在Windows 2000操作系統中，我們可以使用“組策略”為用戶和計算機組定義用戶和計算機的配置。通過使用“組策略”，Microsoft管理控制臺(MMC)可以為特定用戶和計算機組創建個性化的配置。“組策略”配置包含在一個“組策略對象”(GPO)中，該對象又與選定的Active Directory服務容器如站點、域或組織單位(OU)等相關聯。組策略對象包括兩種對象——非本地和本地的組策略對象。

存儲在域控制器中的非本地組策略對象只能在Active Directory環境下使用。它們適用于組策略對象所關聯的站點、域或組織單位中的用戶和計算機。

本地組策略對象存儲在各個本地計算機上。一臺計算機上只存儲一個本地組策略對象，而且它有一個在非本地組策略對象中可用的設置子集。如果二者的設置發生沖突，非本地組策略對象的設置能覆蓋本地組策略對象的設置。如果不沖突，則都可以應用。

使用組策略，我們可以對用戶工作環境狀態只定義一次，然后靠系統實施管理員定義的策略，對用戶和計算機進行管理。

1.組策略安全概述

組策略包括應用于域或計算機組的大量安全權限配置文件。一個組策略對象可以應用到局域網內的所有計算機。單個計算機啟動時，組策略得以應用，如果作出改動時沒有重新啟動計算機，組策略會得到定期刷新。

(1)組策略工作原理。組策略與Active Directory用戶中的域和文件夾以及MMC管理單元相關聯。組策略授予的權限應用到存儲于該文件夾中的計算機上。使用Active Directory站點和服務管理單元還可將組策略應用到站點。子文件夾從父文件夾繼承組策略，子文件夾也可能依次有自己的組策略對象。指派給一個文件夾的組策略可能不止一個。組策略是安全組的補充，可以將單一安全配置文件應用到多臺計算機上。它加強了一致性并易于管理。組策略對象包含實現多種類型安全策略的權限和參數。總之，組策略可由父站點傳遞到子站點和局域網。如果將一個特定組策略指派給高級的父站點，這個組策略會應用到父等級以下所有站點，包括每個容器中的用戶和計算機對象。

(2)組策略的安全設置。位于組策略對象“安全設置”節點的容器包括：賬戶策略、本地策略、事件日志、受限組、系統服務、注冊表、文件系統、公鑰策略、Active Directory中的網際協議安全策略等。有些策略只應用于域的范圍，也就是說，策略設置是在域范圍內進行的。例如賬戶策略一律應用于域內的所有用戶賬戶。不能為同一域內的不同部門定義不同賬戶策略。至于安全策略范圍，賬戶策略和公鑰策略都具有域范圍。所有其他策略范圍都可在部門等級設定。

(3)安全模板。Windows 2000為在網絡環境設置中的使用提供了一套安全模板。“安全模板”是Windows 2000域控制器、服務器或客戶計算機上適合某一特定安全等級的安全設置配置文件。例如，hisecdc模板包括適合高安全性域控制器的設置。可以把安全配置文件導入組策略對象并把它應用到一個等級的計算機上。把安全配置文件導入個人數據庫用來檢查和配置本地計算機的安全策略。

2.實施組策略安全管理

在Windows 2000局域網中實施安全管理應分別從服務器和工作站兩方面進行。首先應在服務器上安裝活動目錄服務，然后在域上實施組策略；其次應將工作站置于服務器所管理的域中。

(1)啟動活動目錄服務。

在“程序→管理工具→配置服務器”選項中，選定左邊的“Active Directory”，啟動活動目錄安裝向導。設置過程中關鍵是要將服務器設置為第一個域目錄樹，DNS域名輸入ISP提供的域名，若不連接國際互聯網，也可任意設定。

(2)打開組策略控制臺。

啟動“Active Directory目錄和用戶”項，在右面對象容器樹中的根目錄上單擊右鍵，然后單擊“屬性”項，在新打開的窗口中單擊“組策略”選項卡，即可打開組策略控制臺。

3)設置組策略。

Windows 2000組策略有100多個與安全有關的設置和450多個基于注冊表的設置，為管理用戶計算機環境提供了眾多的選項，某一選項一旦被設置將會作用于登錄到域上的所有用戶和工作站。這里將幾個常用策略的設置步驟介紹一下，作為策略設置的參考。

1)啟用“登錄屏幕”上不顯示上次登錄的用戶名。這一選項可以保護用戶賬號的安全，阻止賬號盜用行為的發生。該選項所處位置按照“計算機配置→安全設置→本地策略→安全選項”的順序查找，雙擊該選項，選擇“啟用”。當用戶下次登錄域時，該項策略將被應用在用戶操作的工作站上。

2)啟動“活動桌面墻紙”。使用此選項，局域網上登錄域的所有計算機將使用同一桌面墻紙，并且不能被更改。因此,可以通過這一項策略的設置，防止臨時用戶隨意更換桌面墻紙，使局域網中的工作站具有相同的界面。該選項所處的位置是“用戶配置→管理模板→桌面→活動桌面”。

綜合應用Windows 2000的賬號安全、組策略安全和文件夾權限等安全屬性，可以很好地保護局域網中各工作站的安全。同時，使用賬號安全屬性對系統文件進行保護，還可對病毒的破壞起到防范作用。