附录 B:访问策略最佳方案 ASP 的组策略对象 (GPO) 的最佳配置方案 在基于 Windows 2000 Active Directory 的 ASP 企业环境中工作时,认真设计策略非常重要,它可以最大程度地减少冗余和重新定义,并最大程度地增加可管理性。遗憾的是,这两个目标可能发生矛盾。要减少冗余和重新定义,ASP 应当设法定义非常详尽的 GPO。而增加可管理性,ASP 的 GPO 数目应当少。减少与各种范畴相关的 GPO 数对性能也很关键。要达到平衡,需花费一定的时间来设计 ASP 的基本结构中的策略规划。
完成一个有组织规划的步骤包括:
将策略进行逻辑分组。例如,帐号策略组成一个逻辑组。 用包含可能的策略值的不同策略设置,为每个逻辑分组定义一个或多个 GPO。例如,可以有一个包含不同域的帐号策略的 GPO 和另一个针对服务器和桌面上本地帐户的 GPO。 使用组织单元 (OU) 将计算机分到层次树结构中。这种划分应当依据角色 — 即各台计算机的目的和功能。例如,默认情况下,所有域控制器应放在域控制器 OU 中,以使它们具有一致的策略。 通常,每个 OU 应当映射到对整个 OU 中所有计算机都适用的某个策略。这可能非常棘手,因为 OU 可定义 ASP 的管理层次以及 ASP 的地理分布。但是,ASP 的策略定义时常会覆盖公司和地理分布。
当 ASP 想要将策略应用到整个 ASP 组织的计算机子集时,ASP 可执行下列操作:
在 ASP 的不同部分创建子 OU,以便将特定的策略分配给这些子 OU 中的每一个。 如果 ASP 不想创建纵深的 OU,他可用 GPO 的基于权限的筛选机制来确定在给定的 OU 中特定的 GPO 适用于哪些计算机。 安全策略的优先顺序 了解与 Active Directory 域和 OU 相关的安全策略的优先顺序非常重要,因为它们优先于本地级别建立的策略。与 Active Directory 域和 OU 相关的 ASP 安全策略的默认优先顺序通常和组策略相同。从最低到最高的优先顺序如下:
本地策略 域策略 OU 策略 本地策略(对计算机本身定义的策略)优先级最低,而与直接包含计算机的 OU 相关策略的优先级最高。
因此,域的策略优先于本地定义的策略。了解这一点很重要,因为它所导致的结果与以前版本 Windows NT 中所看到的现象大不相同。例如,配置域 OU 的密码策略时(如同默认情况),对该域中的每台计算机都配置了这些密码策略。这意味着域中的本地帐户数据库(个别工作站上)具有和域本身一样的密码策略。在 Windows NT 4.0 中,为域定义的密码策略不影响成员工作站和服务器上的本地帐户数据库的密码策略。
访问控制 Active Directory 可大大简化在容器、组、用户、计算机和其它资源对象的整个树层次内分配权限和特权的分发工作。
要想充分利用这一点,需按下列常用规范操作:
在组的基础上分配用户权限。 依赖于组分配的继承性。由于直接维护用户帐户效率不高,因而一般不在用户的基础上分配权限。 尽量在容器数的高处指定权限。这样可以用最少的工作量获得最好的效果。建立的权限应当适合多数安全规则。 应用继承性在整个容器树中传播权限。就像在树的较高级别应用访问控制可提供范围广度一样,继承可提供深度访问。ASP 可快速有效地将访问控制应用到父对象的所有子对象。 将容器的管理委派给管理这些容器所在计算机的 ASP 和客户管理员。通过委派授权来管理容器的权限,ASP 可分散管理操作和问题。这样,通过分配离服务点更近的管理,可以降低总拥有成本。 在 ASP 中部署 Windows 2000 时,它们必须针对正在使用的默认安全级别。 Windows 2000 对全新安装的系统定义三种安全级别 — Users、Power Users 和 Administrators。默认情况下,所有最终用户(内部和客户)都是“Users”组的成员,如果 ASP 只打算运行认证的 Windows 2000 的应用程序,这是可行的。但是,如果 ASP 需要支持未经 Windows 2000 认证的应用程序,则他们必须进行下列操作: 使所有最终用户都成为“Power Users”而不是“Users”。 修改默认的安全设置来增加授予“Users”的权限。 这些步骤中的任何一个都可作为整个 ASP 安全策略的一部分来实施,或作为安装过程的一部分应用于个别计算机。与 Windows 2000 Server 一起提供了一个安全模板,它为用户“设立”适当的安全级别。
该模板位于:systemroot\security\templates\compatws.inf
对于从 Windows NT 升级到 Windows 2000 的计算机,还有其它方面的问题。
在升级期间不修改安全性,因此升级后,未经 Windows 2000 鉴定的应用程序无需修改即可继续运行。 如果 ASP 想升级计算机来使用新的 Windows 2000 安全默认值,则在下列目录中提供 Windows 2000 默认的安全设置:systemroot\security\templates\basicwk.inf.