附錄 B：訪問策略最佳方案
ASP 的組策略對象 (GPO) 的最佳配置方案
在基于 Windows 2000 Active Directory 的 ASP 企業(yè)環(huán)境中工作時，認(rèn)真設(shè)計(jì)策略非常重要，它可以最大程度地減少冗余和重新定義，并最大程度地增加可管理性。遺憾的是，這兩個目標(biāo)可能發(fā)生矛盾。要減少冗余和重新定義，ASP 應(yīng)當(dāng)設(shè)法定義非常詳盡的 GPO。而增加可管理性，ASP 的 GPO 數(shù)目應(yīng)當(dāng)少。減少與各種范疇相關(guān)的 GPO 數(shù)對性能也很關(guān)鍵。要達(dá)到平衡，需花費(fèi)一定的時間來設(shè)計(jì) ASP 的基本結(jié)構(gòu)中的策略規(guī)劃。

完成一個有組織規(guī)劃的步驟包括：

將策略進(jìn)行邏輯分組。例如，帳號策略組成一個邏輯組。
用包含可能的策略值的不同策略設(shè)置，為每個邏輯分組定義一個或多個 GPO。例如，可以有一個包含不同域的帳號策略的 GPO 和另一個針對服務(wù)器和桌面上本地帳戶的 GPO。
使用組織單元 (OU) 將計(jì)算機(jī)分到層次樹結(jié)構(gòu)中。這種劃分應(yīng)當(dāng)依據(jù)角色 — 即各臺計(jì)算機(jī)的目的和功能。例如，默認(rèn)情況下，所有域控制器應(yīng)放在域控制器 OU 中，以使它們具有一致的策略。
通常，每個 OU 應(yīng)當(dāng)映射到對整個 OU 中所有計(jì)算機(jī)都適用的某個策略。這可能非常棘手，因?yàn)?OU 可定義 ASP 的管理層次以及 ASP 的地理分布。但是，ASP 的策略定義時常會覆蓋公司和地理分布。

當(dāng) ASP 想要將策略應(yīng)用到整個 ASP 組織的計(jì)算機(jī)子集時，ASP 可執(zhí)行下列操作：

在 ASP 的不同部分創(chuàng)建子 OU，以便將特定的策略分配給這些子 OU 中的每一個。
如果 ASP 不想創(chuàng)建縱深的 OU，他可用 GPO 的基于權(quán)限的篩選機(jī)制來確定在給定的 OU 中特定的 GPO 適用于哪些計(jì)算機(jī)。
安全策略的優(yōu)先順序
了解與 Active Directory 域和 OU 相關(guān)的安全策略的優(yōu)先順序非常重要，因?yàn)樗鼈儍?yōu)先于本地級別建立的策略。與 Active Directory 域和 OU 相關(guān)的 ASP 安全策略的默認(rèn)優(yōu)先順序通常和組策略相同。從最低到最高的優(yōu)先順序如下：

本地策略
域策略
OU 策略
本地策略（對計(jì)算機(jī)本身定義的策略）優(yōu)先級最低，而與直接包含計(jì)算機(jī)的 OU 相關(guān)策略的優(yōu)先級最高。

因此，域的策略優(yōu)先于本地定義的策略。了解這一點(diǎn)很重要，因?yàn)樗鶎?dǎo)致的結(jié)果與以前版本 Windows NT 中所看到的現(xiàn)象大不相同。例如，配置域 OU 的密碼策略時（如同默認(rèn)情況），對該域中的每臺計(jì)算機(jī)都配置了這些密碼策略。這意味著域中的本地帳戶數(shù)據(jù)庫（個別工作站上）具有和域本身一樣的密碼策略。在 Windows NT 4.0 中，為域定義的密碼策略不影響成員工作站和服務(wù)器上的本地帳戶數(shù)據(jù)庫的密碼策略。

訪問控制
Active Directory 可大大簡化在容器、組、用戶、計(jì)算機(jī)和其它資源對象的整個樹層次內(nèi)分配權(quán)限和特權(quán)的分發(fā)工作。

要想充分利用這一點(diǎn)，需按下列常用規(guī)范操作：

在組的基礎(chǔ)上分配用戶權(quán)限。
依賴于組分配的繼承性。由于直接維護(hù)用戶帳戶效率不高，因而一般不在用戶的基礎(chǔ)上分配權(quán)限。
盡量在容器數(shù)的高處指定權(quán)限。這樣可以用最少的工作量獲得最好的效果。建立的權(quán)限應(yīng)當(dāng)適合多數(shù)安全規(guī)則。
應(yīng)用繼承性在整個容器樹中傳播權(quán)限。就像在樹的較高級別應(yīng)用訪問控制可提供范圍廣度一樣，繼承可提供深度訪問。ASP 可快速有效地將訪問控制應(yīng)用到父對象的所有子對象。
將容器的管理委派給管理這些容器所在計(jì)算機(jī)的 ASP 和客戶管理員。通過委派授權(quán)來管理容器的權(quán)限，ASP 可分散管理操作和問題。這樣，通過分配離服務(wù)點(diǎn)更近的管理，可以降低總擁有成本。
在 ASP 中部署 Windows 2000 時，它們必須針對正在使用的默認(rèn)安全級別。
Windows 2000 對全新安裝的系統(tǒng)定義三種安全級別 — Users、Power Users 和 Administrators。默認(rèn)情況下，所有最終用戶（內(nèi)部和客戶）都是“Users”組的成員，如果 ASP 只打算運(yùn)行認(rèn)證的 Windows 2000 的應(yīng)用程序，這是可行的。但是，如果 ASP 需要支持未經(jīng) Windows 2000 認(rèn)證的應(yīng)用程序，則他們必須進(jìn)行下列操作：
使所有最終用戶都成為“Power Users”而不是“Users”。
修改默認(rèn)的安全設(shè)置來增加授予“Users”的權(quán)限。
這些步驟中的任何一個都可作為整個 ASP 安全策略的一部分來實(shí)施，或作為安裝過程的一部分應(yīng)用于個別計(jì)算機(jī)。與 Windows 2000 Server 一起提供了一個安全模板，它為用戶“設(shè)立”適當(dāng)?shù)陌踩墑e。

該模板位于：systemroot\security\templates\compatws.inf

對于從 Windows NT 升級到 Windows 2000 的計(jì)算機(jī)，還有其它方面的問題。

在升級期間不修改安全性，因此升級后，未經(jīng) Windows 2000 鑒定的應(yīng)用程序無需修改即可繼續(xù)運(yùn)行。
如果 ASP 想升級計(jì)算機(jī)來使用新的 Windows 2000 安全默認(rèn)值，則在下列目錄中提供 Windows 2000 默認(rèn)的安全設(shè)置：systemroot\security\templates\basicwk.inf.