在Windows 2000操作系統(tǒng)中，我們可以使用“組策略”為用戶和計算機組定義用戶和計算機的配置。通過使用“組策略”，Microsoft管理控制臺（MMC）可以為特定用戶和計算機組創(chuàng)建個性化的配置。“組策略”配置包含在一個“組策略對象”(GPO) 中，該對象又與選定的Active Directory服務(wù)容器如站點、域或組織單位(OU) 等相關(guān)聯(lián)。組策略對象包括兩種對象──非本地和本地的組策略對象。
存儲在域控制器中的非本地組策略對象只能在Active Directory環(huán)境下使用。它們適用于組策略對象所關(guān)聯(lián)的站點、域或組織單位中的用戶和計算機。

　　本地組策略對象存儲在各個本地計算機上。一臺計算機上只存儲一個本地組策略對象，而且它有一個在非本地組策略對象中可用的設(shè)置子集。如果二者的設(shè)置發(fā)生沖突，非本地組策略對象的設(shè)置能覆蓋本地組策略對象的設(shè)置。如果不沖突，則都可以應(yīng)用。

　　使用組策略，我們可以對用戶工作環(huán)境狀態(tài)只定義一次，然后靠系統(tǒng)實施管理員定義的策略，對用戶和計算機進行管理。

　　一、組策略安全概述

　　組策略包括應(yīng)用于域或計算機組的大量安全權(quán)限配置文件。一個組策略對象可以應(yīng)用到局域網(wǎng)內(nèi)的所有計算機。單個計算機啟動時，組策略得以應(yīng)用，如果作出改動時沒有重新啟動計算機，組策略會得到定期刷新。

　　1、組策略工作原理

　　組策略與Active Directory用戶中的域和文件夾以及MMC管理單元相關(guān)聯(lián)。組策略授予的權(quán)限應(yīng)用到存儲于該文件夾中的計算機上。使用Active Directory站點和服務(wù)管理單元還可將組策略應(yīng)用到站點。子文件夾從父文件夾繼承組策略，子文件夾也可能依次有自己的組策略對象。指派給一個文件夾的組策略可能不止一個。組策略是安全組的補充，可以將單一安全配置文件應(yīng)用到多臺計算機上。它加強了一致性并易于管理。組策略對象包含實現(xiàn)多種類型安全策略的權(quán)限和參數(shù)。總之，組策略可由父站點傳遞到子站點和局域網(wǎng)。如果將一個特定組策略指派給高級的父站點，這個組策略會應(yīng)用到父等級以下所有站點，包括每個容器中的用戶和計算機對象。

　　2、組策略的安全設(shè)置

　　位于組策略對象“安全設(shè)置”節(jié)點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)、公鑰策略、Active Directory中的網(wǎng)際協(xié)議安全策略等。有些策略只應(yīng)用于域的范圍，也就是說，策略設(shè)置是在域范圍內(nèi)進行的。例如賬戶策略一律應(yīng)用于域內(nèi)的所有用戶賬戶。不能為同一域內(nèi)的不同部門定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其它策略范圍都可在部門等級設(shè)定。

　　3、安全模板

　　Windows 2000為在網(wǎng)絡(luò)環(huán)境設(shè)置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服務(wù)器或客戶計算機上適合某一特定安全等級的安全設(shè)置配置文件。例如，hisecdc模板包括適合高安全性域控制器的設(shè)置。可以把安全配置文件導(dǎo)入組策略對象并把它應(yīng)用到一個等級的計算機上。把安全配置文件導(dǎo)入個人數(shù)據(jù)庫用來檢查和配置本地計算機的安全策略。

　　二、實施組策略安全管理

　　在Windows 2000局域網(wǎng)中實施安全管理應(yīng)分別從服務(wù)器和工作站兩方面進行。首先應(yīng)在服務(wù)器上安裝活動目錄服務(wù)，然后在域上實施組策略；其次應(yīng)將工作站置于服務(wù)器所管理的域中。

　　1、啟動活動目錄服務(wù)

　　在“程序→管理工具→配置服務(wù)器”選項中，選定左邊的“Active Directory”，啟動活動目錄安裝向?qū)АＴO(shè)置過程中關(guān)鍵是要將服務(wù)器設(shè)置為第一個域目錄樹，DNS域名輸入ISP提供的域名，若不連接國際互聯(lián)網(wǎng)，也可任意設(shè)定。

　　2、打開組策略控制臺

　　啟動“Active Directory目錄和用戶”項，在右面對象容器樹中的根目錄上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。

　　3、設(shè)置組策略

　　Windows 2000組策略有100多個與安全有關(guān)的設(shè)置和450多個基于注冊表的設(shè)置，為管理用戶計算機環(huán)境提供了眾多的選項，某一選項一旦被設(shè)置將會作用于登錄到域上的所有用戶和工作站。這里將幾個常用策略的設(shè)置步驟介紹一下，作為策略設(shè)置的參考。

　　a、啟用“登錄屏幕”上不顯示上次登錄的用戶名

　　這一選項可以保護用戶賬號的安全，阻止賬號盜用行為的發(fā)生。該選項所處位置按照“計算機配置→安全設(shè)置→本地策略→安全選項”的順序查找，雙擊該選項，選擇“啟用”。當用戶下次登錄域時，該項策略將被應(yīng)用在用戶操作的工作站上。

　　b、啟動“活動桌面墻紙”

　　使用此選項，局域網(wǎng)上登錄域的所有計算機將使用同一桌面墻紙，并且不能被更改。因此，可以通過這一項策略的設(shè)置，防止臨時用戶隨意更換桌面墻紙，使局域網(wǎng)中的工作站具有相同的界面。該選項所處的位置是“用戶配置→管理模板→桌面→活動桌面”。

　　綜合應(yīng)用Windows 2000的賬號安全、組策略安全和文件夾權(quán)限等安全屬性，可以很好地保護局域網(wǎng)中各工作站的安全。同時，使用賬號安全屬性對系統(tǒng)文件進行保護，還可對病毒的破壞起到防范作用。