Windows 2003两日速成培训营资料4

内容 概述 使用安全模板来安全你的网络    2 实验: 管理资源和安全    4 实验讨论    8 最佳实践    9 单元 4: 管理资源和安全 Information in this document, including URL and other Internet Web site references, is subject to change without notice.  Unless otherwise noted, the example companies, organizations, products, domain names, e-mail addresses, logos, people, places, and events depicted herein are fictitious, and no association with any real company, organization, product, domain name, e-mail address, logo, person, place or event is intended or should be inferred.  Complying with all applicable copyright laws is the responsibility of the user.  Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document.  Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. ??2003 Microsoft Corporation. All rights reserved. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, Windows Media, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. 概述 和Microsoft? Windows? 2000一样， 在Windows Server? 2003中使用安全模板和组策略，以便应用安全设置到所有企业的计算机，同样是实现安全的一个最佳实践。本单元将介绍怎样使用安全模板和组策略应用安全设置。 Windows Server 2003对管理NTFS的文件和文件夹也提供了两个新的特点： 有效权限。你现在可以显示一个特定用户或者组对任何NTFS的文件和文件夹的有效权限。 文件和文件夹的拥有者。一个具有相应权限的用户或组可以将特定的用户和组指定为NTFS的文件和文件夹 的拥有者。 目标 在完成本单元以后，你将能够： 创建定制的安全模板。 通过定制的安全模板配置NTFS的权限 通过使用组策略应用安全模板。 通过使用安全配置和分析工具审计安全设置。 决定NTFS文件和文件夹的有效权限。 改变一个文件或文件夹的拥有者。 使用安全模板安全你的网络 安全模板允许你在你的整个网络中实现一致的、可扩展的和可定义的安全设置。为了使用安全模板来安全你的网络，你需要： 创建或定制安全模板。 你可以使用systemroot\Security\Templates 文件夹下面的模板例子创建或修改模板。 使用组策略来应用安全模板。 在你已经配置和测试安全模板后，使用组策略来为企业的所有计算机应用安全设置。通过使用组策略，你可以自动模板的处理过程，也允许你通过应用相同的安全设置到多台机器而标准化安全设置。组策略也保证如果安全设置被本地修改，系统重新应用模板的安全设置。 通过使用安全配置和分析工具监视安全设置。在部署安全设置后，通过使用MMC管理工具中的安全配置和分析的常规地诊断本地设置和模板设置的是否不一致。 使用安全模板的规则 为每个计算机角色创建模板。一个特定计算机角色的安全设置对于分配给这种角色的所有计算机，都可以应用相同的设置， 例如： 你可以为域控制器定义一个模板，而为客户计算机应用另一种模板。在建模板前，先定义计算机角色，然后为每个角色设计一个模板。 使用几个模板的结合。. 通常，某些安全设置必须应用到组织的所有计算机，而其它的安全设置仅仅应用到组织的部分计算机，例如：组织中的所有计算机都需要本地帐户的最小口令，但只有WEB服务器需要运行IIS。 为了减少复杂性，创建一个针对所有公共设置的模板，然后创建一个针对特定计算机角色的模板。应用公共模板到所有的计算机，然后应用特定的模板到你的特定角色的计算机。 附加的信息 关于实现安全模板的更多信息，参考文章的KB 816297： “Define Security Templates By Using the Security Templates Snap-In in Windows Server 2003,”     实验: 管理资源和安全 完成这个实验后, 你将能够： 为多个域控制器配置安全设置。 识别和解决因过于严格的安全设置而引起的问题 可以使用的工具： 如果有必要，使用一个或多个工具帮助你完成实验： 使用安全配置和分析工具决定和配置安全设置 Windows Server 2003的默认安全设置 Windows Server 2003预先定义的安全模板 创建定制的安全模板 将安全模板导入组策略 公共安全日志的事件ID 怎样证实NTFS文件和文件夹的有效权限 改变一个存在的文件和文件夹的拥有者 预计完成实验的时间：45分钟 练习 1 配置安全设置 在这个练习中，你将创建和应用一个定制的安全模板。你也要审计安全设置并决定文件夹的有效权限。 任务 相关的支持信息 1. 比较hisecdc模板和当前的安全设置，注意他们的不同。   看下列工具资源： ? Windows Server 2003默认的审计设置 ? 使用安全配置和分析工具决定和配置安全设置 ? Windows Server 2003预先定义的安全模板       2. 根据 hisecdc 的模板创建新的模板,，作下列修改： l 在所有的DC上，Print Spooler 服务 和 Telnet 服务必须被禁止。 l 每个DC上，C:\Reports文件夹的权限必须被设置，以便只有管理员有全部权限。.   使用工具， 创建定制的安全模板.       3. 在你的域环境中，保证模板的设置自动应用到新的DC。 ? 为了应用安全模板的设置到新的DC，你可以使用： l 组策略 l 安全配置和分析工具 ? 决定哪一种方法是最佳的解决方法，然后再实现。你可以在下列空白处填入你的决定。准备解释你的决定。   看工具，导入安全模板到GPO。           (继续) 任务 相关的支持信息 4. 测试以保证审计设置是工作的。   看工具： 公共的安全日志LOG。       5. 测试保证DB用户具有读取的权限，但DB操作员对 C:\Reports folder.有写权。 ? 为了证实权限，你可以： l 直接查看ACL l 使用有效权限 ? 决定哪一种方法是最佳的解决方法，然后再实现。你可以在下列空白处填入你的决定。准备解释你的决定。   看工具, 如何证实NTFS文件和文件夹的有效权限。           练习 2 排错安全设置 在本练习中，你将解决如下描述的问题。对每个问题，识别原因并改正问题。. 继续阅读