下面是Jonathan Hassell的強化Windows系列網絡直播講座的三個一覽表之一。這個講座共分六講,每次10分鐘,旨在幫助你迅速和正確地鎖定Windows。 許多產品隨著功能的強大而日益復雜,組策略也不例外。Windows管理員要浪費很多時間查找組策略中的毛病。如果你的活動目錄充滿了部署不一致、冗余或者不適當的組策略對象(GPO),“這個系統中的這個策略為什麼沒有效果?”或者“我以為我關閉了IPsec!”等問題的答復就很難找到依據。 正確設置組策略的最困難的地方是規劃和制定策略。Windows負責管理在客戶計算機上的應用。這個功能使組策略成為誘人的管理工具。但是,5自學網,這種使用的方便性是一把雙刃劍。配置訪問控制列表或者修改設置很容易出錯,在計算機域中造成很大的破壞。 更困難的是有時候很難了解更大范圍的情況:很難看到你的活動目錄的布局和結構。不過,通過精心規劃,組策略能夠覆蓋你現有的目錄結構並且以自己的管理邊界補充目錄結構。 遵循下列指南保證正確配置。 強化Windows一覽表:以安全觀念設計組策略 ·在本地編輯你的策略並且定義容納這些策略的邊界 根據地理位置編輯活動目錄很可能與你的系統管理需求不匹配。例如,公司所有職員的筆記本電腦都需要IPsec功能,但是,所有的公司職員並不一定都在紐約的辦公室。或者所有的中層管理人員可能都要使用定制的互聯網浏覽器。這種浏覽器不會關閉這些管理人員的互聯網接入功能,並且在這個域名中的所有的電腦都采用這缺省的設置。你必須詳細制定你需要的限制措施,然後定義這些策略應用的界限。這樣即使地理邊界和管理邊界不匹配,自學教程,也能使這個策略更容易適用於目標用戶和計算機。 ·在這些邊界中,配置代表機構統一需求的策略 你是否對財務部門的工作站采用如下設置,經過三次登錄系統失敗之後,計算機就鎖死?你的網絡中的特殊域名是否需要額外的台式電腦限制,是不是不允許這些台式電腦運行控制面板?這些策略規定可能聽起來相同。把這些策略組合起來,為每一套策略設置創建一個組策略對象。 ·配置組織單元,各個單元裡的計算機具有相似的任務或功能 Windows默認的域控制器存在於活動目錄中獨立的組織單元中。你可以考慮把台式電腦、筆記本電腦和服務器都放在他們自己的組織單元中,就像要求使用加密文件系統一樣(EFS),更容易只對筆記本電腦部署策略。
