文/Microsoft China.

Windows 2000 安全策略 本部分介紹各種安全策略工具及其有關安全策略應用的優先級順序。默認情況下，組策略具有繼承性和累積性，并且影響 Microsoft Active Directory® 容器中的所有計算機。通過使用組策略對象 (GPO) 可以管理組策略，這些組策略對象是在選定 Active Directory 對象（如站點、域或組織單位 (OU)）的特定層次結構中附加的數據結構。創建了這些 GPO 后，可以按照如下標準順序應用：LSDOU，其表示 (1) 本地、(2) 站點、(3) 域、(4) OU。后應用的策略優先級高于先應用的策略優先級。如果某臺計算機屬于某一域，并且在域和本地計算機策略之間存在沖突時，則域策略有效。然而，如果某臺計算機不再屬于某一域，則應用本地組策略。

計算機加入實施 Active Directory 和組策略的域時，會處理本地 GPO。請注意，甚至在指定了“阻止策略繼承”選項時，也會處理本地 GPO 策略。

可以在默認域 GPO 本地策略（審核策略、用戶權限分配和安全選項）中定義整個域的帳戶策略（密碼、帳戶鎖定和 Kerberos 策略），因為在默認域控制器 GPO 中定義了域控制控制器 (DC) 。對于 DC，在默認 DC GPO 中定義的設置優先級高于在默認域 GPO 中定義的設置。這樣，如果在默認域 GPO 中配置用戶特權（例如，“域中添加工作站”），則對此域中的 DC 沒有影響。

存在有在特定 GPO 中允許強制實施組策略的選項，這樣可以防止較低級別的 Active Directory 容器中的 GPO 替代此策略。例如，如果在域級別定義了特定 GPO，并指定強制實施 GPO，則 GPO 包含的策略將會應用于此域中的所有 OU；也就是說，較低級別的容器 (OU) 無法替代此域組策略。

注意：帳戶策略安全區域接收它在此域計算機中生效的專門處理方式。此域中的所有 DC 接收來自在域節點配置的 GPO 的帳戶策略，而不考慮 DC 的計算機對象的位置。這樣可確保對于所有域帳戶強制實施一致的帳戶策略。域中的所有非 DC 的計算機可按照正常的 GPO 層次結構來獲得這些計算機上本地帳戶的策略。默認情況下，成員工作站和服務器強制實施其本地帳戶域 GPO 中配置的策略設置，但如果存在有替代默認設置的更低范圍的其他 GPO，則這些設置將會生效。

本地安全策略 使用本地安全策略可以在本地計算機中設置安全要求。其主要用于單獨計算機或用于將特定安全設置應用于域成員。在 Active Directory 托管網絡中，本地安全策略設置具有最低優先級。

• 打開本地安全策略 1.以管理員權限登錄到計算機。2.在 Windows 2000 Professional 計算機中，默認情況下“管理工具”不會作為“開始”菜單中的選項進行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項，請單擊“開始”，指向“設置”，然后單擊“任務欄和開始菜單”。在“任務欄和開始菜單屬性”窗口中，單擊“高級”選項卡。在“開始菜單設置”對話框中選擇“顯示管理工具”。單擊“確定”按鈕完成設置。3.單擊“開始”，指向“程序”，再指向“管理工具”，然后單擊“本地安全策略”。這樣就可以“本地安全設置”控制臺。

圖 1：本地安全設置 域安全策略

使用域安全策略可以設置和傳播域中所有計算機的安全要求。域安全策略替代域中所有計算機的本地安全策略設置。

• 打開域安全策略

1.打開“Active Directory 用戶和計算機”管理單元。2.右鍵單擊要查看的適當的組織單位或域，然后單擊“屬性”。例如，要查看域安全策略，右鍵單擊域。要查看域控制器策略，右鍵單擊“域控制器”OU。3.單擊“組策略”選項卡。4.單擊“編輯”按鈕。5.展開“Windows 設置”。6.在“安全設置”樹中執行安全配置。

組織單位組策略對象

應該使用 OU 管理域中的安全策略。此域已經與域控制器 OU 一起提供。但是，可以根據需要定義其他 OU。例如，在域級別應該應用基準設置，然后在 OU 級別應用特定設置。這樣，可以創建工作站 OU 并將所有工作站置于其中，創建域服務器 OU 并將所有域成員服務器置于其中，等等。

OU GPO 可以替代由前面討論的策略界面實施的安全策略設置。例如，如果為域設置的策略與為域控制器 OU 配置的相同策略不兼容，則域控制器不會繼承域策略設置。通過在創建 OU GPO 時選擇“禁止替代”選項，可以避免發生此情況。“禁止替代”選項會強制所有子容器繼承來自父容器的策略，即使在這些策略與子容器的策略有沖突以及為子容器設置了“阻止繼承”的情況下也是如此。通過單擊 GPO 的“屬性”對話框上的“選項”按鈕，定位“禁止替代”復選框。

其他安全配置界面

為了便于討論和實施，本文檔重點介紹有關通過 Windows 2000 安全策略管理安全設置。但是，在獨立計算機上，這些界面不可用，甚至在域成員中有時需要逐一管理安全性，而不是通過組策略進行管理。有許多獨立工具可以用于執行這些任務。最常使用的是所有 Windows 2000 系統都附帶的安全配置編輯器。

安全配置編輯器

管理配置編輯器 (SCE) 由 Microsoft 管理控制臺 (MMC) 兩個管理單元組成，用于提供對 Windows 2000 操作系統進行安全配置和分析的功能。第一個管理單元是“安全模板”管理單元，可以為管理員提供管理 .inf 文件（用于應用安全設置）的圖形方式。第二個管理單元是“安全配置和分析”管理單元，用于管理員分析與特定模板相關的系統的安全性以及將模板中的設置應用于系統。這些界面如圖 2 所示。為了查看這些管理單元，必須創建一個新的控制臺。

• 創建新的控制臺

1.單擊“開始”，然后單擊“運行...”并運行 MMC。2.MMC 出現后，單擊“控制臺”，然后單擊“添加/刪除管理單元...”。接著，單擊“添加...”，然后雙擊“安全配置和分析”以及“安全模板”。3.單擊“關閉”和“確定”返回控制臺。為了將來使用，現在可以保存此控制臺以便在“開始”菜單上的“管理工具”文件夾中可用。

圖 2：安全配置編輯器

使用 SCE 工具，管理員可以配置 Windows 2000 操作系統的安全性，然后執行對系統的定期分析以確保保持配置完整或者隨時間推移進行必要的更改。這些工具可以有效地提供對組策略“安全設置”樹中顯示的每一項內容的訪問能力。

有關使用 SCE 工具的詳細信息，請參閱：http://www.microsoft.com/。

其他工具

有許多 Windows 2000 附帶的其他工具可以用于管理安全性。本部分簡要介紹其中的一些工具。估計管理員已熟悉這些工具并且不需要對這些工具進行更多的介紹。

• Windows Explorer – 允許配置文件系統上的隨機訪問控制列表 (DACL) 和系統訪問控制列表 (SACL)。• Regedt32.exe – 允許配置注冊表上的 DACL 和 SACL。• Cacls.exe – 命令行工具，此工具允許配置和查看文件系統 DACL。• Net.exe – 命令行工具，可以用于創建和配置用戶帳戶和組成員身份以及用于配置各種設置（如系統在網絡瀏覽列表中是否可見）。

• Netsh.exe – 命令行工具，用于配置網絡參數。• Secedit.exe – 命令行工具，提供與 SCE 工具相同的功能。