組策略用於從一個單獨的點對多個Microsoft Active Directory目錄服務用戶和計算機對象進行配置。在默認情況下,策略不僅影響應用該策略的容器中的對象,還影響子容器中的對象。
組策略包含了“計算機配置 | Windows 設置 | 安全設置”下的安全設置。您可將預先配置的安全模板導入策略,來完成對這些設置的配置。
應用組策略
下列步驟顯示了如何應用組策略,以及如何向“用戶權限分配”添加安全組。
• 將組策略應用於組織單位或域
1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”,打開“Active Directory 用戶和計算機”。
2.突出顯示相關域或組織單位,單擊“操作”菜單,選擇“屬性”。
3.選擇“組策略”選項卡。
注意:每個容器可應用多個策略。這些策略的處理順序是從列表的底部向上。如果出現沖突,最後應用的策略優先。
4.單擊“新建”創建一個策略,並為其指定有實際意義的名稱,如“域策略”。
注意:單擊“選項”按鈕可配置“禁止替代”設置。“禁止替代”是為每個單獨的策略配置的,而不是為整個容器;“阻止策略繼承”則是為整個容器配置的。如果“禁止替代”和“阻止策略繼承”設置發生沖突,“禁止替代”設置優先。要配置“阻止策略繼承”,請選中 OU 屬性中的復選框。
組策略可自動更新,但為了立即啟動更新過程,可在命令提示符下使用下面的 GPUpdate 命令:
GPUpdate /force
向“用戶權限分配”添加安全組
1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”,打開“Active Directory 用戶和計算機”。
2.突出顯示相關 OU(如“成員服務器”),單擊“操作”菜單,選擇“屬性”。
3.單擊“組策略”選項卡,選擇相關策略(如“成員服務器基准策略”),然後單擊“編輯”。
4.在“組策略對象編輯器”中,依次展開“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”,然後突出顯示“用戶權限分配”。
5.在右側窗格中,右鍵單擊相關用戶權限。
6.選中“定義這些策略設置”復選框,單擊“添加用戶和組”修改該列表。
7.單擊“確定”。
將安全模板導入組策略
下列步驟顯示了如何向組策略導入安全模板。
• 導入安全模板
1.依次單擊“開始”、“管理工具”、“Active Directory 用戶和計算機”,打開“Active Directory 用戶和計算機”。
2.突出顯示相關域或 OU,單擊“操作”菜單,選擇“屬性”。
3.選擇“組策略”選項卡。
4.突出顯示相關策略,單擊“編輯”。
5.依次展開“計算機配置”、“Windows 設置”,然後突出顯示“安全設置”。
6.單擊“操作”菜單,選擇“導入策略”。
7.導航到 \Security Guide\Job Aids,選擇相關模板,單擊“打開”。
8.在“組策略對象編輯器”中,單擊“文件”菜單,選擇“退出”。
9.在容器屬性中,單擊“確定”。
使用“安全配置和分析”
下列步驟顯示了如何使用“安全配置和分析”來導入、分析和應用安全模板。
• 導入安全模板
1.依次單擊“開始”、“運行”。在“打開”文本框中鍵入 mmc,然後單擊“確定”。
2.在 Microsoft 管理控制台中,單擊“文件”,選擇“添加/刪除管理單元”。
3.單擊“添加”,突出顯示列表中的“安全配置和分析”。
4.依次單擊“添加”、“關閉”、“確定”。
5.突出顯示“安全配置和分析”,單擊“操作”菜單,選擇“打開數據庫”。
6.鍵入新的數據庫名稱(如 Bastion Host),單擊“打開”。
7.在“導入模板”界面中,導航到 \Security Guide\Job Aids,選擇相關模板。單擊“打開”。
• 分析導入的模板並與當前設置比較
1.突出顯示 Microsoft 管理單元中的“安全配置和分析”,單擊“操作”菜單,並選擇“立即分析計算機”。
2.單擊“確定”,接受默認的“錯誤日志文件路徑”。
3.完成分析後,展開節點標題對結果進行研究。
• 應用安全模板
1.突出顯示 Microsoft 管理單元中的“安全配置和分析”,單擊“操作”菜單,選擇“立即配置計算機”。
2.單擊“確定”,接受默認的“錯誤日志文件路徑”。
3.在 Microsoft 管理控制台,單擊“文件”,然後選擇“退出”關閉“安全配置和分析”。