如何创建域控制器 GPO 并导入 Exchange 域控制器基线策略模板

 

上一次修改主题: 2006-12-05

本主题说明如何创建域控制器组策略对象 (GPO) 并导入 Exchange 域控制器基线策略模板到 GPO。您可以从 Microsoft Exchange Server 2003 Security Hardening Guide(Exchange Server 2003 安全强化指南)下载 Exchange 域控制器基线策略模板 (Exchange_2003-DC_Incremental_V1_1.inf)。

下表列出了 Windows Server 2003 域控制器基线策略与 Exchange 2003 域控制器基线策略之间的不同点。该表之后是每个不同点的详细说明。

Windows Server 2003 域控制器基线策略与 Exchange 2003 域控制器基线策略之间的不同点

选项 Windows Server 2003 域控制器基线策略 Exchange 2003 域控制器基线策略

禁用 SAM 帐户和共享的匿名枚举

启用

禁用依赖于默认权限,因为 Outlook 2003 之前的 Outlook 版本需要匿名连接。

如果无法记录安全审核则立即关闭系统

启用

禁用

帐户登录事件审核

成功和失败

失败

登录事件审核

成功和失败

失败

  • 对匿名连接的其他限制
    Exchange Server 2003 中的匿名限制设置不同于 Windows Server 2003 中的匿名限制设置,因为 Outlook 2000 和 Outlook 2002 客户端以匿名方式联系全局编录服务器以获取信息。由于 Windows Server 2003 Security Guide中指定的设置限制对全局编录服务器的匿名查询,因此 Outlook 2000 和 Outlook 2002 用户无法发送内部邮件,并且必须使用外部地址。但是,由于 Outlook 2003 需通过全局编录服务器的身份验证,因此不必在纯 Outlook 2003 环境中放宽此安全设置。
    note注意:
    有关此问题的详细信息,请参阅 Microsoft 知识库文章 309622,应用了 Q299687 Windows 2000 安全修补程序后,客户端无法浏览全局通讯簿
  • 如果无法记录安全事件则立即关闭系统
    由于在登录失败的情况下(如密码输入错误),失败事件可能会迅速填充到日志中,因此禁用此设置。
  • 帐户登录事件审核和登录事件审核
    由于 Exchange Server 2003 在正常运行期间会产生大量的成功登录事件,因此修改了帐户登录事件和登录事件审核设置。如果对登录事件启用了成功审核,则成功事件会迅速填充到安全日志中;因此,Exchange 域控制器基线策略仅记录失败事件。

如果要通过“组策略”属性页将 Exchange 2003 DC Incremental.inf 文件导入到“域控制器”组织单位中,那么部署 Exchange 域控制器基线策略模板是最有效的方式。

“组策略”选项卡上的策略的顺序决定了应用策略的顺序;因此,将 Exchange 域控制器基线策略置于 Windows Server 2003 域控制器基线策略之上很重要。

强烈建议在执行下列步骤之前,阅读强化 Exchange 2003 服务器的安全性

  1. 在 Active Directory 用户和计算机中,用鼠标右键单击“域控制器”,再单击“属性”。

  2. 在“组策略”选项卡上,单击“新建”以添加新的组策略对象。

  3. 键入“Exchange DC 策略”,然后按 Enter。

  4. 单击“编辑”。“组策略编辑器”打开。

  5. 在“组策略编辑器”中的“计算机配置”下,展开“Windows 设置”,用鼠标右键单击“安全设置”,再单击“导入策略”。

    note注意:
    如果菜单上未出现“导入策略”,请关闭“组策略编辑器”,然后重复步骤 4 和步骤 5。
  6. 在“策略导入来源”中,导航到保存 Exchange 组策略安全模板的目录,然后双击 Exchange 2003DC Incremental.inf

  7. 关闭“组策略编辑器”,然后单击“确定”。

  8. 在“域控制器属性”中,选择“Exchange DC 策略”,单击“向上”,直到“Exchange DC 策略”位于列表的顶部,再单击“应用”,然后单击“确定”。

  9. 导入策略后,必须等待该策略复制到其他域控制器,或者使用 Active Directory 站点和服务 MMC 管理单元来强制执行复制过程。复制确保了所有域控制器都更新了此策略。

    note注意:
    虽然通过复制应用了此策略,但必须重新启动服务器才能使策略生效。
  10. 在事件日志中,要确认策略是否已成功下载,请搜索这样的应用程序信息事件:SceCli 1704。然后,验证服务器是否可以与域中的其他域控制器通信。

  11. 每次重新启动一个域控制器,以确保每次重新启动都成功,并且策略已生效。

 
显示: