Windows 2000 中的域安全性策略

 

适用于

概要

在 Microsoft Windows NT Server 4.0 中，概念“域安全性策略”是指对域的安全配置至关重要的一组关联项。 它们包括：

• 用户密码，或控制用户帐户将如何使用密码的帐户策略。
• 控制在安全日志中要记录哪些事件类型的审核策略。
• 用户权限被应用到组或用户，并影响在单个工作站、成员服务器或域内所有域控制器上所允许的活动。

在 Windows 2000 中，Microsoft 已将这些组件重新配置为一个一致的层次结构或工具，即“组策略编辑器”中的“安全措施设置”管理单元。 如果想知道要更改的正确组策略，这一点很有用。

更多信息

要配置专门针对跨域的安全设置，请使用“组策略编辑器”管理单元，其中心设置为“默认域策略”组策略对象 (GPO)：

1. 单击开始，指向程序，指向管理工具，然后单击 Active Directory 用户和计算机。
2. 右键单击相应的域对象，然后单击属性。
3. 单击组策略选项卡查看当前链接的组策略对象。
4. 单击默认域策略 GPO 链接，然后单击“编辑”。

启动“组策略编辑器”管理单元之后，可以从下列节点访问域安全策略：

控制台根节点\“默认域策略”\计算机配置\Windows设置\安全设置

在层次结构中的该点上，可以获得下列节点：

帐户策略

• 密码策略
• 帐户锁定策略
• Kerberos 策略

本地策略

• 审核策略
• 用户权利指派
• 安全选项
  • 事件日志
  • 受限制的组
  • 系统服务
  • 注册表
  • 文件系统
  • Active Directory 上的 IP 安全性策略
  • 公钥策略

“组策略”是通过使用“组策略对象”来进行管理的，组策略对象是在指定的层次结构中被附加到所选 Active Directory 对象（如站点、域或组织单位）上的数据结构。 这些 GPO一旦创建，就会按以下标准顺序被应用： LSDOU，它表示 (1) 本地，(2)站点，(3)域，(4)组织单位，后面的策略高于前面所应用的策略。

如果计算机加入到实施了 Active Directory 和组策略的域中，就将处理一个本地组策略对象。 注意，即使已指定“阻止策略继承”选项，也会处理本地组策略对象策略。

首先处理本地组策略对象，然后处理域策略。 如果计算机加入到域中，并在域和本地计算机策略之间发生冲突，那么，域策略将胜出。 但是，如果计算机不再属于某个域，将应用本地组策略对象。

这篇文章中的信息适用于:

• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server

最近更新:	2004-3-25 (3.0)
关键字:	kbinfo kbnetwork kbtool KB221930