除了根据需求部署安全策略以外，Windows 2000还提供了许多安全模板， Windows 2000默认安全模板以.inf文件的形式存储在 %SystemRoot%\Security\Templates 文件夹中。下面的模板可在较低安全环境中应用。

Basicwk.inf — 适用于 Windows 2000 Professional

Basicsv.inf — 适用于 Windows 2000 Server

Basicdc.inf — 适用于基于 Windows 2000 的域控制器

在生产环境中应用安全模板之前，应确保域环境稳定和工作正常，这一点非常重要。在Active Directory 中应对DNS 服务器、域控制器复制和时间同步等关键部分加以验证。在验证完成后我们就可以开始用安全模板导入域控制器基准安全策略。

笔者以为域控制器导入C:\SecurityOps\Templates文件夹下名为Basicsv.inf的安全模板为例，具体步骤如下。

在 Active Directory 用户和计算机中，右键单击[域控制器]，然后选择[属性]。在组策略选项卡上，单击[新建]以添加新的组策略对象，键入策略名Basicsv Policy，右键单击 Basicsv Policy，然后选择“禁止替代”。默认域控制器策略将帐户管理以外的所有审计策略配置为“无审计”，同时默认域控制器策略的优先级较高，所以“无审计”设置将变成有效设置，因此必须选择禁止替代。单击[编辑]，展开 Windows 设置，右键单击[安全设置]，然后选择[导入策略]，在策略导入来源对话框中，浏览 C:\SecurityOps\Templates，然后双击 Basicsv.inf，关闭组策略，然后单击[关闭]。最后在域控制器之间强制进行复制，以便所有的域控制器都具有该策略，在“事件日志”中验证策略是否已成功下载，并验证服务器能否与域中的其他域控制器进行正常通讯。

Windows 2000 安全策略是一种为整个基于 Windows 2000 Server的环境提供一致设置的非常有用的方法。为了充分有效地对它进行部署，我们应当了解安全策略的应用位置，确保所有服务器都接收并应用正确的设置。

实际上，安全和应用在很多时候是矛盾的，我们需要在其中找到平衡点，毕竟服务器是给用户使用而不是给黑客攻击的，如果安全原则妨碍了系统应用，那么这个安全原则就不是一个好的原则。整个网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度，随着网络结构的变化、新的漏洞的发现，管理员和用户的操作，服务器的安全状况是随时随地变化着的，因此我们的安全策略也应该是不断调整的，这样我们才能构建出更加坚固的Windows 2000服务器。

 

1  Windows 2000 Server实用组网技术，人民邮电出版社，张红军等编著

2  Windows 2000 Server 组网与安全配置手册，中国青年出版社，李劲等编著

版权声明：因本文均来自于网络，如果有版权方面侵犯,请及时联系本站删除.