1.依次单击“开始”、亮老“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示相关域或 OU,单击“ *** 作”菜单,选择“属性”。
3.选择“组策略”选项卡。
4.突出显示相关策略,单击“编辑”。
5.依次展开“计算机配置”、“Windows 设置”,然后突出显示“安全设置”。
6.单击“ *** 作”菜单,选择“导入策略”。
7.导航到 \Security Guide\Job Aids,选择相关模板,单击“打开”。
8.在“组策略对象编辑器”中,敬弊升单击“文件”菜单,选择“退出”。
9.在容器属性中,单击“确定”。
导入安全模板
1.依次单击“开始”、“运行”。在“打开”文本框中键入 mmc,然后单击“确定”。
2.在 Microsoft 管理控制台中,单击“文件”,选择“添加/删除管理单元”。
3.单击“添加”,突出显示列表中的“安全配置和分析”。
4.依次单击“添加”、“关闭”、“确定”。
5.突出显示“安全配置和分析”,单击“ *** 作”菜单,选择“打开数据库”。
6.键入新卜缓的数据库名称(如 Bastion Host),单击“打开”。
7.在“导入模板”界面中,导航到 \Security Guide\Job Aids,选择相关模板。单击“打开”。
分析导入的模板并与当前设置比较
1.突出显示 Microsoft 管理单元中的“安全配置和分析”,单击“ *** 作”菜单,并选择“立即分析计算机”。
2.单击“确定”,接受默认的“错误日志文件路径”。
3.完成分析后,展开节点标题对结果进行研究。
应用安全模板
1.突出显示 Microsoft 管理单元中的“安全配置和分析”,单击“ *** 作”菜单,选择“立即配置计算机”。
2.单击“确定”,接受默认的“错误日志文件路径”。
3.在 Microsoft 管理控制台,单击“文件”,然后选择“退出”关闭“安全配置和分析”。
用域管理员登录,把用户加入本地Administrators组可以考虑“power users”组,改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。
“受限制的组”设置可在 windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置:
计算机配置\windows 设置\安全设置\受限制的组
通过将需要的组直接添加到 gpo 命名空间的“受限制的组”节点上,管理员可以为 gpo 配置受限制的组。
如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。
查看或修改“受限制的组”设置:
1.打开“安全模板管理控制台。
注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它,请启动 microsoft 管理控制台 (mmc.exe) 并添加“安全模板”加载项。
2.双击空饥棚配置文件目录,然后双击配置文件。
3.双击“受限制的组”项。
4.右键单击“受限制的组”。
5.选择“添加组”。
6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。
注意:通常这会使列表的顶部显示一个本地计算机。
7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。
╟ 或者 -
单击“高级肢枯”按钮,然后单击“立即查找”按钮,列出所有可用组。
8.选择需要限制的组,然后单击“确定”。
9.单击“添加组”对话框上的“确定”来关闭此对话框。
对于所列出的组斗则来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有用户或组将从安全模板中删除。
为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)