Asp的安全管理（11）_ASP文摘

附录 B：访问策略最佳方案

ASP 的组策略对象 (GPO) 的最佳配置方案

在基于 Windows 2000 Active Directory 的 ASP 企业环境中工作时，认真设计策略非常重要，它可以最大程度地减少冗余和重新定义，并最大程度地增加可管理性。遗憾的是，这两个目标可能发生矛盾。要减少冗余和重新定义，ASP 应当设法定义非常详尽的 GPO。而增加可管理性，ASP 的 GPO 数目应当少。减少与各种范畴相关的 GPO 数对性能也很关键。要达到平衡，需花费一定的时间来设计 ASP 的基本结构中的策略规划。

完成一个有组织规划的步骤包括：

将策略进行逻辑分组。例如，帐号策略组成一个逻辑组。

用包含可能的策略值的不同策略设置，为每个逻辑分组定义一个或多个 GPO。例如，可以有一个包含不同域的帐号策略的 GPO 和另一个针对服务器和桌面上本地帐户的 GPO。

使用组织单元 (OU) 将计算机分到层次树结构中。这种划分应当依据角色 — 即各台计算机的目的和功能。例如，默认情况下，所有域控制器应放在域控制器 OU 中，以使它们具有一致的策略。

通常，每个 OU 应当映射到对整个 OU 中所有计算机都适用的某个策略。这可能非常棘手，因为 OU 可定义 ASP 的管理层次以及 ASP 的地理分布。但是，ASP 的策略定义时常会覆盖公司和地理分布。

当 ASP 想要将策略应用到整个 ASP 组织的计算机子集时，ASP 可执行下列操作：

在 ASP 的不同部分创建子 OU，以便将特定的策略分配给这些子 OU 中的每一个。

如果 ASP 不想创建纵深的 OU，他可用 GPO 的基于权限的筛选机制来确定在给定的 OU 中特定的 GPO 适用于哪些计算机。

安全策略的优先顺序

了解与 Active Directory 域和 OU 相关的安全策略的优先顺序非常重要，因为它们优先于本地级别建立的策略。与 Active Directory 域和 OU 相关的 ASP 安全策略的默认优先顺序通常和组策略相同。从最低到最高的优先顺序如下：

本地策略

域策略

OU 策略

本地策略（对计算机本身定义的策略）优先级最低，而与直接包含计算机的 OU 相关策略的优先级最高。

因此，域的策略优先于本地定义的策略。了解这一点很重要，因为它所导致的结果与以前版本 Windows NT 中所看到的现象大不相同。例如，配置域 OU 的密码策略时（如同默认情况），对该域中的每台计算机都配置了这些密码策略。这意味着域中的本地帐户数据库（个别工作站上）具有和域本身一样的密码策略。在 Windows NT 4.0 中，为域定义的密码策略不影响成员工作站和服务器上的本地帐户数据库的密码策略。

访问控制

Active Directory 可大大简化在容器、组、用户、计算机和其它资源对象的整个树层次内分配权限和特权的分发工作。

要想充分利用这一点，需按下列常用规范操作：

在组的基础上分配用户权限。

依赖于组分配的继承性。由于直接维护用户帐户效率不高，因而一般不在用户的基础上分配权限。