Windows 2000 中的域安全性策略

文章目錄

• 帳戶原則
• 本地策略
• 這篇文章中的資訊適用於:

 

適用於

概要

在 Microsoft Windows NT Server 4.0 中，概念“域安全性策略”是指對域的安全配置至關重要的一組關聯項。 它們包括：

• 使用者密碼，或控制使用者帳戶將如何使用密碼的帳戶原則。
• 控制在安全日誌中要記錄哪些事件類型的稽核原則。
• 使用者權限被應用到組或使用者，並影響在單個工作站、成員伺服器或域內所有網域控制站上所允許的活動。

在 Windows 2000 中，Microsoft 已將這些組件重新設定為一個一致的階層或工具，即“組策略編輯器”中的“安全措施設定”嵌入式管理單元。 如果想知道要更改的正確組策略，這一點很有用。

更多資訊

要配置專門針對跨域的安全設定，請使用“組策略編輯器”嵌入式管理單元，其中心設定為“預設域策略”組策略對象 (GPO)：

1. 單擊開始，指向程式，指向管理工具，然後單擊 Active Directory 使用者和電腦。
2. 按右鍵相應的域對象，然後單擊屬性。
3. 單擊組策略選項卡查看當前連結的組策略對象。
4. 單擊預設域策略 GPO 連結，然後單擊“編輯”。

啟動“組策略編輯器”嵌入式管理單元之後，可以從下列節點訪問域安全性原則：

主控台根目錄\“預設域策略”\電腦配置\Windows設定\安全設定

在階層中的該點上，可以獲得下列節點：

帳戶原則

• 密碼原則
• 帳戶鎖定策略
• Kerberos 策略

本地策略

• 稽核原則
• 使用者權利指派
• 安全選項
  • 事件記錄
  • 受限制的組
  • 系統服務
  • 註冊表
  • 檔案系統
  • Active Directory 上的 IP 安全性策略
  • 公開金鑰策略

“組策略”是通過使用“組策略對象”來進行管理的，組策略對象是在指定的階層中被附加到所選 Active Directory 對象（如網站、域或組織單位）上的資料結構。 這些 GPO一旦建立，就會按以下標準順序被應用： LSDOU，它表示 (1) 本地，(2)網站，(3)域，(4)組織單位，後面的策略高於前面所應用的策略。

如果電腦加入到實施了 Active Directory 和組策略的域中，就將處理一個本機群組策略對象。 注意，即使已指定“阻止策略繼承”選項，也會處理本機群組策略對象策略。

首先處理本機群組策略對象，然後處理域策略。 如果電腦加入到域中，並在域和本機電腦策略之間發生衝突，那麼，域策略將勝出。 但是，如果電腦不再屬於某個域，將應用本機群組策略對象。

這篇文章中的資訊適用於:

• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server

最新動向:	2004-3-25 (3.0)
關鍵字:	kbinfo kbnetwork kbtool KB221930