在Win 2000域中分析Win XP组策略
组策略是在Windows 2000/XP域中用于控制用户和计算机桌面环境的基于活动目录的机制,针对安全、软件安装记忆脚本的设置都可以通过组策略进行。组策略可以根据对象在活动目录中的位置而应用于用户组或者计算机。组策略的设置存储在域控制器的GPO(Group Policy objects,组策略对象)中,GPO连接到活动目录结构的各种容器(站点、域以及OU)中。因为组策略与活动目录的集成非常紧密,因此在实施组策略前对活动目录结构与安全有一个基本认识是很有必要的。
组策略是保证Windows XP安全的基本工具,它可以被用来应用和维持网络中所有计算机的策略配置的一致性。
概述
Windows XP组策略中引进了以前没有包括在Windows 2000中的新特性,然而Windows 2000域控制器同样可以通过活动目录给Windows XP客户端发布组策略设置。
为了使用Windows XP中所有新特性,GPO必须在运行Windows XP的计算机上编辑。管理员还可以在Windows 2000域控制器上进行后期的GPO管理(把GPO链接到域或者OU)。如果GPO被应用到同时包含Windows XP和Windows 2000客户端的域,Windows 2000将会忽略仅针对Windows XP的新设置,而仅应用可以被Windows 2000应用的设置,Windows XP计算机则会应用所有的设置。在将GPO应用到Windows 2000域之前请参阅Guide to Securing Microsoft Windows 2000 Group Policy。同时,还可以参阅“Upgrading Windows 2000 Group Policy for Windows XP”:http://support.microsoft.com/support/kb/articles/Q307/9/00.asp
安全设置扩展
从一篇安全报告可以知道,安全设置扩展是组策略中最重要的部分之一。很多与安全相关的设置都是在安全设置中进行的,安全设置允许管理员巩固很多与安全相关的对象,并通过组策略和活动目录把它们应用到任意一台运行着Windows XP的计算机。
安全设置扩展位于GPO的计算机配置\Windows设置\安全设置的路径下,并可以通过MMC的组策略组件访问。安全设置是针对计算机的,而不是专门针对某个用户,同时也包括了安全模板中所有的安全区域(例如账户策略、本地策略等),除此之外还有活动目录的公钥策略以及IP安全策略。
创建 Windows XP GPO
Windows XP GPO必须在运行Windows XP的机器上编辑,要打开或创建一个GPO,可以在一个已经加入了域的运行Windows XP的计算机上进行如下操作:
运行微软管理控制台(mmc.exe)
选择控制台- 添加/删除组件
点击添加
选择组策略
点击添加
出现一个选择组策略对象窗口,在组策略对象选项下,默认会显示本地计算机,要编辑GPO,点击浏览按钮在域中,定为到要应用GPO的容器,容器显示后,选择一个已经存在的GPO或者点击窗口顶端的第二个按钮新建一个GPO,然后选中这个GPO
点击确定
点击关闭
点击确定
导入安全模板到GPO中
要把已存在的安全模板导入到Windows XP GPO,可进行如下操作:
在组策略组件中,定位到计算机配置\Windows设置\安全设置
在导入模板前展开安全设置节点,图12显示了展开后的安全设置扩展
www.ad119.cn/bbs/attachments/computer/20090102/2009121135682877801.jpg
警告:根据MMC中的一个Bug,在导入模板前展开安全设置节点时发生的错误有可能导致模板载入的错误。
右键点击安全设置
从弹出菜单选择导入策略
导入策略自窗口中将会显示%SystemRoot%\security\templates文件夹中的所有模板,从这个文件夹中选择一个模板或者通过浏览功能查找其它合适的模板。
点击打开
被选中的模板中的设置已经被导入到了安全选项节点,现在你可以通过安全设置树查看和修改这些设置。
警告:为了让一个新的GPO能够被正确应用,你必须首先注册这一改变,简单地把模板导入到新的GPO并不能起到这个作用,哪怕关闭组策略组件中的GPO然后稍等片刻重新打开它的时候系统会报告说导入的安全设置已经被保存。组策略被刷新后GPO将会被清空而不是被应用。要注册一个改变,在载入安全模板后编辑GPO中的任意一个设置,哪怕你随便更改一个设置后重新又把设置该回来。
在Windows 2000 域控制器上管理Windows XP GPO
在早期的规定中,一旦Windows XP GPO在运行Windows XP的计算机上被编辑过后,后期的GPO管理(例如链接GPO到域或者OU)就可以在Windows 2000域控制器上进行了。
当使用Windows 2000域控制器查看Windows XP GPO时,如果Windows XP独有的用户或用户组(例如LOCAL SERVICE、NETWORK SERVICE)显示在一个文件或者注册表的权限设置中时,当定位到计算机配置\Windows设置\安全设置节点就可能引起“Windows无法打开模板文件”的错误信息。不过就算这些安全设置无法在Windows 2000下查看,GPO仍然可以被正确应用。
本地策略对象
每台计算机无论是不是域成员都有本地组策略,本地组策略是第一个被应用的策略。虽然任何后期的组策略都可能覆盖本地策略的设置,不过只要是在本地组策略中设定并没有在其他策略中设定的策略都将被保留。因此本地策略和活动目录组策略的配置一致是很重要的。
本地组策略对象(Local GPO)被保存在 %SystemRoot%\System32\Group Policy,可以通过组策略组件中的选择远程计算机或者在管理工具菜单下选择本地安全策略来访问和查看。
LGPO并不是包括了活动目录组策略的全部设置,举例来说,在安全设置节点下,只有账户策略和本地策略可用,因此如果一个安全模板被导入本地策略,实际上就只有在本地策略中可用的部分被真正导入了。其他的设置,例如注册表和文件权限可以通过安全配置和分析组件应用到本地。
强制组策略更新
组策略会通过活动目录周期性的被更新,默认的设置会每90分钟更新一次工作站的组策略设置。
要强制组策略立刻在本机更新可以使用命令行工具gpupdate.exe。输入gpupdate /?将会看到该命令所有可用的参数。例如,要强制立刻刷新计算机配置这部分的组策略设置,可以使用:
Gpupdate /target:computer /force
查看策略结果集
根据对象所在的容器不同,多个GPO可以同时应用到域对象。举例来说,一个域级别的GPO设置可以被应用到域中的所有计算机上,针对不同OU的GPO也可以分别被应用到那个OU的相应对象。人工判断哪个GPO被应用以及它们以什么样的顺序被应用是一个繁琐的工作,尤其是在一个复杂的域环境中,这使得组策略问题的错误排查显得异常困难。好在Windows XP提供了两个工具RsoP(Resultant Set of Policy,策略结果集)和gpresult.exe,可以用来查看一个对象上GPO的应用情况。
RsoP组件
RSoP.msc是一个用来显示本地计算机上策略应用情况的MMC组件,要打开这个组件,可以直接在命令行窗口输入RSoP.msc或者添加策略结果集到MMC中。
对每个组策略设置,RsoP都会显示计算机设置(当前计算机的设置情况)以及GPO来源(哪个GPO最终产生了当前的设置)。RsoP的更详细信息。
Gpresult.exe
Gpresult.exe是一个命令行工具,可以用来查看计算机上最后一次被应用的组策略的详细状态:应用了哪些GPO以及应用的先后顺序,以及因为什么原因哪些GPO没有被应用。同时Gpresult还可以搜集网络中其它计算机的相关信息。
要查看gpresult所有可用的参数,可以在命令行下输入
gpresult /?
已知问题
本段会就加入Windows 2000域的Windows XP计算机可能会遇到的问题作出说明。
RestrictAnonymous 设置以及“用户必须在下次登录时修改密码”
默认情况下Windows XP不会给匿名用户(空连接)指派与Everyone组相同的权限,然而在Windows NT和Windows 2000中匿名用户则是具有这种权限的。如果Windows 2000域中用户被设置了用户下次登录时必须修改密码选项同时Windows 2000 域控制器上RestrictAnonymous注册表键被设置为匿名用户没有任何权限,除非被指派(注册表键值被设置为2),这种情况下Windows 2000域用户登录Windows XP计算机时可能会遇到一些潜在的问题。
从Windows 2000 Professional客户端上登录的用户不会遇到任何登录问题,在需要的时候也可以修改他的密码。然we从Windows XP客户端登录的同一个用户可能会在输入新密码后遇到“你没有更改密码的权限”的错误信息。唯一的解决方法是在Windows 2000域控制器上把RestrictAnonymous键的键值由2改为0或者1。要注意修改Windows 2000的设置可能会在域控制器上产生很多公开的状态信息,这些状态信息都能被黑客利用,哪怕是注册表键被设置为1这种小事。有很多工具软件可以收集这些信息,甚至枚举所有的用户帐户信息。这里面的安全风险必须高度注意。 <
页:
[1]