Active Directory域基礎(chǔ)結(jié)構(gòu)配置二
繼上篇文章Active Directory域基礎(chǔ)結(jié)構(gòu)配置一之后,本文的Active Directory域基礎(chǔ)結(jié)構(gòu)配置二由下文所述:
支持安全管理的 GPO 設(shè)計
使用 GPO 確保特定設(shè)置、用戶權(quán)限和行為應(yīng)用于 OU 中的所有工作站或用戶。通過使用組策略(而不是使用手動步驟),可以很方便地更新大量將來需要額外更改的工作站或用戶。使用 GPO 應(yīng)用這些設(shè)置的替代方法是派出一名技術(shù)人員在每個客戶端上手動配置這些設(shè)置。
上圖顯示了對作為子 OU 成員的計算機應(yīng)用 GPO 的順序。首先從每個 Windows XP 工作站的本地策略應(yīng)用組策略。應(yīng)用本地策略后,依次在站點級別和域級別應(yīng)用任何 GPO。
對于幾個 OU 層中嵌套的 Windows XP 客戶端,在層次結(jié)構(gòu)中按從最高 OU 級別到最低級別的順序應(yīng)用 GPO。從包含客戶端計算機的 OU 應(yīng)用最后的 GPO。此 GPO 處理順序(本地策略、站點、域、父 OU 和子 OU)非常重要,因為此過程中稍后應(yīng)用的 GPO 將會替代先前應(yīng)用的 GPO。用戶 GPO 的應(yīng)用方式相同,唯一區(qū)別是用戶帳戶沒有本地安全策略。
當設(shè)計組策略時請記住下列注意事項。
管理員必須設(shè)置將多個 GPO 鏈接到一個 OU 的順序,否則,默認情況下,將按以前鏈接到此 OU 的順序應(yīng)用策略。如果在多個策略中指定了相同的順序,容器的策略列表中的最高策略享有最高優(yōu)先級。
可以使用“禁止替代”選項來配置 GPO。選擇此選項后,其他 GPO 不能替代為此策略配置的設(shè)置。
可以使用“阻止策略繼承”選項來配置 Active Directory、站點、域或 OU。此選項阻止來自 Active Directory 層次結(jié)構(gòu)中更高的 GPO 的 GPO 設(shè)置,除非它們選擇了“禁止替代”選項。
組策略設(shè)置根據(jù) Active Directory 中用戶或計算機對象所在的位置應(yīng)用于用戶和計算機。在某些情況下,可能需要根據(jù)計算機對象的位置(而不是用戶對象的位置)對用戶對象應(yīng)用策略。組策略環(huán)回功能使管理員能夠根據(jù)用戶登錄的計算機應(yīng)用用戶組策略設(shè)置。有關(guān)環(huán)回支持的詳細信息,請參閱本模塊的“其他信息”部分中列出的組策略白皮書。
下圖展開了基本 OU 結(jié)構(gòu),以顯示如何對運行 Windows XP 且屬于便攜式計算機 OU 和臺式計算機 OU 的客戶端應(yīng)用 GPO。
在上例中,便攜式計算機是便攜式計算機 OU 的成員。應(yīng)用的第一個策略是運行 Windows XP 的便攜式計算機上的本地安全策略。由于此例中只有一個站點,所以站點級別上未應(yīng)用 GPO,將域 GPO 作為下一個要應(yīng)用的策略。最后,應(yīng)用便攜式計算機 GPO。
注意:臺式計算機策略未應(yīng)用于任何便攜式計算機,因為它未鏈接到包含便攜式計算機 OU 的層次結(jié)構(gòu)中的任何 OU。另外,安全的 XP 用戶 OU 沒有對應(yīng)的安全模塊(.inf 文件),因為它只包括來自管理模塊的設(shè)置。
作為 GPO 之間優(yōu)先級如何起作用的示例,假設(shè)“通過終端服務(wù)允許登錄”的 Windows XP OU 策略設(shè)置被設(shè)置為“Administrators”組。“通過終端服務(wù)允許登錄”的便攜式計算機 GPO 設(shè)置被設(shè)置為“Power Users”和“Administrators”組。在此情況下,帳戶位于“Power Users”組中的用戶可以使用終端服務(wù)登錄到便攜式計算機。這是因為便攜式計算機 OU 是 Windows XP OU 的子級。如果在 Windows XP GPO 中啟用了“禁止替代”策略選項,只允許那些帳戶位于“Administrators”組中的用戶使用終端服務(wù)登錄到客戶端。
安全模板
組策略模板是基于文本的文件。可以使用 MMC 的安全模板管理單元,或使用文本編輯器(如記事本),來更改這些文件。模板文件的某些章節(jié)包含由安全描述符定義語言 (SDDL) 定義的特定訪問控制列表 (ACL)。有關(guān)編輯安全模板和 SDDL 的詳細信息,請參閱本模塊中的“其他信息”部分。
安全模板的管理
將生產(chǎn)環(huán)境中使用的安全模板存儲在基礎(chǔ)結(jié)構(gòu)中的安全位置是非常重要的。安全模板的訪問權(quán)只應(yīng)該授予負責實現(xiàn)組策略的管理員。默認情況下,安全模板存儲在所有運行 Windows XP 和 Windows Server 2003 的計算機的 %SystemRoot%\security\templates 文件夾中。
此文件夾不是跨多個域控制器復(fù)制的。因此,您需要選擇一個域控制器來保存安全模板的主副本,以避免遇到與模板有關(guān)的版本控制問題。此最佳操作確保您始終修改模板的同一副本。
導(dǎo)入安全模板
使用下列過程導(dǎo)入安全模板。
將安全模板導(dǎo)入 GPO:
1.導(dǎo)航到組策略對象編輯器中的“Windows 設(shè)置”文件夾。
2.展開“Windows 設(shè)置”文件夾,然后選擇“安全設(shè)置”。
3.右鍵單擊“安全設(shè)置”文件夾,然后單擊“導(dǎo)入策略...”。
4.選擇要導(dǎo)入的安全模板,然后單擊“打開”。文件中的設(shè)置將導(dǎo)入到 GPO 中。
管理模板
在稱為管理模板的基于 Unicode 的文件中,可以獲得其他安全設(shè)置。管理模板是包含影響 Windows XP 及其組件以及其他應(yīng)用程序(如 Microsoft Office XP)的注冊表設(shè)置的文件。管理模板可以包括計算機設(shè)置和用戶設(shè)置。計算機設(shè)置存儲在 HKEY_LOCAL_MACHINE 注冊表配置單元中。用戶設(shè)置存儲在 HKEY_CURRENT_USER 注冊表配置單元中。
管理模板的管理
像上面的用于存儲安全模板的最佳操作一樣,將生產(chǎn)環(huán)境中使用的管理模板存儲在基礎(chǔ)結(jié)構(gòu)中的安全位置是非常重要的。只有負責實現(xiàn)組策略的管理員才能有此位置的訪問權(quán)限。Windows XP 和 Windows 2003 Server 附帶的管理模板存儲在 %systemroot%\inf 目錄中。“Office XP Resource Kit”附帶了用于 Office XP 的其他模板。這些模板在發(fā)布 Service Pack 時會進行更改,所以不能編輯。
向策略添加管理模板
除了 Windows XP 附帶的管理模板外,還要將 Office XP 模板應(yīng)用于要在其中配置 Office XP 設(shè)置的 GPO。使用下列過程向 GPO 添加其他模板。
向 GPO 添加管理模板:
1.導(dǎo)航到組策略對象編輯器中的“管理模板”文件夾。
2.右鍵單擊“管理模板”文件夾,然后單擊“添加/刪除模板”。
3.在“添加/刪除模板”對話框中,單擊“添加”。
4.導(dǎo)航到包含管理模板文件的文件夾。
5.選擇要添加的模板,單擊“打開”,然后單擊“關(guān)閉”。
域級別組策略
域級別組策略包括對域中所有計算機和用戶應(yīng)用的設(shè)置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”(英文)中詳細介紹了域級別安全。
經(jīng)常更改的復(fù)雜密碼減少了密碼攻擊成功的可能性。密碼策略設(shè)置控制密碼的復(fù)雜性和使用期限。本節(jié)討論用于企業(yè)客戶端環(huán)境和高安全級環(huán)境的每個密碼策略設(shè)置。
在組策略對象編輯器中的以下位置的域組策略中配置下列值:
計算機配置\Windows 設(shè)置\安全設(shè)置\帳戶策略\密碼策略
下表包含對本指南中定義的兩種安全環(huán)境的密碼策略建議。
強制密碼歷史
“強制密碼歷史”設(shè)置確定在重用舊密碼之前必須與用戶帳戶相關(guān)的唯一新密碼的數(shù)量。此設(shè)置的值必須在 0 到 24 個記住的密碼之間。Windows XP 的默認值是 0 個密碼,但是域中的默認設(shè)置是 24 個記住的密碼。要維護密碼歷史的有效性,請使用“密碼最短使用期限”設(shè)置,以阻止用戶不斷更改密碼來避開“強制密碼歷史”設(shè)置。
對于本指南中定義的兩個安全環(huán)境,將“強制密碼歷史”設(shè)置配置為“24 個記住的密碼”。通過確保用戶無法輕易重用密碼(無論意外或故意),最大設(shè)置值增強了密碼的安全性。它還可以幫助確保攻擊者竊得的密碼在可以用于解開用戶帳戶之前失效。將此值設(shè)置為最大數(shù)量不會產(chǎn)生已知問題。
密碼最長使用期限
此設(shè)置的值的范圍為 1 到 999 天。為了指定從不過期的密碼,還可以將此值設(shè)置為 0。此設(shè)置定義了解開密碼的攻擊者在密碼過期之前使用密碼訪問網(wǎng)絡(luò)上的計算機的期限。此設(shè)置的默認值為 42 天。
對于本指南中定義的兩個安全環(huán)境,將“密碼最長使用期限”設(shè)置配置為值“42 天”。大多數(shù)密碼都可以解開,因此,密碼改動越頻繁,攻擊者使用解開的密碼的機會越少。但是,此值設(shè)置越低,幫助臺支持的呼叫增多的可能性越大。將“密碼最長使用期限”設(shè)置為值 42 可以確保密碼周期性循環(huán),從而增加了密碼安全性。
密碼最短使用期限
“密碼最短使用期限”設(shè)置確定了用戶可以更改密碼之前必須使用密碼的天數(shù)。此設(shè)置的值的范圍是 1 到 998 天,也可以將此設(shè)置的值設(shè)置為 0 以允許立即更改密碼。此設(shè)置的默認值為 0 天。
“密碼最短使用期限”設(shè)置的值必須小于為“密碼最長使用期限”設(shè)置指定的值,除非“密碼最長使用期限”設(shè)置的值配置為 0(導(dǎo)致密碼永不過期)。如果“密碼最長使用期限”設(shè)置的值配置為 0,“密碼最短使用期限”設(shè)置的值可以配置為從 0 到 999 之間的任何值。
希望了解更多內(nèi)容請點擊Active Directory域基礎(chǔ)結(jié)構(gòu)配置三
【編輯推薦】
