配置Active Directory域基础结构(2)

    支持安全管理的 GPO 设计
　　使用 GPO 确保特定设置、用户权限和行为应用于 OU 中的所有工作站或用户。通过使用组策略（而不是使用手动步骤），可以很方便地更新大量将来需要额外更改的工作站或用户。使用 GPO 应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。
　　 　 图 2.2 GPO 应用顺序
　　上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后，依次在站点级别和域级别应用任何 GPO。
　　
　　对于几个 OU 层中嵌套的 Windows XP 客户端，在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序（本地策略、站点、域、父 OU 和子 OU）非常重要，因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同，唯一区别是用户帐户没有本地安全策略。
　　
　　当设计组策略时请记住下列注意事项。
　　
　　管理员必须设置将多个 GPO 链接到一个 OU 的顺序，否则，默认情况下，将按以前链接到此 OU 的顺序应用策略。如果在多个策略中指定了相同的顺序，容器的策略列表中的最高策略享有最高优先级。
　　
　　可以使用“禁止替代”选项来配置 GPO。选择此选项后，其他 GPO 不能替代为此策略配置的设置。
　　
　　可以使用“阻止策略继承”选项来配置 Active Directory、站点、域或 OU。此选项阻止来自 Active Directory 层次结构中更高的 GPO 的 GPO 设置，除非它们选择了“禁止替代”选项。
　　
　　组策略设置根据 Active Directory 中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下，可能需要根据计算机对象的位置（而不是用户对象的位置）对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息，请参阅本模块的“其他信息”部分中列出的组策略白皮书。
　　
　　下图展开了基本 OU 结构，以显示如何对运行 Windows XP 且属于便携式计算机 OU 和台式计算机 OU 的客户端应用 GPO。
　　 　 图 2.3 展开的 OU 结构，包含运行 Windows XP 的台式计算机和便携式计算机的安全 GPO
　　在上例中，便携式计算机是便携式计算机 OU 的成员。应用的第一个策略是运行 Windows XP 的便携式计算机上的本地安全策略。由于此例中只有一个站点，所以站点级别上未应用 GPO，将域 GPO 作为下一个要应用的策略。最后，应用便携式计算机 GPO。
　　
　　注意：台式计算机策略未应用于任何便携式计算机，因为它未链接到包含便携式计算机 OU 的层次结构中的任何 OU。另外，安全的 XP 用户 OU 没有对应的安全模块（.inf 文件），因为它只包括来自管理模块的设置。
　　
　　作为 GPO 之间优先级如何起作用的示例，假设“通过终端服务允许登录”的 Windows XP OU 策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机 GPO 设置被设置为“Power Users”和“Administrators”组。在此情况下，帐户位于“Power Users”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机 OU 是 Windows XP OU 的子级。如果在 Windows XP GPO 中启用了“禁止替代”策略选项，只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。
　　
　　安全模板
　　组策略模板是基于文本的文件。可以使用 MMC 的安全模板管理单元，或使用文本编辑器（如记事本），来更改这些文件。模板文件的某些章节包含由安全描述符定义语言 (SDDL) 定义的特定访问控制列表 (ACL)。有关编辑安全模板和 SDDL 的详细信息，请参阅本模块中的“其他信息”部分。
　　
　　安全模板的管理
　　将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下，安全模板存储在所有运行 Windows XP 和 Windows Server 2003 的计算机的 %SystemRoot%\security\templates 文件夹中。
　　
　　此文件夹不是跨多个域控制器复制的。因此，您需要选择一个域控制器来保存安全模板的主副本，以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。
　　
　　导入安全模板
　　使用下列过程导入安全模板。
　　
　　将安全模板导入 GPO：
　　1.导航到组策略对象编辑器中的“Windows 设置”文件夹。
　　2.展开“Windows 设置”文件夹，然后选择“安全设置”。
　　3.右键单击“安全设置”文件夹，然后单击“导入策略...”。
　　4.选择要导入的安全模板，然后单击“打开”。文件中的设置将导入到 GPO 中。