 在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,假如让网管为网内电脑逐一进行配置的话,工作量会很大,而且在细节配置上也容易出错。那么,怎样才能提高规模化环境内的防火墙配置效率呢? Windows防火墙是Windows XP SP2中一个极为重要的安全设计,他能够有效地协助我们完成电脑的安全管理。今天,笔者将为大家介绍怎样使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内电脑配置防火墙的效率。 为什么要集中部署 首先,我们要了解组策略对Windows防火墙的作用是什么。组策略能够决定本地管理员级别的用户是否能够对Windows防火墙进行各种配置,能够决定Windows防火墙的哪些功能被“禁用”或“允许”…… 显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,任何客户机的Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何配置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成任何客户机的Windows防火墙配置,而不必逐台进行了。 用组策略部署防火墙 在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍怎样在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对任何安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。 提示:为什么不是在域服务器中进行组策略的新建和配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到完全解决。 OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文档→添加/删除管理单元”,添加“组策略对象编辑器”。 在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。 提示:客户机的当前登录账户必须具备管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可。 |
喜欢本文,那就收藏到: |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
Rss Feed
