名 2011-07-13 17:32:59

本文繼上篇Active Directory域基礎(chǔ)結(jié)構(gòu)配置一的文章后，接著介紹了Active Directory域基礎(chǔ)結(jié)構(gòu)配置。

繼上篇文章Active Directory域基礎(chǔ)結(jié)構(gòu)配置一之后，本文的Active Directory域基礎(chǔ)結(jié)構(gòu)配置二由下文所述：

支持安全管理的 GPO 設(shè)計(jì)

使用 GPO 確保特定設(shè)置、用戶權(quán)限和行為應(yīng)用于 OU 中的所有工作站或用戶。通過使用組策略（而不是使用手動(dòng)步驟），可以很方便地更新大量將來需要額外更改的工作站或用戶。使用 GPO 應(yīng)用這些設(shè)置的替代方法是派出一名技術(shù)人員在每個(gè)客戶端上手動(dòng)配置這些設(shè)置。

圖 2.2 GPO 應(yīng)用順序

上圖顯示了對(duì)作為子 OU 成員的計(jì)算機(jī)應(yīng)用 GPO 的順序。首先從每個(gè) Windows XP 工作站的本地策略應(yīng)用組策略。應(yīng)用本地策略后，依次在站點(diǎn)級(jí)別和域級(jí)別應(yīng)用任何 GPO。

對(duì)于幾個(gè) OU 層中嵌套的 Windows XP 客戶端，在層次結(jié)構(gòu)中按從最高 OU 級(jí)別到最低級(jí)別的順序應(yīng)用 GPO。從包含客戶端計(jì)算機(jī)的 OU 應(yīng)用最后的 GPO。此 GPO 處理順序（本地策略、站點(diǎn)、域、父 OU 和子 OU）非常重要，因?yàn)榇诉^程中稍后應(yīng)用的 GPO 將會(huì)替代先前應(yīng)用的 GPO。用戶 GPO 的應(yīng)用方式相同，唯一區(qū)別是用戶帳戶沒有本地安全策略。

當(dāng)設(shè)計(jì)組策略時(shí)請(qǐng)記住下列注意事項(xiàng)。

管理員必須設(shè)置將多個(gè) GPO 鏈接到一個(gè) OU 的順序，否則，默認(rèn)情況下，將按以前鏈接到此 OU 的順序應(yīng)用策略。如果在多個(gè)策略中指定了相同的順序，容器的策略列表中的最高策略享有最高優(yōu)先級(jí)。

可以使用“禁止替代”選項(xiàng)來配置 GPO。選擇此選項(xiàng)后，其他 GPO 不能替代為此策略配置的設(shè)置。

可以使用“阻止策略繼承”選項(xiàng)來配置 Active Directory、站點(diǎn)、域或 OU。此選項(xiàng)阻止來自 Active Directory 層次結(jié)構(gòu)中更高的 GPO 的 GPO 設(shè)置，除非它們選擇了“禁止替代”選項(xiàng)。

組策略設(shè)置根據(jù) Active Directory 中用戶或計(jì)算機(jī)對(duì)象所在的位置應(yīng)用于用戶和計(jì)算機(jī)。在某些情況下，可能需要根據(jù)計(jì)算機(jī)對(duì)象的位置（而不是用戶對(duì)象的位置）對(duì)用戶對(duì)象應(yīng)用策略。組策略環(huán)回功能使管理員能夠根據(jù)用戶登錄的計(jì)算機(jī)應(yīng)用用戶組策略設(shè)置。有關(guān)環(huán)回支持的詳細(xì)信息，請(qǐng)參閱本模塊的“其他信息”部分中列出的組策略白皮書。

下圖展開了基本 OU 結(jié)構(gòu)，以顯示如何對(duì)運(yùn)行 Windows XP 且屬于便攜式計(jì)算機(jī) OU 和臺(tái)式計(jì)算機(jī) OU 的客戶端應(yīng)用 GPO。

圖 2.3 展開的 OU 結(jié)構(gòu)，包含運(yùn)行 Windows XP 的臺(tái)式計(jì)算機(jī)和便攜式計(jì)算機(jī)的安全 GPO

在上例中，便攜式計(jì)算機(jī)是便攜式計(jì)算機(jī) OU 的成員。應(yīng)用的第一個(gè)策略是運(yùn)行 Windows XP 的便攜式計(jì)算機(jī)上的本地安全策略。由于此例中只有一個(gè)站點(diǎn)，所以站點(diǎn)級(jí)別上未應(yīng)用 GPO，將域 GPO 作為下一個(gè)要應(yīng)用的策略。最后，應(yīng)用便攜式計(jì)算機(jī) GPO。

注意：臺(tái)式計(jì)算機(jī)策略未應(yīng)用于任何便攜式計(jì)算機(jī)，因?yàn)樗存溄拥桨銛y式計(jì)算機(jī) OU 的層次結(jié)構(gòu)中的任何 OU。另外，安全的 XP 用戶 OU 沒有對(duì)應(yīng)的安全模塊（.inf 文件），因?yàn)樗话▉碜怨芾砟K的設(shè)置。

作為 GPO 之間優(yōu)先級(jí)如何起作用的示例，假設(shè)“通過終端服務(wù)允許登錄”的 Windows XP OU 策略設(shè)置被設(shè)置為“Administrators”組。“通過終端服務(wù)允許登錄”的便攜式計(jì)算機(jī) GPO 設(shè)置被設(shè)置為“Power Users”和“Administrators”組。在此情況下，帳戶位于“Power Users”組中的用戶可以使用終端服務(wù)登錄到便攜式計(jì)算機(jī)。這是因?yàn)楸銛y式計(jì)算機(jī) OU 是 Windows XP OU 的子級(jí)。如果在 Windows XP GPO 中啟用了“禁止替代”策略選項(xiàng)，只允許那些帳戶位于“Administrators”組中的用戶使用終端服務(wù)登錄到客戶端。

安全模板

組策略模板是基于文本的文件?？梢允褂?MMC 的安全模板管理單元，或使用文本編輯器（如記事本），來更改這些文件。模板文件的某些章節(jié)包含由安全描述符定義語言 (SDDL) 定義的特定訪問控制列表 (ACL)。有關(guān)編輯安全模板和 SDDL 的詳細(xì)信息，請(qǐng)參閱本模塊中的“其他信息”部分。

安全模板的管理

將生產(chǎn)環(huán)境中使用的安全模板存儲(chǔ)在基礎(chǔ)結(jié)構(gòu)中的安全位置是非常重要的。安全模板的訪問權(quán)只應(yīng)該授予負(fù)責(zé)實(shí)現(xiàn)組策略的管理員。默認(rèn)情況下，安全模板存儲(chǔ)在所有運(yùn)行 Windows XP 和 Windows Server 2003 的計(jì)算機(jī)的 %SystemRoot%\security\templates 文件夾中。

此文件夾不是跨多個(gè)域控制器復(fù)制的。因此，您需要選擇一個(gè)域控制器來保存安全模板的主副本，以避免遇到與模板有關(guān)的版本控制問題。此最佳操作確保您始終修改模板的同一副本。

導(dǎo)入安全模板

使用下列過程導(dǎo)入安全模板。

將安全模板導(dǎo)入 GPO：

1.導(dǎo)航到組策略對(duì)象編輯器中的“Windows 設(shè)置”文件夾。

2.展開“Windows 設(shè)置”文件夾，然后選擇“安全設(shè)置”。

3.右鍵單擊“安全設(shè)置”文件夾，然后單擊“導(dǎo)入策略...”。

4.選擇要導(dǎo)入的安全模板，然后單擊“打開”。文件中的設(shè)置將導(dǎo)入到 GPO 中。

管理模板

在稱為管理模板的基于 Unicode 的文件中，可以獲得其他安全設(shè)置。管理模板是包含影響 Windows XP 及其組件以及其他應(yīng)用程序（如 Microsoft Office XP）的注冊(cè)表設(shè)置的文件。管理模板可以包括計(jì)算機(jī)設(shè)置和用戶設(shè)置。計(jì)算機(jī)設(shè)置存儲(chǔ)在 HKEY_LOCAL_MACHINE 注冊(cè)表配置單元中。用戶設(shè)置存儲(chǔ)在 HKEY_CURRENT_USER 注冊(cè)表配置單元中。

管理模板的管理

像上面的用于存儲(chǔ)安全模板的最佳操作一樣，將生產(chǎn)環(huán)境中使用的管理模板存儲(chǔ)在基礎(chǔ)結(jié)構(gòu)中的安全位置是非常重要的。只有負(fù)責(zé)實(shí)現(xiàn)組策略的管理員才能有此位置的訪問權(quán)限。Windows XP 和 Windows 2003 Server 附帶的管理模板存儲(chǔ)在 %systemroot%\inf 目錄中。“Office XP Resource Kit”附帶了用于 Office XP 的其他模板。這些模板在發(fā)布 Service Pack 時(shí)會(huì)進(jìn)行更改，所以不能編輯。

向策略添加管理模板

除了 Windows XP 附帶的管理模板外，還要將 Office XP 模板應(yīng)用于要在其中配置 Office XP 設(shè)置的 GPO。使用下列過程向 GPO 添加其他模板。

向 GPO 添加管理模板：

1.導(dǎo)航到組策略對(duì)象編輯器中的“管理模板”文件夾。

2.右鍵單擊“管理模板”文件夾，然后單擊“添加/刪除模板”。

3.在“添加/刪除模板”對(duì)話框中，單擊“添加”。

4.導(dǎo)航到包含管理模板文件的文件夾。

5.選擇要添加的模板，單擊“打開”，然后單擊“關(guān)閉”。

域級(jí)別組策略

域級(jí)別組策略包括對(duì)域中所有計(jì)算機(jī)和用戶應(yīng)用的設(shè)置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”（英文）中詳細(xì)介紹了域級(jí)別安全。

經(jīng)常更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和使用期限。本節(jié)討論用于企業(yè)客戶端環(huán)境和高安全級(jí)環(huán)境的每個(gè)密碼策略設(shè)置。

在組策略對(duì)象編輯器中的以下位置的域組策略中配置下列值：

計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\密碼策略

下表包含對(duì)本指南中定義的兩種安全環(huán)境的密碼策略建議。

強(qiáng)制密碼歷史

表 2.2：設(shè)置

“強(qiáng)制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。此設(shè)置的值必須在 0 到 24 個(gè)記住的密碼之間。Windows XP 的默認(rèn)值是 0 個(gè)密碼，但是域中的默認(rèn)設(shè)置是 24 個(gè)記住的密碼。要維護(hù)密碼歷史的有效性，請(qǐng)使用“密碼最短使用期限”設(shè)置，以阻止用戶不斷更改密碼來避開“強(qiáng)制密碼歷史”設(shè)置。

對(duì)于本指南中定義的兩個(gè)安全環(huán)境，將“強(qiáng)制密碼歷史”設(shè)置配置為“24 個(gè)記住的密碼”。通過確保用戶無法輕易重用密碼（無論意外或故意），最大設(shè)置值增強(qiáng)了密碼的安全性。它還可以幫助確保攻擊者竊得的密碼在可以用于解開用戶帳戶之前失效。將此值設(shè)置為最大數(shù)量不會(huì)產(chǎn)生已知問題。

密碼最長使用期限

表 2.3：設(shè)置

此設(shè)置的值的范圍為 1 到 999 天。為了指定從不過期的密碼，還可以將此值設(shè)置為 0。此設(shè)置定義了解開密碼的攻擊者在密碼過期之前使用密碼訪問網(wǎng)絡(luò)上的計(jì)算機(jī)的期限。此設(shè)置的默認(rèn)值為 42 天。

對(duì)于本指南中定義的兩個(gè)安全環(huán)境，將“密碼最長使用期限”設(shè)置配置為值“42 天”。大多數(shù)密碼都可以解開，因此，密碼改動(dòng)越頻繁，攻擊者使用解開的密碼的機(jī)會(huì)越少。但是，此值設(shè)置越低，幫助臺(tái)支持的呼叫增多的可能性越大。將“密碼最長使用期限”設(shè)置為值 42 可以確保密碼周期性循環(huán)，從而增加了密碼安全性。

密碼最短使用期限

表 2.4：設(shè)置

“密碼最短使用期限”設(shè)置確定了用戶可以更改密碼之前必須使用密碼的天數(shù)。此設(shè)置的值的范圍是 1 到 998 天，也可以將此設(shè)置的值設(shè)置為 0 以允許立即更改密碼。此設(shè)置的默認(rèn)值為 0 天。

“密碼最短使用期限”設(shè)置的值必須小于為“密碼最長使用期限”設(shè)置指定的值，除非“密碼最長使用期限”設(shè)置的值配置為 0（導(dǎo)致密碼永不過期）。如果“密碼最長使用期限”設(shè)置的值配置為 0，“密碼最短使用期限”設(shè)置的值可以配置為從 0 到 999 之間的任何值。

希望了解更多內(nèi)容請(qǐng)點(diǎn)擊Active Directory域基礎(chǔ)結(jié)構(gòu)配置三

【編輯推薦】