Active Directory 域基礎(chǔ)結(jié)構(gòu)配置如下文所述：

本模塊內(nèi)容

本模塊介紹了將組策略應(yīng)用于Windows Server 2003和Windows 2000 Server 域中的Windows XP Professional 客戶端所需的概念。組策略是 Microsoft Active Directory 目錄服務(wù)的一個功能，它使管理員可以更改用戶和計算機設(shè)置以及管理配置，但是，在將組策略應(yīng)用于環(huán)境中的 Windows XP Professional 客戶端之前，需要在域中執(zhí)行某些基本步驟。

組策略是確保 Windows XP 安全的重要工具。本模塊提供有關(guān)如何使用組策略從中心位置在整個網(wǎng)絡(luò)中應(yīng)用和維護一致安全策略的詳細信息。

本指南為企業(yè)環(huán)境和高安全級環(huán)境提供選項。對于臺式計算機和便攜式計算機客戶端，本模塊中建議的設(shè)置是相同的。

目標

使用本模塊可以實現(xiàn)下列目標：

描述 Active Directory 如何應(yīng)用組策略對象

設(shè)計組織單位結(jié)構(gòu)以支持安全管理

設(shè)計組策略對象以支持安全管理

對安全模板進行管理

對管理模板進行管理

使用組策略實現(xiàn)有效的密碼策略

使用組策略實現(xiàn)有效的帳戶鎖定策略

確定哪些用戶可以向域中添加工作站

確保在允許的登錄時間結(jié)束時注銷用戶

使用組策略管理工具來更新策略和查看組策略應(yīng)用的結(jié)果

適用范圍

本模塊適用于下列產(chǎn)品和技術(shù)：

Windows Server 2003 域中的 Windows XP Professional 客戶端

Windows 2000 域中的 Windows XP Professional 客戶端

如何使用本模塊

本模塊提供了一種方法，并描述了使用組策略在 Windows Server 2003 或 Windows 2000 Active Directory 域中確保 Windows XP Professional 客戶端的安全所需的步驟。

為了充分理解本模塊內(nèi)容，請閱讀“Windows XP 安全指南簡介”。該模塊定義了在此模塊中引用的企業(yè)客戶端環(huán)境和高安全級環(huán)境。

使用檢查表。本指南的“檢查表”部分中的檢查表“配置 Active Directory 域基礎(chǔ)結(jié)構(gòu)”提供了可打印的作業(yè)指導(dǎo)，以供快速參考。使用基于任務(wù)的檢查表可以快速評估需要哪些步驟并幫助您逐步完成各個步驟。

使用隨本指南提供的“Windows XP 安全指南設(shè)置”電子表格。它可以幫助您將環(huán)境中所做的設(shè)置編制為文檔。

使用附帶的解決方法。本指南引用下列指導(dǎo)文章（均為英文）：

“How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003”

“How To:Prevent Users from Changing a Password Except When Required in Windows 2000”

組策略

組策略是 Microsoft Active Directory 目錄服務(wù)的一個功能，可用來更改用戶和計算機設(shè)置，以及 Microsoft Windows Server 2003 和 Microsoft Windows 2000 Server 域中的配置管理。但是，在將組策略應(yīng)用于環(huán)境中的 Microsoft Windows XP Professional 客戶端之前，需要在域中執(zhí)行某些基本步驟。

組策略設(shè)置存儲在環(huán)境中域控制器上的組策略對象 (GPO) 中。GPO 鏈接到容器，這些容器包括 Active Directory 站點、域和組織單位 (OU)。由于組策略與 Active Directory 緊密集成，在實現(xiàn)組策略之前有必要對 Active Directory 結(jié)構(gòu)和在其中配置不同設(shè)計選項的安全含義進行基本的了解。有關(guān) Active Directory 設(shè)計的詳細信息，請參閱“Windows Server 2003 Security Guide”的模塊 2“Configuring the Domain Infrastructure”（英文）。

　表 2.1：基準安全模板

支持安全管理的 OU 設(shè)計

OU 是 Active Directory 域中的容器。OU 可以包含用戶、組、計算機和其他組織單位，它們都稱為子 OU。可以將 GPO 鏈接到 OU，它是 Active Directory 層次結(jié)構(gòu)中的***容器。還可以將管理權(quán)限委派給 OU。OU 提供了對用戶、計算機和其他安全主體進行分組的簡便方法，還提供了劃分管理邊界的有效方法。將用戶和計算機分配給單獨的 OU，因為某些設(shè)置只適用于用戶，而某些則只適用于計算機。

可以使用委派向?qū)砦蓪σ粋€組或單個 OU 的控制，委派向?qū)Э梢宰鳛?Active Directory 用戶和計算機 Microsoft 管理控制臺 (MMC) 管理單元工具的一部分獲得。有關(guān)委派權(quán)限的文檔的鏈接，請參閱本模塊結(jié)尾的“其他信息”部分。

為任何環(huán)境設(shè)計 OU 結(jié)構(gòu)的一個主要目標是，為創(chuàng)建覆蓋 Active Directory 中駐留的所有工作站的無縫組策略實現(xiàn)提供基礎(chǔ)，同時確保它們符合組織的安全標準。設(shè)計 OU 結(jié)構(gòu)的另一個目標是，為組織中特定類型的用戶提供適當?shù)陌踩O(shè)置。例如，可以允許開發(fā)人員對工作站進行一般用戶無權(quán)進行的操作。便攜式計算機用戶與臺式計算機用戶相比，安全要求也可以略有不同。下圖說明了足以用來討論本模塊中的組策略的簡單 OU 結(jié)構(gòu)。此 OU 的結(jié)構(gòu)可能與您的環(huán)境的組織要求不同。

圖 2.1 Windows XP 計算機的 OU 結(jié)構(gòu)

部門 OU

由于組織內(nèi)的安全要求經(jīng)常變化，很有必要在環(huán)境中創(chuàng)建部門 OU。部門安全設(shè)置可以通過 GPO 應(yīng)用于各自部門 OU 中的計算機和用戶。

安全的 XP 用戶 OU

此 OU 包含同時參與企業(yè)客戶端環(huán)境和高安全級環(huán)境的用戶的帳戶。模塊 4“Windows XP 管理模板”中的“用戶配置”部分中討論了對此 OU 應(yīng)用的設(shè)置。

Windows XP OU

此 OU 包含環(huán)境中每種 Windows XP 客戶端的子 OU。在這里，包含了用于臺式計算機和便攜式計算機客戶端的指南。出于此原因，已經(jīng)創(chuàng)建了臺式計算機 OU 和便攜式計算機 OU。

臺式計算機 OU：此 OU 包含始終連接到公司網(wǎng)絡(luò)的臺式計算機。模塊 3“Windows XP 客戶端安全設(shè)置”和模塊 4“Windows XP 管理模板”中詳細討論了對此 OU 應(yīng)用的設(shè)置。

便攜式計算機 OU：此 OU 包含不始終連接到公司網(wǎng)絡(luò)的移動用戶的便攜式計算機。模塊 3“Windows XP 客戶端安全設(shè)置”和模塊 4“Windows XP 管理模板”中詳細討論了對此 OU 應(yīng)用的設(shè)置。

希望了解更多內(nèi)容請點擊Active Directory域基礎(chǔ)結(jié)構(gòu)配置二。

【編輯推薦】

1. 域外控制器的作用與安裝
2. Active Directory之目錄服務(wù)
3. 利用Active Directory標識和跟蹤虛擬機
4. 如何打開 Active Directory 用戶和計算機
5. Windows 2000 Server 如何設(shè)置Active Directory 域