配置Active Directory域基础结构(1)

    本模块内容

　　本模块介绍了将组策略应用于Windows Server 2003和Windows 2000 Server 域中的Windows XP Professional 客户端所需的概念。组策略是 Microsoft Active Directory 目录服务的一个功能，它使管理员可以更改用户和计算机设置以及管理配置，但是，在将组策略应用于环境中的 Windows XP Professional 客户端之前，需要在域中执行某些基本步骤。
　　
　　组策略是确保 Windows XP 安全的重要工具。本模块提供有关如何使用组策略从中心位置在整个网络中应用和维护一致安全策略的详细信息。
　　
　　本指南为企业环境和高安全级环境提供选项。对于台式计算机和便携式计算机客户端，本模块中建议的设置是相同的。
　　
　　目标

　　使用本模块可以实现下列目标：
　　
　　描述 Active Directory 如何应用组策略对象
　　
　　设计组织单位结构以支持安全管理
　　
　　设计组策略对象以支持安全管理
　　
　　对安全模板进行管理

　　对管理模板进行管理

　　使用组策略实现有效的密码策略
　　
　　使用组策略实现有效的帐户锁定策略
　　
　　确定哪些用户可以向域中添加工作站
　　
　　确保在允许的登录时间结束时注销用户
　　
　　使用组策略管理工具来更新策略和查看组策略应用的结果
　　
　　适用范围

　　本模块适用于下列产品和技术：
　　
　　Windows Server 2003 域中的 Windows XP Professional 客户端
　　
　　Windows 2000 域中的 Windows XP Professional 客户端
　　
　　如何使用本模块

　　本模块提供了一种方法，并描述了使用组策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中确保 Windows XP Professional 客户端的安全所需的步骤。
　　
　　为了充分理解本模块内容，请阅读“Windows XP 安全指南简介”。该模块定义了在此模块中引用的企业客户端环境和高安全级环境。
　　
　　使用检查表。本指南的“检查表”部分中的检查表“配置 Active Directory 域基础结构”提供了可打印的作业指导，以供快速参考。使用基于任务的检查表可以快速评估需要哪些步骤并帮助您逐步完成各个步骤。
　　
　　使用随本指南提供的“Windows XP 安全指南设置”电子表格。它可以帮助您将环境中所做的设置编制为文档。
　　
　　使用附带的解决方法。本指南引用下列指导文章（均为英文）：
　　
　　“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”
　　
　　“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”
　　
　　组策略

　　组策略是 Microsoft? Active Directory? 目录服务的一个功能，可用来更改用户和计算机设置，以及 Microsoft Windows Server 2003? 和 Microsoft Windows? 2000 Server 域中的配置管理。但是，在将组策略应用于环境中的 Microsoft Windows XP Professional 客户端之前，需要在域中执行某些基本步骤。
　　
　　组策略设置存储在环境中域控制器上的组策略对象 (GPO) 中。GPO 链接到容器，这些容器包括 Active Directory 站点、域和组织单位 (OU)。由于组策略与 Active Directory 紧密集成，在实现组策略之前有必要对 Active Directory 结构和在其中配置不同设计选项的安全含义进行基本的了解。有关 Active Directory 设计的详细信息，请参阅“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”（英文）。
　　 　 表 2.1：基准安全模板