Windows 2000 安全性設定工具

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
Windows 2000 安全性原則
其他的安全性設定介面

本單元內容

本單元對 Microsoft® Windows® 2000 作業系統在進行基礎標準安裝時,所使用變更安全性設定的工具,提供一個概觀。本單元僅針對工具本身加以說明,並不包括使用這些工具時所應做的設定。

目標

透過本單元即可:

  • 識別 Windows 2000 安全性設定工具。


適用於

本單元適用於下列產品及技術:

  • Microsoft Windows 2000 作業系統。

  • Microsoft Windows 2000 作業系統安全性設定工具。


如何使用本單元

本單元識別可使用於 Windows 2000 的安全性設定工具。同時也考慮到群組原則的建立和處理。請使用本單元來熟悉這些工具。

若要充分瞭解本單元:

  • 請參閱Windows 2000 安全性設定 >單元。本單元提供詳盡的安全性設定說明文件,可用來增進 Windows 2000 的安全性。

  • 使用隨附的 How To 文件:

    • 《如何在 Windows 2000 中設定和套用安全性範本》


Windows 2000 安全性原則

本節說明不同的安全性原則工具,以及涉及安全性原則的應用程式時,工具的優先順序。在預設的狀況下,群組原則是被繼承及累積的,並且影響在 Microsoft Active Directory® 容器中所有的電腦。您可以使用群組原則物件 (GPO) 來管理群組原則,該物件是依附在選定的 Active Directory 物件上特定階層的資料結構,如站台、網域或組織單位 (OU)。

一旦您建立這些 GPO,它們就會以下列的標準順序套用:LSDOU,代表 (1) 本機,(2) 站台,(3) 網域,(4) 組織單位。較晚套用的原則優先於較早套用的原則。如果有一部電腦加入網域,而發生網域和本機電腦原則衝突的情況,則以網域原則為優先。然而,如果電腦一旦退出網域,本機的群組原則就會再被套用。

當電腦加入一個有執行 Active Directory 和群組原則的網域時,本機 GPO 就會被處理。請注意,即使有指定不要繼承原則選項,本機 GPO 原則仍會被處理。

您可以在預設網域控制站 GPO 中定義整個網域的帳戶原則 (密碼、帳戶鎖定及 Kerberos 原則)。網域控制站 (DC) 的本機原則 (稽核原則、使用者權限指派及安全性選項),則可以在預設網域控制站 GPO 中定義。對 DC 而言,定義在預設 DC GPO 的設定,比定義在預設網域 GPO 的設定,有較高的優先順序。因此,如果在預設網域 GPO 設定使用者權限 (例如,新增網域工作站),對於網域中的 DC 將不會有影響。

另外有選項允許在指定的 GPO 強制執行群組原則,所以可防止在低階 Active Directory 容器的 GPO 覆蓋原則。例如,在網域等級定義特定的 GPO 並指定強制執行該 GPO,然後在 GPO 容器的原則就會套用到網域下所有的 OU; 也就是說,低階容器 (OU) 不能覆蓋網域群組原則。

注意:帳戶原則安全性區域會視其在網域中的電腦上如何生效,而接收到不同的待遇。無論 DC 電腦物件的位置在那裡,在網域中所有的 DC 都會從設定在網域節點上的 GPO 收到它們的帳戶原則。如此可確保執行到所有網域帳戶的帳戶原則是一致的。在網域中所有的非 DC 電腦會遵循標準 GPO 階層來取得本機帳戶原則。在預設的狀況下,成員工作站和伺服器的本機帳戶會執行在網域 GPO 設定的原則設定值,但是,如果在較低領域有另一個 GPO 覆蓋了預設的設定值,那麼那些設定值就會生效。

本機安全性原則

本機安全性原則是用來設定本機電腦的安全性需求。主要是用於單機電腦或是對網域成員套用特定的安全性設定。在 Active Directory 管理的網路中,本機安全性原則設定的優先權最低。

  • 開啟本機安全性原則

    1. 使用管理員權限登入電腦。

    2. 在 Windows 2000 Professional 電腦中,[系統管理工具] 在 [開始] 功能表的選項中預設是不顯示的。在 Windows 2000 Professional 中,如要檢視 [系統管理工具] 功能表選單,請按一下 [開始],然後指向 [設定],再按一下 [工作列及 [開始] 功能表]。在 [工作列及 [開始] 功能表內容] 視窗中,按一下 [進階] 索引標籤。在 [開始功能表設定] 對話方塊中,選取 [顯示系統管理工具]。按一下 [確定] 按鈕來完成設定。

    3. 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],再按 [本機安全性原則]。如此會開啟 [本機安全性設定值] 主控台。

本機安全性設定值

[圖 1]:本機安全性設定值

網域安全性原則

網域安全性原則是用來對網域中所有的電腦設定及傳播安全性需求。對網域中所有的電腦,網域安全性原則會覆蓋本機安全性原則。

  • 開啟網域安全性原則

    1. 開啟Active Directory 使用者和電腦嵌入式管理單元。

    2. 在要檢視原則的組織單位或網域上按滑鼠右鍵,再按 [內容]。例如,要檢視網域安全性原則,在 [網域] 上按滑鼠右鍵。要檢視網域控制站原則,在 [網域控制站] OU 上按滑鼠右鍵。

    3. 按一下 [群組原則] 索引標籤。

    4. 按一下 [編輯] 按鈕。

    5. 展開 [Windows 設定]。

    6. 安全性設定顯示在安全性設定樹狀目錄中。

組織單位群組原則物件

在網域中應該使用 OU 來管理安全性原則。網域中已經有網域控制站 OU 了。然而,您可依需要定義其他的 OU。例如,您應該在網域等級套用基準線設定,然後在 OU 等級套用特定的設定。如此一來,您就可以建立一個工作站 OU 並將所有的工作站放入其中,建立一個網域伺服器 OU 並將所有的網域成員伺服器放入其中,以此類推。

經由執行之前所討論過的安全性介面,OU GPO 可以覆蓋安全性原則設定。例如,為網域設定的原則如果與為網域控制站 OU 所設定的相同原則不相容,那麼網域控制站就不會繼承網域原則設定。在建立 OU GPO 時,選取不可強制覆蓋選項,可以避免這種情況發生。即使父系容器和子系容器的原則衝突,甚至子系容器已被設定不要繼承不可強制覆蓋選項仍會強制所有的子系容器繼承父系容器的原則。在 GPO 的 [內容] 對話方塊,按一下 [選項] 按鈕,即可看到 [不可強制覆蓋] 核取方塊。

其他的安全性設定介面

為便於討論和執行,本文件將把焦點放在經由 Windows 2000 安全性原則來管理安全性設定。然而,在單機電腦上這些介面並不適用,即使是在網域成員管理安全性時,相對於使用群組原則,有時候也會希望針對個案而異。有許多獨立的工具可以用來執行這些工作。最普遍的是隨著所有 Windows 2000 系統附上的安全性設定編輯器。

安全性設定編輯器

安全性設定編輯器 (SCE) 由兩個 Microsoft 管理主控台 (MMC) 嵌入式管理單元所組成,是設計用來提供 Windows 2000 作業系統對安全性設定及分析的能力。第一個嵌入式管理單元是安全性範本嵌入式管理單元,讓管理員可以使用圖形的方式來管理用於套用安全性設定的 .inf 檔案。第二個嵌入式管理單元是 [安全性設定及分析] 嵌入式管理單元,讓管理員可以分析關於特定範本的系統安全性,以及設定範本到系統。這些介面顯示在 [圖 2]。為了檢視這些嵌入式管理單元,必須建立新的主控台。

  • 建立新主控台

    1. 按一下 [開始],再按一下 [執行...],然後執行MMC

    2. 當 MMC 啟動後,按一下 [主控台],然後再按一下 [新增/移除嵌入式管理單元...]。接下來,按一下 [新增...],然後在 [安全性設定和分析] 和 [安全性範本] 上都連按兩下。

    3. 按 [關閉] 及 [確定] 返回主控台。為供以後使用,現在可儲存此主控台,它會在 [開始] 功能表的系統管理工具資料夾中。


安全性設定編輯器

[圖 2]:安全性設定編輯器


SCE 工具允許管理員在 Windows 2000 作業系統上設定安全性,然後對系統執行定期分析,以確保經過一段時間之後設定仍維持完整或作需要的變動。在群組原則的 安全性設定樹狀目錄中出現的的所有事物,SCE 工具都能有效地加以存取。

有關使用 SCE 工具的詳細資訊,請參閱:http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp

其他工具

Windows 2000 還附帶許多用來管理安全性的工具。本節將會對部分工具做簡單的介紹。應該有管理員已經熟悉這些工具,而不需要進一步的介紹。

  • Windows 檔案總管 – 允許在檔案系統上設定任意存取控制名單 (DACL) 及系統存取控制名單 (SACL)。

  • Regedt32.exe – 允許在登錄設定 DACL 和 SACL。

  • Cacls.exe – 是一個命令列工具,允許設定和檢視檔案系統的 DACL。

  • Net.exe – 是一個命令列工具家族,可以建立及設定使用者帳戶和群組成員資格,並可以設定好幾個設定值,例如在網路瀏覽清單中系統是否可以被看見。

  • Netsh.exe – 是一個用來設定網路參數的命令列工具。

  • Secedit.exe – 是一個命令列工具,提供和 SCE 工具相同的功能。


顯示: