Windows 2000中的域安全性策略

在 Microsoft Windows NT Server 4.0 中，概念“域安全性策略”是指对域的安全配置至关重要的一组关联项。 它们包括：

•	用户密码，或控制用户帐户将如何使用密码的帐户策略。
•	控制在安全日志中要记录哪些事件类型的审核策略。
•	用户权限被应用到组或用户，并影响在单个工作站、成员服务器或域内所有域控制器上所允许的活动。

在 Windows 2000 中，Microsoft 已将这些组件重新配置为一个一致的层次结构或工具，即“组策略编辑器”中的“安全措施设置”管理单元。 如果想知道要更改的正确组策略，这一点很有用。

要配置专门针对跨域的安全设置，请使用“组策略编辑器”管理单元，其中心设置为“默认域策略”组策略对象 (GPO)：

1.	单击开始，指向程序，指向管理工具，然后单击 Active Directory 用户和计算机。
2.	右键单击相应的域对象，然后单击属性。
3.	单击组策略选项卡查看当前链接的组策略对象。
4.	单击默认域策略 GPO 链接，然后单击“编辑”。

启动“组策略编辑器”管理单元之后，可以从下列节点访问域安全策略：

控制台根节点\“默认域策略”\计算机配置\Windows设置\安全设置

在层次结构中的该点上，可以获得下列节点：

帐户节点

•	密码策略
•	帐户锁定策略
•	Kerberos 策略

本地策略

•

审核策略

•

用户权利指派

•

安全选项

•	事件日志
•	受限制的组
•	系统服务
•	注册表
•	文件系统
•	Active Directory 上的 IP 安全性策略
•	公钥策略

“组策略”是通过使用“组策略对象”来进行管理的，组策略对象是在指定的层次结构中被附加到所选 Active Directory 对象（如站点、域或组织单位）上的数据结构。 这些 GPO一旦创建，就会按以下标准顺序被应用： LSDOU，它表示 (1) 本地，(2)站点，(3)域，(4)组织单位，后面的策略高于前面所应用的策略。

如果计算机加入到实施了 Active Directory 和组策略的域中，就将处理一个本地组策略对象。 注意，即使已指定“阻止策略继承”选项，也会处理本地组策略对象策略。

首先处理本地组策略对象，然后处理域策略。 如果计算机加入到域中，并在域和本地计算机策略之间发生冲突，那么，域策略将胜出。 但是，如果计算机不再属于某个域，将应用本地组策略对象。