如何创建域控制器 GPO 并导入 Exchange 域控制器基线策略模板
上一次修改主题: 2006-12-05
本主题说明如何创建域控制器组策略对象 (GPO) 并导入 Exchange 域控制器基线策略模板到 GPO。您可以从 Microsoft Exchange Server 2003 Security Hardening Guide(Exchange Server 2003 安全强化指南)下载 Exchange 域控制器基线策略模板 (Exchange_2003-DC_Incremental_V1_1.inf)。
下表列出了 Windows Server 2003 域控制器基线策略与 Exchange 2003 域控制器基线策略之间的不同点。该表之后是每个不同点的详细说明。
Windows Server 2003 域控制器基线策略与 Exchange 2003 域控制器基线策略之间的不同点
选项 | Windows Server 2003 域控制器基线策略 | Exchange 2003 域控制器基线策略 |
---|---|---|
禁用 SAM 帐户和共享的匿名枚举 |
启用 |
禁用依赖于默认权限,因为 Outlook 2003 之前的 Outlook 版本需要匿名连接。 |
如果无法记录安全审核则立即关闭系统 |
启用 |
禁用 |
帐户登录事件审核 |
成功和失败 |
失败 |
登录事件审核 |
成功和失败 |
失败 |
对匿名连接的其他限制
Exchange Server 2003 中的匿名限制设置不同于 Windows Server 2003 中的匿名限制设置,因为 Outlook 2000 和 Outlook 2002 客户端以匿名方式联系全局编录服务器以获取信息。由于 Windows Server 2003 Security Guide中指定的设置限制对全局编录服务器的匿名查询,因此 Outlook 2000 和 Outlook 2002 用户无法发送内部邮件,并且必须使用外部地址。但是,由于 Outlook 2003 需通过全局编录服务器的身份验证,因此不必在纯 Outlook 2003 环境中放宽此安全设置。注意: 有关此问题的详细信息,请参阅 Microsoft 知识库文章 309622,应用了 Q299687 Windows 2000 安全修补程序后,客户端无法浏览全局通讯簿 如果无法记录安全事件则立即关闭系统
由于在登录失败的情况下(如密码输入错误),失败事件可能会迅速填充到日志中,因此禁用此设置。帐户登录事件审核和登录事件审核
由于 Exchange Server 2003 在正常运行期间会产生大量的成功登录事件,因此修改了帐户登录事件和登录事件审核设置。如果对登录事件启用了成功审核,则成功事件会迅速填充到安全日志中;因此,Exchange 域控制器基线策略仅记录失败事件。
如果要通过“组策略”属性页将 Exchange 2003 DC Incremental.inf 文件导入到“域控制器”组织单位中,那么部署 Exchange 域控制器基线策略模板是最有效的方式。
开始之前
“组策略”选项卡上的策略的顺序决定了应用策略的顺序;因此,将 Exchange 域控制器基线策略置于 Windows Server 2003 域控制器基线策略之上很重要。
强烈建议在执行下列步骤之前,阅读强化 Exchange 2003 服务器的安全性。
步骤
创建域控制器 GPO 并导入 Exchange 域控制器基线策略模板
在 Active Directory 用户和计算机中,用鼠标右键单击“域控制器”,再单击“属性”。
在“组策略”选项卡上,单击“新建”以添加新的组策略对象。
键入“Exchange DC 策略”,然后按 Enter。
单击“编辑”。“组策略编辑器”打开。
在“组策略编辑器”中的“计算机配置”下,展开“Windows 设置”,用鼠标右键单击“安全设置”,再单击“导入策略”。
注意: 如果菜单上未出现“导入策略”,请关闭“组策略编辑器”,然后重复步骤 4 和步骤 5。 在“策略导入来源”中,导航到保存 Exchange 组策略安全模板的目录,然后双击 Exchange 2003DC Incremental.inf。
关闭“组策略编辑器”,然后单击“确定”。
在“域控制器属性”中,选择“Exchange DC 策略”,单击“向上”,直到“Exchange DC 策略”位于列表的顶部,再单击“应用”,然后单击“确定”。
导入策略后,必须等待该策略复制到其他域控制器,或者使用 Active Directory 站点和服务 MMC 管理单元来强制执行复制过程。复制确保了所有域控制器都更新了此策略。
注意: 虽然通过复制应用了此策略,但必须重新启动服务器才能使策略生效。 在事件日志中,要确认策略是否已成功下载,请搜索这样的应用程序信息事件:SceCli 1704。然后,验证服务器是否可以与域中的其他域控制器通信。
每次重新启动一个域控制器,以确保每次重新启动都成功,并且策略已生效。