管理提示
更新:2007 年 11 月
本节中描述的做法适用于所有管理方案。在设置和管理安全策略时,应记住这些做法。
长期的策略管理策略
定义可以用于管理策略的、适用的信任类别。定义若干代码组以区别可能在您的环境中运行的代码,并定义每个组应收到的权限。相应地制定策略并予以部署。应当在最初建立您的环境时创建总体策略,而不应在需要运行不同的应用程序时一点一点地建立策略。
管理级别
选择所管理的策略级别是由希望影响的范围决定的。应始终在影响用户最少而还能满足管理方案要求的最低策略级别上管理安全策略。例如:
如果所管理的策略将影响企业中的每个工作站和用户,则将该策略添加到企业级别。永远不要将一个不会影响企业中的所有计算机的策略添加到计算机的企业级别。
如果所管理的策略将影响特定计算机上的所有用户,则将该策略添加到计算机级别。
如果所管理的策略针对特定用户或用户组,则将该策略添加到用户级别。
文件系统
尽可能使用 NTFS 文件系统来存储安全策略文件。NTFS 帮助提供基于用户和组的文件保护,并且只允许具有特定级别的管理特权的用户来编辑安全配置文件。不使用 NTFS 文件系统的系统会允许未经授权的用户修改安全策略,因而具有安全弱点。