请问Win 2003如何应用组策略和安全模板

导入安全模板

1.依次单击“开始”、亮老“管理工具”、“Active Directory 用户和计算机”，打开“Active Directory 用户和计算机”。

2.突出显示相关域或 OU，单击“ *** 作”菜单，选择“属性”。

3.选择“组策略”选项卡。

4.突出显示相关策略，单击“编辑”。

5.依次展开“计算机配置”、“Windows 设置”，然后突出显示“安全设置”。

6.单击“ *** 作”菜单，选择“导入策略”。

7.导航到 \Security Guide\Job Aids，选择相关模板，单击“打开”。

8.在“组策略对象编辑器”中，敬弊升单击“文件”菜单，选择“退出”。

9.在容器属性中，单击“确定”。

导入安全模板

1.依次单击“开始”、“运行”。在“打开”文本框中键入 mmc，然后单击“确定”。

2.在 Microsoft 管理控制台中，单击“文件”，选择“添加/删除管理单元”。

3.单击“添加”，突出显示列表中的“安全配置和分析”。

4.依次单击“添加”、“关闭”、“确定”。

5.突出显示“安全配置和分析”，单击“ *** 作”菜单，选择“打开数据库”。

6.键入新卜缓的数据库名称(如 Bastion Host)，单击“打开”。

7.在“导入模板”界面中，导航到 \Security Guide\Job Aids，选择相关模板。单击“打开”。

分析导入的模板并与当前设置比较

1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“ *** 作”菜单，并选择“立即分析计算机”。

2.单击“确定”，接受默认的“错误日志文件路径”。

3.完成分析后，展开节点标题对结果进行研究。

应用安全模板

1.突出显示 Microsoft 管理单元中的“安全配置和分析”，单击“ *** 作”菜单，选择“立即配置计算机”。

2.单击“确定”，接受默认的“错误日志文件路径”。

3.在 Microsoft 管理控制台，单击“文件”，然后选择“退出”关闭“安全配置和分析”。

用域管理员登录，把用户加入本地Administrators组

可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。

“受限制的组”设置可在 windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置：

计算机配置\windows 设置\安全设置\受限制的组

通过将需要的组直接添加到 gpo 命名空间的“受限制的组”节点上，管理员可以为 gpo 配置受限制的组。

如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全受限。只有通过使用安全模板才能使组受限。

查看或修改“受限制的组”设置：

1.打开“安全模板管理控制台。

注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动 microsoft 管理控制台 (mmc.exe) 并添加“安全模板”加载项。

2.双击空饥棚配置文件目录，然后双击配置文件。

3.双击“受限制的组”项。

4.右键单击“受限制的组”。

5.选择“添加组”。

6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。

注意：通常这会使列表的顶部显示一个本地计算机。

7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。

╟ 或者 -

单击“高级肢枯”按钮，然后单击“立即查找”按钮，列出所有可用组。

8.选择需要限制的组，然后单击“确定”。

9.单击“添加组”对话框上的“确定”来关闭此对话框。

对于所列出的组斗则来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有用户或组将从安全模板中删除。

为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。

---