規劃整合到 Active Directory 環境

Client Security 使用原則以定義受管理電腦上 Client Security 代理程式的設定。這些原則決定何時執行惡意程式碼與 SSA 掃瞄、何時發出警示、何時下載定義更新,以及您的使用者對於 Client Security 設定的控制能力。

您可以使用 Client Security 主控台,將原則部署至網域、組織單位 (OU)、安全性群組,或現有的群組原則物件 (GPO)。

Bb418825.note(zh-tw,TechNet.10).gif附註
Client Security 原則套用於電腦等級,而非使用者等級。

將用戶端電腦指派到 OU 或 Active Directory 中的安全性群組時,您可以使用主控台將原則部署至特定 OU 或安全性群組。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
用戶端電腦一次只能部署一個 Client Security 原則。如果您將 Client Security 原則部署至已經部署 Client Security 原則的 OU 或安全性群組,則原來的原則將從 OU 或安全性群組中移除。例如,如果您將 Client Security 原則 A 部署至 OU 1 與 OU 2,然後將 Client Security 原則 B 部署至 OU 1,則原則 A 將從 OU 1 中移除。

如需在 Client Security 中使用原則的詳細資訊,請參閱《Client Security 系統管理員指南》中的使用原則 (http://go.microsoft.com/fwlink/?LinkId=88415)(英文)。如需群組原則的詳細資訊,請參閱 Windows Server 2003 群組原則 (http://go.microsoft.com/fwlink/?LinkId=73340)(英文)。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
您不應使用 GPMC 來管理 Client Security 所建立並用於部署至網域、OU 或安全性群組的原則。如此可能遺失原則內的資訊,並發生其它重大錯誤。
Bb418825.note(zh-tw,TechNet.10).gif附註
除了使用 Active Directory 群組原則以部署 Client Security 原則之外,您也能將 Client Security 原則部署至檔案,並使用 fcslocalpolicytool.exe 將它們處理至受管理電腦的本機原則中。Client Security 不支援在同一部目標電腦上使用檔案部署方法與 GPO 部署方法。

規劃 Client Security 的部署時,您必須考慮 Active Directory 內的目前組織單位結構。

Active Directory 內的群組原則可以連結至 Active Directory 站台、網域與 OU。OU 是 Active Directory 中等級最低的容器,用於依據系統管理與群組原則的需求,以組織電腦、使用者與群組。OU 除了提供在 OU 內建立 OU 巢狀結構的功能之外,也能包含電腦、使用者與群組。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
不支援於站台等級的部署 Client Security 原則。

群組原則是依據 Active Directory 中目標使用者或電腦的 OU 位置而繼承。下圖說明群組原則的繼承順序。

Active Directory 群組原則繼承

最接近目標電腦的 GPO 優先於在組織結構中較遠的 GPO。

因為 Client Security 將群組原則用於部署 Client Security 原則,所以您的 OU 結構會影響設定 Client Security 原則的方式。Client Security 原則作為單一不同的單位來套用;它們作為一個整體來套用與更換。因此,Client Security 原則的繼承是完全覆寫。例如,請考慮下列說明。

Client Security 原則繼承

受管理電腦 1 位於 OU 2 內。Client Security 系統管理員已建立 Client Security 原則,並將它們連結至 OU 1 與 OU 2。但是因為 Client Security 原則是做為不同的單位來套用,受管理電腦 1 的有效 Client Security 原則將是 Client Security 原則 2。

如上述範例中的說明,OU 能包含 OU;這稱為 OU 巢狀結構。例如,您可能擁有的 OU 包含需要兩種不同 Client Security 設定的電腦。您可在父系 OU 內建立巢狀 OU,將每一電腦移動到合適的子系 OU 中,然後將 Client Security 原則部署至子系 OU。您的目標電腦與 OU 結構的組織越好,部署 Client Security 原則就越簡單。

建立巢狀 OU 的替代方法是使用 Client Security 原則的安全性群組部署方法。此部署方法使用在群組原則中負責篩選的安全性群組的功能。透過選取 Client Security 主控台 [部署] 對話方塊內的 [新增群組],您選取將被賦予對 Client Security 原則 [讀取] 與 [套用群組原則] 的權限。

使用安全性群組部署方法的結果,是 Client Security 原則部署至選定網域的根,Authenticated Users 預設群組從存取控制清單中移除,以 [新增群組] 按鈕所選定的群組被新增到存取控制清單中,並被賦予 [讀取] 與 [套用群組原則] 權限,原則被標示為 [已執行]。在 GPMC 中,您可以選取 [網域] 之下的網域名稱,以確認此行為。Client Security 原則將列於網域名稱之下,並命名為 FCS-policyname-{guid}-deploymentmethod

在某些狀況下,您可能必須將不同的 Client Security 原則部署至共用一個或多個成員的安全性群組。在此狀況下,網域的 GPO 連結順序將決定受管理電腦會接收到哪一個 Client Security 原則。連結順序是在 GPMC 中管理。

若要測試 GPO 的連結順序
  1. 在 GPMC 中,選取樹狀目錄中的 domainame

  2. 在結果窗格中,[連結的群組原則物件] 索引標籤上,選取 GPO 以便優先,並使用雙向下箭頭按鈕將它移動到清單底部。

最低連結順序的 GPO 將最後處理,因此為最優先。結果,最低連結順序的 GPO 就成為受管理電腦的 Client Security 原則。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
請勿將其它設定新增至 Client Security 建立的 GPO。沒有部署 Client Security 原則時,Client Security 建立的 GPO 將從 Active Directory 中刪除,您也會遺失新增至 Client Security 建立的 GPO 的任何設定。而且,如果 Client Security GPO 包含其它設定,修改 GPO 的連結順序可能造成嚴重後果。

如需關於 Client Security 原則的群組原則部署的詳細資訊,請參閱《Client Security 系統管理員指南》中的使用原則 (http://go.microsoft.com/fwlink/?LinkID=88415)(英文)。

您可以使用 GPMC 內的 [封鎖繼承] 功能,防止從父系容器繼承 GPO。[封鎖繼承] 允許您以較高等級防止 GPO 被繼承。被封鎖的 OU 與其中的所有巢狀 OU,其繼承被封鎖。但是,被標示為 [已執行] 的任何 GPO 將仍然被繼承。

[已執行] 允許較高等級的系統管理員能確認即使已啟用 [封鎖繼承],GPO 仍套用至繼承樹狀結構當中較低的所有目標。標示為 [已執行] 的任何 GPO 將被繼承至繼承路徑內的所有 OU。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
請小心使用此設定;GPO 內與較低等級 GPO 內的設定相衝突的任何設定,將會覆寫那些較低等級 GPO。
Bb418825.note(zh-tw,TechNet.10).gif重要事項
過度使用 [封鎖繼承] 與 [已執行] 可能會使未來必須完成的任何群組原則疑難排解複雜化。請選擇性使用這些選項。

在 Client Security 主控台中部署 Client Security 原則時,[新增 OU] 按鈕允許系統管理員選取目標 Active Directory 網域或 OU。此選擇程序事實上執行兩個獨立的功能:建立 GPO,並將新建立的 GPO 連結至目標 OU。為順利完成這項工作,Client Security 系統管理員必須擁有權限以建立 GPO,並將 GPO 連結至相關 OU。

Bb418825.note(zh-tw,TechNet.10).gif重要事項
不支援將 Client Security 原則部署至連結站台的 GPO。GPO 可以連結至一個以上的容器;在部署至選定的 GPO 之前,請確認它沒有連結至站台。部署至連結站台的 GPO 可能會產意外的結果,例如將 Client Security 部署至非目標的電腦或伺服器。

可使用 Active Directory 來賦予建立與連結 GPO 的權限。第一項權限,建立 GPO,是藉由將使用者帳戶新增至 Active Directory 內群組原則建立者擁有者群組來賦予。將使用者新增至此群組,將會賦予他們建立 GPO 的能力。群組原則建立者擁有者群組內的成員建立 GPO 之後,該成員就成為該 GPO 的擁有者,而且擁有完整控制能力。但是,群組原則建立者擁有者群組的成員資格,並不賦予使用者任何其它權限或權利;使用者只對於他們建立的 GPO 具有完整控制能力。此外,他們無法將建立的 GPO 連結至任何容器。

您能賦予將現有 GPO 連結至 GPMC 內網域或 OU 的能力。

若要允許連結 GPO 的能力
  1. 在 GPMC 中,瀏覽並選取您要 GPO 連結的網域或 OU。

  2. 在結果窗格中,按一下 [委派] 索引標籤,確認 [連結 GPO] 權限顯示於 [權限] 清單方塊中。

  3. 按一下 [新增] 按鈕,並在 [選取使用者、電腦或群組] 對話方塊中,輸入使用者帳戶或群組名稱。按一下 [確定]。

  4. 在 [新增群組或使用者] 對話方塊中的 [權限] 下拉式清單方塊中,選取您要為此群組或使用者而將權限套用到的等級,然後按一下 [確定]。

賦予建立與連結 GPO 的能力,具有安全性的意義。惡劣的 GPO 系統管理員可能會刪除先前建立的 GPO,而將 GPO 惡意連結至錯誤的 OU,或以不良意圖建立 GPO。

我們強烈建議您,審慎考慮要被賦予這些權限的對象,以及所賦予權限的範圍。例如,如果 Client Security 系統管理員只需要將 Client Security 原則部署至某些 OU 的能力,則賦予該使用者將 GPO 僅連結至那些相關 OU 的能力就是適當的安全性決策。

賦予非網域系統管理員在網域中建立與連結 GPO 的能力,可能不適當。在此狀況下,Client Security 可使用現有 GPO 以部署其設定。[新增 GPO] 按鈕允許系統管理員選取現有 GPO,以便將 Client Security 原則併入。

按一下 [新增 GPO] 按鈕,將 Client Security 原則設定併入現有的 GPO 中;若要順利完成此工作,部署 Client Security 原則的使用者必須擁有權限以編輯目標 GPO。

若要賦予編輯 GPO 的權限
  1. 在 GPMC 中,瀏覽至樹系名稱/網域/網域名稱/群組原則物件。

  2. 選取 [群組原則物件] 之下的合適 GPO,然後按一下結果窗格內的 [委派] 索引標籤。

  3. 按一下 [新增] 按鈕,並在 [選取使用者、電腦或群組] 對話方塊中,輸入使用者帳戶或群組名稱。按一下 [確定]。

  4. 在 [新增群組或使用者] 對話方塊的 [權限] 清單中,從下拉式清單中選取合適的權限,然後按一下 [確定]。

Active Directory 環境能在稱為樹狀結構的信任關係中,包含多個網域。此網域的樹狀結構,可以是稱為 Active Directory 樹系的信任關係中的許多樹狀結構之一。GPO 是在網域中建立,而且僅在它們在當中被建立的網域的網域控制站之間複寫。GPO 可在樹狀結構或樹系中的網域之間共用,但是它們仍位於它們在當中被建立的網域內。因為應用程式中的延遲,我們不建議您透過跨網域部署 GPO 來部署 Client Security 原則。而應為該網域內的網域建立 GPO。這也賦予您獨立管理每一網域的 Client Security 設定的能力。

顯示: