AD与策略方案

AD与策略方案technical2007-04-1022:00:27阅读250评论0字号：大中小订阅AD与策略方案一、域的简介（DCPROMO）1、域是最小的管理单位，树是一个或多个WIN2003域的层次组合，树中的域共享连续的名称空间和层次的名称和结构。域林是一棵完全独立的域树的逻辑组合，域林中每个域树有不同的名称空间，域林中第一个域树的根域作为这个域林的根域，每个域树的根域与域林的根域之间存在传递信任关系。域林中的所有域共享一个通用的全局目录。全局目录在第一个域控制器上自动创建，用来保存常用的ACTIVEDIRECTORY对象属性2、域有3种模式，混合、本机模式（纯模式）和WIN2003模式。2、一个网络里，如果希望一个用户具有管理用户的权限，它就可以管理整个域中的用户。3、域一般对应公司级别，而OU对应公司部门4、OU是AD中的对象，也是AD中的容器5、OU可以建立USER、GROUP，也可以建立子OU6、OU可以对普通用户授权，具有管理新OU的权限7、OU的创建1、基于管理对象的OU，AD中和种对象分类，每一类对象建立一个或多个OU，如用户、计算机、打印机、共享文件。2、基于地理位置的OU，为每一个地理位置创建OU，包含所有业务，如上海、北京。3、基于业务功能部门的OU，为了和公司组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如销售、研发、市场、人力资源部。4、基于项目的OU，为项目分配相应的资源，如人力、软件、硬件设备。可为项目建立单独的OU，OU中建立相应的对象或将其它OU中的对象移动过来。AD中默认建立一个OU，用来存放域控制器的OU，DOMAINCONTROLLERS，OU图标与其它容器的图标不相同。二、AD建立1、域用户账号2、域用户账号属性3、配置文件：程序项目、屏幕颜色、网络连接、打印机连接、窗口大小和位置。配置文件保存在\DOCUMENTSANDSETTING\USERNAME4、组的实现与管理，GROUP是用户账号的集合，通过一组用户分配权限而不是每个用户分配权限管理的特点。（1）用户加入组继承该组权限（2）用户可加入多组（3）组也可以加入组5、组的分类（1）安全组A组嵌套在B组中，那么A就有B的权限使用，安全组而不是单独的用户，可简化网络的维护和管理工作，安全组定义资源和对象权限的访问控制列表中。（2）通迅组，只能用作电子邮件的通迅，没有安全方面的功能，可在其中存储联系人和用户账号，只有在电子邮件应用程序中，才能使用通迅组将电子邮件发送给一组用户。6、组的作用域与成员关系（1）通用组成员可包括域树或域林中任何域中的其它组织和账户，可在任何域中指派权限。（2）全局组成员可包括只在其所在域中其它组织和账户，可在林中任何域指派权限。（3）本地域组成员可包括WIN2003、WIN2000、NT域中其它组和账户，只能在其所在域中指派权限。7、三种域的介绍（1）本地作用域：1、组可以加到其它本地域的组，并且仅在域中有权限。2、组不把具体本地域作用域的其它组作为其成员就可转为通用作用域。3、当域功能被设置为WIN2000混合时，域组成员可包括来自任何域的账户4、当域功能级别被设置为WIN2000或WIN2003时，本地域组的成员可包括来自任何域的的账户、全局组或通用组，以相同域的本地域组。（2）全局作用域：1、当域功能级别被设置为WIN200本机或WIN2003时，全局组的成员可包括来自相同域的账户或全局组。2、当域功能级别被设置为WIN2000混合时，全局组的成员可包括来自相同域的账户。3、组可被加到其它组并且在任何域中指派权限。4、只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。（3）通用作用域：当域的功能级别被设置为WIN2000或WIN2003时，通用组的成员可包括来自任何域的账户、全局组和通用组。当域功能级别被设置为WIN2000混合时，不能创建具有通用组的安全组。当域的功能级别被设置为WIN200本或WIN2003时，组可以被加到其它组并在任何域中指派权限。组可以转换为本地域作用域，只要组中没有其它通用组作为其成员，就可以转换为全局作用域。二、域的策略1.“启动ActiveDesktop”设置，位置在用户配置\AdministrativeTemplates\桌面\ActiveDesktop还有“用户配置\管理模板\网络\脱机文件”中的“禁用脱机文件的用户配置”设置。2.这个设置允许用户打开MMC用户模式控制台文件，如在Windows2000Server家族或WindowsServer2003家族中的“管理工具”菜单上的文件。但是，用户无法打开「开始」菜单上的空白的MMC控制台窗口。(要打开MMC，单击“开始”，单击“运行”，再键入MMC。)用户也无法从命令提示符打开空白的MMC控制台窗口。如果停用或不配置这个设置，用户则可以进入作者模式并打开作者模式控制台文件。选择的允许或禁止MicrosoftManagementConsole(MMC)管理单元的使用。--如果您启用该设置，所有管理单元被禁用，除了那些您明确允许的管理单元。如果您计划禁止使用大多数管理单元，请使用这个设置。要想明确允许某个管理单元，请打开“限制/允许管理单元”设置文件夹，然后启用那些代表您要允许使用的管理单元的设置。如果文件夹中某个管理单元设置被禁用或者没有配置，该管理单元被禁用。--如果您禁用该设置或者没有配置它，所有管理单元允许使用，除了那些您明确禁止的管理单元。如果您计划允许使用大多数管理单元，请使用这个设置。要想明确禁止某个管理单元，打开“受限的/许可的管理单元”设置文件夹，然后禁用那些代表您要禁止使用的管理单元的设置。如果文件夹中某个管理单元设置被启用或者没有配置，该管理单元允许使用。注意:如果您启用这个设置，并且在“受限的/许可的管理单元”文件夹中无法启用任何设置，用户无法使用任何MMC管理单元。3.设置为“启用”，管理员可根据指定的规则从远程与用户的终端服务会话交互作用。若要设置这些规则，请在“选项”列表中选择需要的控制和权限级别。若要禁用远程控制，请选择“不”允许远程控制。如果状态设置为“禁用”或“未配置”，则远程控制规则由服务器管理员使用“终端服务配置”工具(tscc.msc)来确定。默认情况下，远程控制用户具有完全控制会话用户的权限。4.防止用户从可移动媒体安装程序。如果用户试图从可移动媒体，如CD-ROM、软盘和DVD安装程序，消息会出现，声称找不到这个功能。即使安装是在用户的安全上下文中运行的，这个设置依然适用。如果停用或不配置这个设置，当安装是在用户自身的安全上下文中运行时，用户才能从可移动媒体安装；但当安装是用高系统特权运行时(如在桌面上提供的或“添加/删除程序”中显示的安装)，只有系统管理员可以使用可移动媒体。同时参阅:计算机配置\管理模板\Windows组件\WindowsInstaller中的“在设置被升高的情况下，允许用户使用媒体源”设置。同时参阅:用户配置\管理模板\控制面板\添加或删除程序中的隐藏“从CD-ROM或软盘安装程序”选项设置。指导WindowsInstaller在系统上安装程序时使用系统权限。这个设置将提高的特权应用于所有程序。这些特权通常是为分配给用户(桌面上提供的)或计算机(自动安装的)的或可以在“控制面板”的“添加或删除程序”中得到的程序而保留的。这个设置允许用户安装的程序需要访问用户可能没有权限查看或更改的目录，包括受高度限制的计算机上的目录。如果停用或不配置这个设置，在安装的程序不是管理员分配或提供的情况下，系统会应用当前用户权限。注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中。要使这个设置生效，您必须在两个文件夹中都将其启用。注意:熟练的用户可以利用用这个设置授予的权限来更改特权并获得对受限制的文件和文件夹的永久访问权。请注意，这个设置的“用户配置”版本不一定安全。指定WindowsInstaller搜索安装文件的顺序。按默认值，WindowsInstaller先搜索网络，然后搜索可移动媒体(软盘、CD-ROM或DVD)，最后再搜索Internet(URL)。要改变搜索顺序，启用该设置，然后按您要WindowsInstaller搜索的顺序输入代表每个文件来源的字母。:--“n”代表网络；--“m”代表媒体；--“u”代表URL或Internet。要排除某个文件来源，省略或删除代表那个来源类型的字母防止WindowsInstaller生成或保存在扭转中断或不成功的安装时所需的文件。这个设置防止WindowsInstaller对系统的状态以及在安装期间所作改动的顺序做记录。同时，它还阻止WindowsInstaller保留以后要删除的文件。这样做的结果是，如果安装没有完成，WindowsInstaller就无法将计算机还原到原始状态。这个设置是为了减少安装程序所需的临时磁盘空间量而设计的。同时，这项设置还防止居心叵测的用户利用中断安装来收集计算机内部状态的数据或搜索安全系统文件。但是，由于安装不完整可能会导致系统或程序无法运行，除非很有必要，不要使用这个设置。这个设置出现在“计算机配置”和“用户配置”文件夹中。无论这个设置在两个文件夹中的哪一个里被启用(即使在另一个文件夹中已明显地被停用)，这个设置即处于启用状态。5.允许您禁用WindowsMessenger。如果启用该设置，WindowsMessenger将不会运行。如果禁止或不配置该设置，WindowsMessenger可以被使用。注意:如果启用这个设置，远程协助无法使用WindowsMessenger。注意:这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。6.此设置允许您删除使用所有WindowsUpdate功能的访问。如果您启用此设置，所有WindowsUpdate功能将被删除。这包括阻止访问WindowsUpdate网站、「开始」菜单上的WindowsUpdate的超链接和Internet资源管理器上的工具菜单。Windows自动更新也被禁用;您将不会收到有关更新的通知，也不会接到WindowsUpdate的关键更新。此设置还会阻止设备管理器自动从WindowsUpdate网站安装驱动程序的更新。7.防止从Internet检索有关CD及DVD的媒体信息。此策略可防止播放机自动从Internet获取有关用户播放的CD和DVD的媒体信息。另外，首次使用对话框的“隐私选项”选项卡和播放机“隐私”选项卡中的“从Internet检索CD和DVD媒体信息”复选框都未选中，并且不可用。如果未配置或禁用了此策略，则用户可以对“从Internet检索CD和DVD媒体信息”复选框的设置进行更改。8.防止从Internet检索有关音乐文件的媒体信息。此策略防止播放机自动从Internet获取有关音乐文件（例如WindowsMediaAudio(WMA)和MP3）的媒体信息。另外，在首次使用对话框和播放机的“隐私”及“媒体库”选项卡中的“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和MP3文件)”都未选中，并且不可用。如果未配置或禁用了此策略，则用户可以对“通过从Internet检索缺少的媒体信息来更新音乐文件(WMA和MP3文件)”复选框的设置进行更改。9.从「开始」菜单“设置”上删除“任务栏和「开始」菜单”项目。这个设置也防止用户打开“任务栏属性”对话框。如果用户用鼠标右键单击任务栏并单击“属性”，系统会出现一个错误消息解释是某个设置禁止了这个操作。从「开始」菜单“设置”上删除“任务栏和「开始」菜单”项目。这个设置也防止用户打开“任务栏属性”对话框。如果用户用鼠标右键单击任务栏并单击“属性”，系统会出现一个错误消息解释是某个设置禁止了这个操作。此设置影响开始菜单的显示方式。Windows2000Profess