Page 14
2018/9/27
C. 打开“管理单元列表”对话框，选定其 中一个（例如：事件查看器）管理单元。 D. 打开“选择计算机”对话框，选择事件 查看器将监视哪一台计算机（可选择远程 计算机），此处选择本地计算机。 E. 完成后可在“程序”—“管理工具”查看 到新建的管理单元。
Page 15
Page 23 2018/9/27
•安全设置：组策略管理员可以限制用户访 问文件和文件夹 。
管理模板：包括基于注册表的组策略，可以利用它
来强制注册表设置，控制桌面的外观和状态，包括 操作系统组件和应用程序。 远程安装服务（RIS）：当运行用户安装向导时， 控制显示给用户的RIS安装选项。 文件夹重定向：可以重定向Windows Server 2000指 定的文件夹从用户配置文件缺省位置到另一个网络 位置，从而对这些文件夹集中管理 。
Page 22 2018/9/27
组策略优点
（1）保护用户环境 （2）增强用户环境
自动安装应用程序到用户的“开始”菜单。
启动应用程序分发，方便用户在网络上找到并
安装相应应用程序。 安装文件或快捷方式到网络上相应位置或用户 计算机上的特定文件夹。 当用户登录或注销、计算机启动或关闭时自动 执行任务或应用程序。 重定向文件夹到网络位置增强数据可靠性。
用于企业级网络的Kerberos
公钥验证协议
安全套接字层 IP的安全性
(SSL) / 传输层安全 (TLS)
Active
Page 8
Directory身份验证的多种方式
2018/9/27
5.1.5 Windows 2000的网络模式
1．工作组模式：是一种简单的网络模式， 各个工作站的用户通过加入一个用户组共 享资源。 2．域模式：在此模式中，用户账号数据库 和计算机策略是以共享方式存储的。 3．安全限制：系统在共享级访问控制和用 户级访问控制方面是安全的，因为其有严 格的登录要求。
Page 2 2018/9/27
接下来是Windows 9X系列，包括Windows Me， Windows 9X的系统是一种16位/32位混合源代码的准 32位操作系统，故不稳定。 Windows 2000是发行于1999年12月19日的32位 图形商业性质的操作系统。Windows xp是微软公司 发布的一款视窗操作系统。它发行于2001年8月25日。 Windows Server 2003是目前微软推出的使用最广泛 的服务器操作系统，于2003年3月28日发布。 Windows Vista已在2006年11月30日发布。 Windows 7是微软的下一代操作系统，正式版已于 2009年10月23日发布。据国外媒体报道，日前有消 息称Windows 8计划的发布将是2012年下半年 。
Page 12
2018/9/27
Page 13
2018/9/27
添加/删除管理单元 为了便于统一管理和增强控制台的功能， 用户可以向控制台添加管理单元。但有时， 某一项控制台管理单元的功能可能不再为 用户所使用，这时用户可以将它删除。 步骤：A. 启动MMC，在“运行”菜单输入 mmc.exe，此时打开一个空白的MMC。 B. 选择“控制台”—“添加/删除管理单 元”,打开对话框，选择独立（或扩展）管 理单元类型。
第5章 Windows操作系统的安全机制
5.1
Windows操作系统的安全性概述 Active Directory的结构与功能
5.2
5.3
Active Directory组策略
5.4
用户和工作组的安全管理 审核机制
2018/9/27
5.5
Page 1
5.1 Windows操作系统的安全性概述
5.1.1 Windows操作系统概述
2018/9/27
5.2 Active Directory的结构与功能
Active Directory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对 象的信息，例如用户、组、计算机、共 享资源、打印机和联系人等，并且让管 理员和用户能够轻松地查找和使用这些 信息。
Page 11
2018/9/27
MMC 控制台窗口 Windows 2000的MMC控制台窗口由两个窗 格组成，左窗格称为控制台目录树，右窗格则称 为结果窗格，如下图所示的“组件服务”控制台 窗口。 控制台目录树显示给定控制台中可用的项目， 结果窗格则包含有关这些项目功能的信息。在控 制台目录树中，当用户单击不同项目时，结果窗 格中的信息将相应改变，结果窗格可以显示很多 类型的信息，包括网页、图形、图表、表格和列 表等。
Page 28
2018/9/27
组策略模板
组策略模板（GRT）是包含在域控制 器的 %systemroot%\SYSVOL\sysvol\<domain_na me>\Policies文件夹下的文件夹结构。 GPT是存储管理模板、安全设置、脚 本文件和软件设置的组策略设置信息的容 器。
Page 29 2018/9/27
Page பைடு நூலகம் 2018/9/27
5.1.6 Windows 2000安全管理工具
1 ．Microsoft 管理控制台（ MMC）：是指进行系 统维护的各种管理工具工作的地方,通过它用户可 以创建、保存和打开用于管理硬件、软件和 Windows 系统组件的工具。 MMC 本身不执行管 理功能，但可以接纳执行各种系统功能的工具， 可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任 务。 用户使用 MMC 有两种方法，第一种是在用 户模式下使用现有的 MMC 控制台管理系统，第 二种是在作者模式下创建新控制台和修改现有的 MMC控制台。
Page 26
2018/9/27
5.3.3 管理组策略
1．默认权限 2．委派组策略的控制权 3．Microsoft 管理控制台的策略 4．使用安全组筛选组策略 5．使用组策略控制组策略 6．添加模板
Page 27
2018/9/27
5.3.4 应用组策略
1．处理组策略 2．刷新组策略 3．解决冲突的组策略 4．组策略的继承关系
Page 10 2018/9/27
Windows 2000可以创建一个或多个 “控制台”，这些控制台内可以包含一个 或多个的管理单元。所有这些特性都能被 远程计算机使用，并允许管理员从同一网 络上的任何其他计算机上修复和配置其中 的某台计算机。“管理控制台”和“管理 单元”帮助用户更容易地管理本地或远程 计算机。
Page 20 2018/9/27
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访
问控制集成在Active Directory之中。 通过单点网络登录，管理员可以管理分散在 网络各处的目录数据和组织单位，经过授权 的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及 用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号，管 理员得以更加有效地管理系统的安全性。
Page 21 2018/9/27
5.3 Active Directory组策略
5.3.1 组策略简介
组策略（GP）提供进一步控制和集中管理 用户桌面环境的功能。组策略是一组配置 设置，组策略管理员应用于活动目录存储 中的一个或多个对象，也可以控制域中用 户的工作环境。 组策略还授予用户和组权 力。
Page 4 2018/9/27
3．在连接Internet期间保证系统安全 Internet协议安全 Kerberos V5身份验证协议 Internet连接防火墙 Cookie管理 4．使用智能卡增强安全性 使用智能卡可存储证书和私钥并实现公钥 操作，比如身份验证、数字签名和密钥交 换，Windows xp允许在安装了相应硬件和 软件的计算机上充分利用智能卡的优点。
Page 3 2018/9/27
5.1.2 Windows XP的安全特性
1．适合需要的文件系统 Windows XP支持3种文件系统，即NTFS、 FAT16和FAT32。 2．保护系统免受病毒侵害 系统中的软件限制策略，可以避免计算机 感染病毒和其他通过电子邮件和 Internet 传 播的恶意代码。
Page 24 2018/9/27
5.3.2 组策略的创建
1．组策略配置设置 组策略可以设置的策略如下。 （1）软件安装 （2）管理模板 （3）脚本 （4）安全性 （5）文件夹重定向
Page 25 2018/9/27
2．组策略对象的构成 3．创建组策略对象 4．创建未连接的组策略对象 5．组策略对象链接
Page 16 2018/9/27
5.2.1 Active Directory的功能和特 点
1．高度的集成性 2．集成的安全性 3．自定义的用户环境 4 ． Active Directory 与域名系统（ Domain Name System，DNS）高度集成 5 ． Active Directory 可 直 接 支 持 Lightweight Directory Access Protocol (LDAP) 及 Hypertext Transfer Protocol (HTTP) 6．Active Directory支持许多常用的标准名称格式 7．服务配置 8．支持目录的应用程序和软件安装
Microsoft公司从1983年开始研制Windows系 统，最初的研制目标是在MS-DOS的基础上提供 一个多任务的图形用户界面 。 第一个版本的Windows 1.0于1985年问世，它 是一个具有图形用户界面的系统软件。1987年推 出了Windows 2.0版，最明显的变化是采用了相互 叠盖的多窗口界面形式 。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功 确定了Windows系统在PC领域的垄断地位 。现今 流行的 Windows 窗口界面的基本形式也是从 Windows 3.0开始基本确定的 。