Active Directory域基礎結構配置二
繼上篇文章Active Directory域基礎結構配置一之后,本文的Active Directory域基礎結構配置二由下文所述:
支持安全管理的 GPO 設計
使用 GPO 確保特定設置、用戶權限和行為應用于 OU 中的所有工作站或用戶。通過使用組策略(而不是使用手動步驟),可以很方便地更新大量將來需要額外更改的工作站或用戶。使用 GPO 應用這些設置的替代方法是派出一名技術人員在每個客戶端上手動配置這些設置。
上圖顯示了對作為子 OU 成員的計算機應用 GPO 的順序。首先從每個 Windows XP 工作站的本地策略應用組策略。應用本地策略后,依次在站點級別和域級別應用任何 GPO。
對于幾個 OU 層中嵌套的 Windows XP 客戶端,在層次結構中按從最高 OU 級別到最低級別的順序應用 GPO。從包含客戶端計算機的 OU 應用最后的 GPO。此 GPO 處理順序(本地策略、站點、域、父 OU 和子 OU)非常重要,因為此過程中稍后應用的 GPO 將會替代先前應用的 GPO。用戶 GPO 的應用方式相同,唯一區別是用戶帳戶沒有本地安全策略。
當設計組策略時請記住下列注意事項。
管理員必須設置將多個 GPO 鏈接到一個 OU 的順序,否則,默認情況下,將按以前鏈接到此 OU 的順序應用策略。如果在多個策略中指定了相同的順序,容器的策略列表中的最高策略享有最高優先級。
可以使用“禁止替代”選項來配置 GPO。選擇此選項后,其他 GPO 不能替代為此策略配置的設置。
可以使用“阻止策略繼承”選項來配置 Active Directory、站點、域或 OU。此選項阻止來自 Active Directory 層次結構中更高的 GPO 的 GPO 設置,除非它們選擇了“禁止替代”選項。
組策略設置根據 Active Directory 中用戶或計算機對象所在的位置應用于用戶和計算機。在某些情況下,可能需要根據計算機對象的位置(而不是用戶對象的位置)對用戶對象應用策略。組策略環回功能使管理員能夠根據用戶登錄的計算機應用用戶組策略設置。有關環回支持的詳細信息,請參閱本模塊的“其他信息”部分中列出的組策略白皮書。
下圖展開了基本 OU 結構,以顯示如何對運行 Windows XP 且屬于便攜式計算機 OU 和臺式計算機 OU 的客戶端應用 GPO。
在上例中,便攜式計算機是便攜式計算機 OU 的成員。應用的第一個策略是運行 Windows XP 的便攜式計算機上的本地安全策略。由于此例中只有一個站點,所以站點級別上未應用 GPO,將域 GPO 作為下一個要應用的策略。最后,應用便攜式計算機 GPO。
注意:臺式計算機策略未應用于任何便攜式計算機,因為它未鏈接到包含便攜式計算機 OU 的層次結構中的任何 OU。另外,安全的 XP 用戶 OU 沒有對應的安全模塊(.inf 文件),因為它只包括來自管理模塊的設置。
作為 GPO 之間優先級如何起作用的示例,假設“通過終端服務允許登錄”的 Windows XP OU 策略設置被設置為“Administrators”組。“通過終端服務允許登錄”的便攜式計算機 GPO 設置被設置為“Power Users”和“Administrators”組。在此情況下,帳戶位于“Power Users”組中的用戶可以使用終端服務登錄到便攜式計算機。這是因為便攜式計算機 OU 是 Windows XP OU 的子級。如果在 Windows XP GPO 中啟用了“禁止替代”策略選項,只允許那些帳戶位于“Administrators”組中的用戶使用終端服務登錄到客戶端。
安全模板
組策略模板是基于文本的文件。可以使用 MMC 的安全模板管理單元,或使用文本編輯器(如記事本),來更改這些文件。模板文件的某些章節包含由安全描述符定義語言 (SDDL) 定義的特定訪問控制列表 (ACL)。有關編輯安全模板和 SDDL 的詳細信息,請參閱本模塊中的“其他信息”部分。
安全模板的管理
將生產環境中使用的安全模板存儲在基礎結構中的安全位置是非常重要的。安全模板的訪問權只應該授予負責實現組策略的管理員。默認情況下,安全模板存儲在所有運行 Windows XP 和 Windows Server 2003 的計算機的 %SystemRoot%\security\templates 文件夾中。
此文件夾不是跨多個域控制器復制的。因此,您需要選擇一個域控制器來保存安全模板的主副本,以避免遇到與模板有關的版本控制問題。此最佳操作確保您始終修改模板的同一副本。
導入安全模板
使用下列過程導入安全模板。
將安全模板導入 GPO:
1.導航到組策略對象編輯器中的“Windows 設置”文件夾。
2.展開“Windows 設置”文件夾,然后選擇“安全設置”。
3.右鍵單擊“安全設置”文件夾,然后單擊“導入策略...”。
4.選擇要導入的安全模板,然后單擊“打開”。文件中的設置將導入到 GPO 中。
管理模板
在稱為管理模板的基于 Unicode 的文件中,可以獲得其他安全設置。管理模板是包含影響 Windows XP 及其組件以及其他應用程序(如 Microsoft Office XP)的注冊表設置的文件。管理模板可以包括計算機設置和用戶設置。計算機設置存儲在 HKEY_LOCAL_MACHINE 注冊表配置單元中。用戶設置存儲在 HKEY_CURRENT_USER 注冊表配置單元中。
管理模板的管理
像上面的用于存儲安全模板的最佳操作一樣,將生產環境中使用的管理模板存儲在基礎結構中的安全位置是非常重要的。只有負責實現組策略的管理員才能有此位置的訪問權限。Windows XP 和 Windows 2003 Server 附帶的管理模板存儲在 %systemroot%\inf 目錄中。“Office XP Resource Kit”附帶了用于 Office XP 的其他模板。這些模板在發布 Service Pack 時會進行更改,所以不能編輯。
向策略添加管理模板
除了 Windows XP 附帶的管理模板外,還要將 Office XP 模板應用于要在其中配置 Office XP 設置的 GPO。使用下列過程向 GPO 添加其他模板。
向 GPO 添加管理模板:
1.導航到組策略對象編輯器中的“管理模板”文件夾。
2.右鍵單擊“管理模板”文件夾,然后單擊“添加/刪除模板”。
3.在“添加/刪除模板”對話框中,單擊“添加”。
4.導航到包含管理模板文件的文件夾。
5.選擇要添加的模板,單擊“打開”,然后單擊“關閉”。
域級別組策略
域級別組策略包括對域中所有計算機和用戶應用的設置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”(英文)中詳細介紹了域級別安全。
經常更改的復雜密碼減少了密碼攻擊成功的可能性。密碼策略設置控制密碼的復雜性和使用期限。本節討論用于企業客戶端環境和高安全級環境的每個密碼策略設置。
在組策略對象編輯器中的以下位置的域組策略中配置下列值:
計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略
下表包含對本指南中定義的兩種安全環境的密碼策略建議。
強制密碼歷史
“強制密碼歷史”設置確定在重用舊密碼之前必須與用戶帳戶相關的唯一新密碼的數量。此設置的值必須在 0 到 24 個記住的密碼之間。Windows XP 的默認值是 0 個密碼,但是域中的默認設置是 24 個記住的密碼。要維護密碼歷史的有效性,請使用“密碼最短使用期限”設置,以阻止用戶不斷更改密碼來避開“強制密碼歷史”設置。
對于本指南中定義的兩個安全環境,將“強制密碼歷史”設置配置為“24 個記住的密碼”。通過確保用戶無法輕易重用密碼(無論意外或故意),最大設置值增強了密碼的安全性。它還可以幫助確保攻擊者竊得的密碼在可以用于解開用戶帳戶之前失效。將此值設置為最大數量不會產生已知問題。
密碼最長使用期限
此設置的值的范圍為 1 到 999 天。為了指定從不過期的密碼,還可以將此值設置為 0。此設置定義了解開密碼的攻擊者在密碼過期之前使用密碼訪問網絡上的計算機的期限。此設置的默認值為 42 天。
對于本指南中定義的兩個安全環境,將“密碼最長使用期限”設置配置為值“42 天”。大多數密碼都可以解開,因此,密碼改動越頻繁,攻擊者使用解開的密碼的機會越少。但是,此值設置越低,幫助臺支持的呼叫增多的可能性越大。將“密碼最長使用期限”設置為值 42 可以確保密碼周期性循環,從而增加了密碼安全性。
密碼最短使用期限
“密碼最短使用期限”設置確定了用戶可以更改密碼之前必須使用密碼的天數。此設置的值的范圍是 1 到 998 天,也可以將此設置的值設置為 0 以允許立即更改密碼。此設置的默認值為 0 天。
“密碼最短使用期限”設置的值必須小于為“密碼最長使用期限”設置指定的值,除非“密碼最長使用期限”設置的值配置為 0(導致密碼永不過期)。如果“密碼最長使用期限”設置的值配置為 0,“密碼最短使用期限”設置的值可以配置為從 0 到 999 之間的任何值。
希望了解更多內容請點擊Active Directory域基礎結構配置三
【編輯推薦】
