本主题涉及将组策略和 Active Directory 与 SCW 一起使用。
SCW 并非组策略中可用安全设置的替代;它是一个补充 Active Directory 及其策略结构的安全工具,增强常见 Active Directory 工具(例如,Active Directory 用户和计算机管理单元)对您的功用。
Active Directory 最佳操作包括使用“Active Directory 用户和计算机”将计算机对象分为多个组织单位 (OU) 以便于管理。这样有助于使用组策略对象 (GPO) 部署 SCW 策略。您可以通过使用 SCW 用户界面将服务器变为原型服务器来创建 SCW 安全策略,然后使用 scwcmd.exe 将其转换为 GPO,最后将 GPO 链接到 OU。如果 OU 中的所有服务器在功能上都相似,那么这些服务器都会接收 SCW 创建的安全策略。
组策略对象编辑器
组策略对象编辑器是随 Active Directory 一起提供的用户和计算机配置管理工具。组策略设置包括组策略对象编辑器中的安全设置,尽管这些安全设置在显示和处理上与多数其他组策略设置不同。例如,安全设置在注册表中持久有效,但是每当刷新策略时,都会重新写入组策略管理模板设置。
组策略对象编辑器用于编辑所有组策略对象,包括那些从 SCW 格式转换来的对象。因此,SCW 通过提供适合于服务器类型的 GPO,使得组策略对象编辑器更加有用。
组策略管理控制台
组策略管理控制台 (GPMC) 满足了在 Active Directory 环境中易于分析、规划和备份策略的需求,在这种环境中,经常将多个 GPO 应用到同一个系统,并且自定义的 OU 排列会影响继承。可以通过免费下载来获得 GPMC。它支持所有企业范围的组策略任务,但不支持编辑单个 GPO,该操作仍由组策略对象编辑器执行。
GPMC 专门用于将 GPO 链接到 OU。链接是一种机制,GPO 通过这种机制应用到 OU 内的用户和计算机。
如果使用组策略对象编辑器编辑包含 SCW 安全策略的 GPO,则请注意在组策略对象编辑器中手动创建的安全设置优先于使用 SCW 应用的相同设置。
如果 SCW 创建的设置转换为 GPO,则按照一般 GPO 继承规则做出优先使用哪类设置的决策。
安全模板和优先顺序
除了使用 SCW 创建安全策略之外,您还可以使用安全模板来应用安全设置。安全模板是一些 .inf 文件,例如,默认位于 %systemroot%securitytemplates 中的 securedc.inf。您可以在以下位置查看组策略对象编辑器和 GPMC 中的安全模板设置:
GPO 名称计算机配置Windows 设置安全设置
使用 SCW 用户界面(而不使用安全模板)执行的配置更改与单独使用安全模板执行的配置更改部分重叠。每个配置更改集都不能完全包含另一个配置更改集。例如,SCW 用户界面包括并未包括在任何安全模板中的 IIS 设置。相反,安全模板可以包括诸如软件限制策略之类的项目,这些项目不能通过 SCW 用户界面进行配置。有些配置更改 [例如,IP 安全 (IPsec) 策略] 可以使用以下三种方法设置:使用 SCW 用户界面;将安全模板附加到本地 SCW 策略文件(.xml 文件);或同时使用上述两种方法。但是,如果同时使用这两种方法,便可使用本部分稍后说明的优先顺序规则来解决冲突的策略设置。
此外,scwcmd.exe 命令行工具及其转换选项支持通过 SCW 策略创建新的、未链接的 GPO。这表示实际上有三种使用安全模板的方法:
如果您熟悉组策略,并且已使用过组策略对象编辑器和 GPMC,则也应当能够通过右键单击“安全设置”,单击“导入策略”,然后浏览到 .inf 文件将安全模板附加到 GPO。
第二种方法是通过单击“包括安全模板”,然后单击“添加”,在 SCW“安全策略文件名”页的 SCW 策略中包括一个安全模板。对于组策略方法,然后浏览到 .inf 文件。
第三种方法是将模板附加到 .xml 策略文件(如上所述),然后在命令行上键入 scwcmd transform /p:policyfile.xml /g:GPOdisplayname 来创建 GPO,再使用 GPMC 链接 GPO。
在采用组策略、SCW 以及多个安全模板的环境中,使用下列指导准则来预测安全设置的优先顺序:
通过基于 Active Directory 的 GPO 应用的安全策略优先于通过 SCW 策略文件(.xml 文件)应用的安全策略。
每个 GPO 是否通过 scwcmd.exe 创建不会影响 GPO 中的优先顺序:只有标准的 Active Directory 继承规则(其中连续应用本地、站点、域以及组织单位 GPO)和链接顺序才能确定 GPO 的优先顺序。
SCW 用户界面中设置的安全策略优先于附加到 .xml 策略文件的 .inf 安全模板中设置的冲突策略。
如果将多个安全模板附加到 .xml 安全模板,则在“包括安全模板”对话框中较高位置上列出的模板优先于在列表中较低位置上出现的模板。
请始终首先在实验室测试安全策略,然后再将它部署到实际的生产服务器。
Reference:http://technet.microsoft.com/zh-cn/library/cc728316(WS.10).aspx