组策略是在Windows 2000/XP域中用于控制用户和计算机桌面环境的基于活动目录的机制,针对安全、软件安装记忆脚本的设置都可以通过组策略进行。组策略可以根据对象在活动目录中的位置而应用于用户组或者计算机。
组策略的设置存储在域控制器的GPO(Group Policy objects,组策略对象)中,GPO连接到活动目录结构的各种容器(站点、域以及OU)中。因为组策略与活动目录的集成非常紧密,因此在实施组策略前对活动目录结构与安全有一个基本认识是很有必要的。
组策略是保证Windows XP安全的基本工具,它可以被用来应用和维持网络中所有计算机的策略配置的一致性。
概述
Windows XP组策略中引进了以前没有包括在Windows 2000中的新特性,然而Windows 2000域控制器同样可以通过活动目录给Windows XP客户端发布组策略设置。
为了使用Windows XP中所有新特性,GPO必须在运行Windows XP的计算机上编辑。管理员还可以在Windows 2000域控制器上进行后期的GPO管理(把GPO链接到域或者OU)。如果GPO被应用到同时包含Windows XP和Windows 2000客户端的域,Windows 2000将会忽略仅针对Windows XP的新设置,而仅应用可以被Windows 2000应用的设置,Windows XP计算机则会应用所有的设置。在将GPO应用到Windows 2000域之前请参阅Guide to Securing Microsoft Windows 2000 Group Policy。同时,还可以参阅“Upgrading Windows 2000 Group Policy for Windows XP”:http://support.microsoft.com/support/kb/articles/Q307/9/00.asp
安全设置扩展
从一篇安全报告可以知道,安全设置扩展是组策略中最重要的部分之一。很多与安全相关的设置都是在安全设置中进行的,安全设置允许管理员巩固很多与安全相关的对象,并通过组策略和活动目录把它们应用到任意一台运行着Windows XP的计算机。
安全设置扩展位于GPO的计算机配置\Windows设置\安全设置的路径下,并可以通过MMC的组策略组件访问。安全设置是针对计算机的,而不是专门针对某个用户,同时也包括了安全模板中所有的安全区域(例如账户策略、本地策略等),除此之外还有活动目录的公钥策略以及IP安全策略。
创建 Windows XP GPO
Windows XP GPO必须在运行Windows XP的机器上编辑,要打开或创建一个GPO,可以在一个已经加入了域的运行Windows XP的计算机上进行如下操作:
运行微软管理控制台(mmc.exe)
选择控制台- 添加/删除组件
点击添加
选择组策略
点击添加
出现一个选择组策略对象窗口,在组策略对象选项下,默认会显示本地计算机,要编辑GPO,点击浏览按钮在域中,定为到要应用GPO的容器,容器显示后,选择一个已经存在的GPO或者点击窗口顶端的第二个按钮新建一个GPO,然后选中这个GPO
点击确定
点击关闭
点击确定
导入安全模板到GPO中
要把已存在的安全模板导入到Windows XP GPO,可进行如下操作:
在组策略组件中,定位到计算机配置\Windows设置\安全设置
在导入模板前展开安全设置节点,图12显示了展开后的安全设置扩展