使用组策略管理系统服务
使用组策略可以集中管理域中计算机的服务的启动模式和管理服务的权限。
系统服务设置安全性,执行系统服务方面的安全措施时,您可以控制谁能够在工作站、成员服务器或域控制器上管理服务。目前,更改系统服务的唯一方法是通过使用”组策略”计算机设置。
如果将”组策略”作为”默认域策略”实施,该策略就会应用到域内的所有计算机。如果将”组策略”作为”默认域控制器策略”实施,该策略将只应用于域控制器的组织单元内的服务器。您可以创建包含可应用策略的工作站计算机的组织单元
3.10.1示例:集中管理系统服务
禁用不需要的服务,能够改善计算机的性能,增加安全性。
通过授权对服务管理权限,可以授权一个域用户统一管理域中计算机的某些服务。避免重要的服务被本地管理员关闭。
下面就以netlogon服务和Smart Card服务为例讲述如何使用组策略管理服务。
计算机加入域后netlogon服务启动模式会设置为“自动”。“netlogon”系统服务维护计算机和域控制器之间的安全通道,对用户和服务进行身份验证。它将用户的凭据传递给域控制器,然后返回用户的域安全标识符和用户权限。该服务停止,域用户将不能登录到域。
域管理员为了避免域中计算机的netlogon服务的启动模式设置成“禁用”或“手动”而不能启动,造成域用户不能登录到域。需要将该服务启动模式设置为”自动”。权限设置为只有域管理员能够完全控制。
由于公司不需要使用智能卡登录,因此禁用域中计算机的“Smart Card”服务。该服务管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。
在Windows XP上运行gpupdate /force刷新组策略,也不会立即生效。为了能够立即验证组策略设置的效果,我们编辑链接在“服务器组”组织单元的组策略,使用安装了Windows Server Core的服务器验证组策略设置。
要想在DCServer上管理Fileserver上的服务,必须授予域管理员从网络访问Fileserver的权利。
任务: