附錄 B：訪問(wèn)策略最佳方案
ASP 的組策略對(duì)象 (GPO) 的最佳配置方案
在基于 Windows 2000 Active Directory 的 ASP 企業(yè)環(huán)境中工作時(shí)，認(rèn)真設(shè)計(jì)策略非常重要，它可以最大程度地減少冗余和重新定義，并最大程度地增加可管理性。遺憾的是，這兩個(gè)目標(biāo)可能發(fā)生矛盾。要減少冗余和重新定義，ASP 應(yīng)當(dāng)設(shè)法定義非常詳盡的 GPO。而增加可管理性，ASP 的 GPO 數(shù)目應(yīng)當(dāng)少。減少與各種范疇相關(guān)的 GPO 數(shù)對(duì)性能也很關(guān)鍵。要達(dá)到平衡，需花費(fèi)一定的時(shí)間來(lái)設(shè)計(jì) ASP 的基本結(jié)構(gòu)中的策略規(guī)劃。

完成一個(gè)有組織規(guī)劃的步驟包括：

將策略進(jìn)行邏輯分組。例如，帳號(hào)策略組成一個(gè)邏輯組。
用包含可能的策略值的不同策略設(shè)置，為每個(gè)邏輯分組定義一個(gè)或多個(gè) GPO。例如，可以有一個(gè)包含不同域的帳號(hào)策略的 GPO 和另一個(gè)針對(duì)服務(wù)器和桌面上本地帳戶的 GPO。
使用組織單元 (OU) 將計(jì)算機(jī)分到層次樹(shù)結(jié)構(gòu)中。這種劃分應(yīng)當(dāng)依據(jù)角色 — 即各臺(tái)計(jì)算機(jī)的目的和功能。例如，默認(rèn)情況下，所有域控制器應(yīng)放在域控制器 OU 中，以使它們具有一致的策略。
通常，每個(gè) OU 應(yīng)當(dāng)映射到對(duì)整個(gè) OU 中所有計(jì)算機(jī)都適用的某個(gè)策略。這可能非常棘手，因?yàn)?OU 可定義 ASP 的管理層次以及 ASP 的地理分布。但是，ASP 的策略定義時(shí)常會(huì)覆蓋公司和地理分布。

當(dāng) ASP 想要將策略應(yīng)用到整個(gè) ASP 組織的計(jì)算機(jī)子集時(shí)，ASP 可執(zhí)行下列操作：

在 ASP 的不同部分創(chuàng)建子 OU，以便將特定的策略分配給這些子 OU 中的每一個(gè)。
如果 ASP 不想創(chuàng)建縱深的 OU，他可用 GPO 的基于權(quán)限的篩選機(jī)制來(lái)確定在給定的 OU 中特定的 GPO 適用于哪些計(jì)算機(jī)。
安全策略的優(yōu)先順序
了解與 Active Directory 域和 OU 相關(guān)的安全策略的優(yōu)先順序非常重要，因?yàn)樗鼈儍?yōu)先于本地級(jí)別建立的策略。與 Active Directory 域和 OU 相關(guān)的 ASP 安全策略的默認(rèn)優(yōu)先順序通常和組策略相同。從最低到最高的優(yōu)先順序如下：

本地策略
域策略
OU 策略
本地策略（對(duì)計(jì)算機(jī)本身定義的策略）優(yōu)先級(jí)最低，而與直接包含計(jì)算機(jī)的 OU 相關(guān)策略的優(yōu)先級(jí)最高。

因此，域的策略?xún)?yōu)先于本地定義的策略。了解這一點(diǎn)很重要，因?yàn)樗�所�?dǎo)致的結(jié)果與以前版本 Windows NT 中所看到的現(xiàn)象大不相同。例如，配置域 OU 的密碼策略時(shí)（如同默認(rèn)情況），對(duì)該域中的每臺(tái)計(jì)算機(jī)都配置了這些密碼策略。這意味著域中的本地帳戶數(shù)據(jù)庫(kù)（個(gè)別工作站上）具有和域本身一樣的密碼策略。在 Windows NT 4.0 中，為域定義的密碼策略不影響成員工作站和服務(wù)器上的本地帳戶數(shù)據(jù)庫(kù)的密碼策略。

訪問(wèn)控制
Active Directory 可大大簡(jiǎn)化在容器、組、用戶、計(jì)算機(jī)和其它資源對(duì)象的整個(gè)樹(shù)層次內(nèi)分配權(quán)限和特權(quán)的分發(fā)工作。

要想充分利用這一點(diǎn)，需按下列常用規(guī)范操作：

在組的基礎(chǔ)上分配用戶權(quán)限。
依賴(lài)于組分配的繼承性。由于直接維護(hù)用戶帳戶效率不高，因而一般不在用戶的基礎(chǔ)上分配權(quán)限。
盡量在容器數(shù)的高處指定權(quán)限。這樣可以用最少的工作量獲得最好的效果。建立的權(quán)限應(yīng)當(dāng)適合多數(shù)安全規(guī)則。
應(yīng)用繼承性在整個(gè)容器樹(shù)中傳播權(quán)限。就像在樹(shù)的較高級(jí)別應(yīng)用訪問(wèn)控制可提供范圍廣度一樣，繼承可提供深度訪問(wèn)。ASP 可快速有效地將訪問(wèn)控制應(yīng)用到父對(duì)象的所有子對(duì)象。
將容器的管理委派給管理這些容器所在計(jì)算機(jī)的 ASP 和客戶管理員。通過(guò)委派授權(quán)來(lái)管理容器的權(quán)限，ASP 可分散管理操作和問(wèn)題。這樣，通過(guò)分配離服務(wù)點(diǎn)更近的管理，可以降低總擁有成本。
在 ASP 中部署 Windows 2000 時(shí)，它們必須針對(duì)正在使用的默認(rèn)安全級(jí)別。
Windows 2000 對(duì)全新安裝的系統(tǒng)定義三種安全級(jí)別 — Users、Power Users 和 Administrators。默認(rèn)情況下，所有最終用戶（內(nèi)部和客戶）都是“Users”組的成員，如果 ASP 只打算運(yùn)行認(rèn)證的 Windows 2000 的應(yīng)用程序，這是可行的。但是，如果 ASP 需要支持未經(jīng) Windows 2000 認(rèn)證的應(yīng)用程序，則他們必須進(jìn)行下列操作：
使所有最終用戶都成為“Power Users”而不是“Users”。
修改默認(rèn)的安全設(shè)置來(lái)增加授予“Users”的權(quán)限。
這些步驟中的任何一個(gè)都可作為整個(gè) ASP 安全策略的一部分來(lái)實(shí)施，或作為安裝過(guò)程的一部分應(yīng)用于個(gè)別計(jì)算機(jī)。與 Windows 2000 Server 一起提供了一個(gè)安全模板，它為用戶“設(shè)立”適當(dāng)?shù)陌踩��?jí)別。

該模板位于：systemroot\security\templates\compatws.inf

對(duì)于從 Windows NT 升級(jí)到 Windows 2000 的計(jì)算機(jī)，還有其它方面的問(wèn)題。

在升級(jí)期間不修改安全性，因此升級(jí)后，未經(jīng) Windows 2000 鑒定的應(yīng)用程序無(wú)需修改即可繼續(xù)運(yùn)行。
如果 ASP 想升級(jí)計(jì)算機(jī)來(lái)使用新的 Windows 2000 安全默認(rèn)值，則在下列目錄中提供 Windows 2000 默認(rèn)的安全設(shè)置：systemroot\security\templates\basicwk.inf.