Asp的安全管理（11）

附錄 B：訪問策略最佳方案
ASP 的組策略對象 (GPO) 的最佳配置方案
在基于 Windows 2000 Active Directory 的 ASP 企業環境中工作時，認真設計策略非常重要，它可以最大程度地減少冗余和重新定義，并最大程度地增加可管理性。遺憾的是，這兩個目標可能發生矛盾。要減少冗余和重新定義，ASP 應當設法定義非常詳盡的 GPO。而增加可管理性，ASP 的 GPO 數目應當少。減少與各種范疇相關的 GPO 數對性能也很關鍵。要達到平衡，需花費一定的時間來設計 ASP 的基本結構中的策略規劃。

完成一個有組織規劃的步驟包括：

將策略進行邏輯分組。例如，帳號策略組成一個邏輯組。
用包含可能的策略值的不同策略設置，為每個邏輯分組定義一個或多個 GPO。例如，可以有一個包含不同域的帳號策略的 GPO 和另一個針對服務器和桌面上本地帳戶的 GPO。
使用組織單元 (OU) 將計算機分到層次樹結構中。這種劃分應當依據角色 — 即各臺計算機的目的和功能。例如，默認情況下，所有域控制器應放在域控制器 OU 中，以使它們具有一致的策略。
通常，每個 OU 應當映射到對整個 OU 中所有計算機都適用的某個策略。這可能非常棘手，因為 OU 可定義 ASP 的管理層次以及 ASP 的地理分布。但是，ASP 的策略定義時常會覆蓋公司和地理分布。

當 ASP 想要將策略應用到整個 ASP 組織的計算機子集時，ASP 可執行下列操作：

在 ASP 的不同部分創建子 OU，以便將特定的策略分配給這些子 OU 中的每一個。
如果 ASP 不想創建縱深的 OU，他可用 GPO 的基于權限的篩選機制來確定在給定的 OU 中特定的 GPO 適用于哪些計算機。
安全策略的優先順序
了解與 Active Directory 域和 OU 相關的安全策略的優先順序非常重要，因為它們優先于本地級別建立的策略。與 Active Directory 域和 OU 相關的 ASP 安全策略的默認優先順序通常和組策略相同。從最低到最高的優先順序如下：

本地策略
域策略
OU 策略
本地策略（對計算機本身定義的策略）優先級最低，而與直接包含計算機的 OU 相關策略的優先級最高。

因此，域的策略優先于本地定義的策略。了解這一點很重要，因為它所導致的結果與以前版本 Windows NT 中所看到的現象大不相同。例如，配置域 OU 的密碼策略時（如同默認情況），對該域中的每臺計算機都配置了這些密碼策略。這意味著域中的本地帳戶數據庫（個別工作站上）具有和域本身一樣的密碼策略。在 Windows NT 4.0 中，為域定義的密碼策略不影響成員工作站和服務器上的本地帳戶數據庫的密碼策略。

訪問控制
Active Directory 可大大簡化在容器、組、用戶、計算機和其它資源對象的整個樹層次內分配權限和特權的分發工作。

要想充分利用這一點，需按下列常用規范操作：

在組的基礎上分配用戶權限。
依賴于組分配的繼承性。由于直接維護用戶帳戶效率不高，因而一般不在用戶的基礎上分配權限。
盡量在容器數的高處指定權限。這樣可以用最少的工作量獲得最好的效果。建立的權限應當適合多數安全規則。
應用繼承性在整個容器樹中傳播權限。就像在樹的較高級別應用訪問控制可提供范圍廣度一樣，繼承可提供深度訪問。ASP 可快速有效地將訪問控制應用到父對象的所有子對象。
將容器的管理委派給管理這些容器所在計算機的 ASP 和客戶管理員。通過委派授權來管理容器的權限，ASP 可分散管理操作和問題。這樣，通過分配離服務點更近的管理，可以降低總擁有成本。
在 ASP 中部署 Windows 2000 時，它們必須針對正在使用的默認安全級別。
Windows 2000 對全新安裝的系統定義三種安全級別 — Users、Power Users 和 Administrators。默認情況下，所有最終用戶（內部和客戶）都是“Users”組的成員，如果 ASP 只打算運行認證的 Windows 2000 的應用程序，這是可行的。但是，如果 ASP 需要支持未經 Windows 2000 認證的應用程序，則他們必須進行下列操作：
使所有最終用戶都成為“Power Users”而不是“Users”。
修改默認的安全設置來增加授予“Users”的權限。
這些步驟中的任何一個都可作為整個 ASP 安全策略的一部分來實施，或作為安裝過程的一部分應用于個別計算機。與 Windows 2000 Server 一起提供了一個安全模板，它為用戶“設立”適當的安全級別。

該模板位于：systemroot\security\templates\compatws.inf

對于從 Windows NT 升級到 Windows 2000 的計算機，還有其它方面的問題。

在升級期間不修改安全性，因此升級后，未經 Windows 2000 鑒定的應用程序無需修改即可繼續運行。
如果 ASP 想升級計算機來使用新的 Windows 2000 安全默認值，則在下列目錄中提供 Windows 2000 默認的安全設置：systemroot\security\templates\basicwk.inf.