本模块介绍了将组策略应用于Windows Server 2003和Windows 2000 Server 域中的Windows XP Professional 客户端所需的概念。
支持安全管理的 OU 设计
OU 是 Active Directory 域中的容器。OU 可以包含用户、组、计算机和其他组织单位,它们都称为子 OU。可以将 GPO 链接到 OU,它是 Active Directory 层次结构中的最低容器。还可以将管理权限委派给 OU。OU 提供了对用户、计算机和其他安全主体进行分组的简便方法,还提供了划分管理边界的有效方法。将用户和计算机分配给单独的 OU,因为某些设置只适用于用户,而某些则只适用于计算机。
可以使用委派向导来委派对一个组或单个 OU 的控制,委派向导可以作为 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元工具的一部分获得。有关委派权限的文档的链接,请参阅本模块结尾的“其他信息”部分。
为任何环境设计 OU 结构的一个主要目标是,为创建覆盖 Active Directory 中驻留的所有工作站的无缝组策略实现提供基础,同时确保它们符合组织的安全标准。设计 OU 结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。例如,可以允许开发人员对工作站进行一般用户无权进行的操作。便携式计算机用户与台式计算机用户相比,安全要求也可以略有不同。下图说明了足以用来讨论本模块中的组策略的简单 OU 结构。此 OU 的结构可能与您的环境的组织要求不同。
图 2.1 Windows XP 计算机的 OU 结构 部门 OU 由于组织内的安全要求经常变化,很有必要在环境中创建部门 OU。部门安全设置可以通过 GPO 应用于各自部门 OU 中的计算机和用户。
安全的 XP 用户 OU 此 OU 包含同时参与企业客户端环境和高安全级环境的用户的帐户。模块 4“Windows XP 管理模板”中的“用户配置”部分中讨论了对此 OU 应用的设置。
Windows XP OU 此 OU 包含环境中每种 Windows XP 客户端的子 OU。在这里,包含了用于台式计算机和便携式计算机客户端的指南。出于此原因,已经创建了台式计算机 OU 和便携式计算机 OU。
台式计算机 OU:此 OU 包含始终连接到公司网络的台式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。
便携式计算机 OU:此 OU 包含不始终连接到公司网络的移动用户的便携式计算机。模块 3“Windows XP 客户端安全设置”和模块 4“Windows XP 管理模板”中详细讨论了对此 OU 应用的设置。
京公网安备 11010802021500号