| 【旗標技術通訊電子報】第108期 2001.6.18 ***************************************************************** ※本期書摘:管理以「登錄檔」為主的原則 ※下期書摘:Office XP 新增功能 ※最新活動:買旗標電腦書 搶百萬贈品 ***************************************************************** ※新書訊息: OFFICE XP 非常 EASY(全彩印刷) 施威銘研究室著 580元 Access 2002 使用手冊 施威銘研究室著 490元 ※最新活動:買旗標電腦書 搶百萬贈品 好康1 即日起至 90.12.31 止 買旗標 Office XP 系列電腦書 月月抽 PDA、數位相機、GUIDE 吃喝玩樂套書 早買早中獎,最多有 6 次抽獎機會! 還可重複參加 20 台液晶螢幕抽獎活動! 好康2 7/1 ~ 9/30 剪下旗標 Office XP 系列書內截角 至全省金石堂購買 PC2000 雜誌只要 99 元 (其他好康近日公開 敬請期待) 詳情請看旗標網站 www.flag.com.tw 或 Office XP 系列書內說明 ****************************************************************** ※本期書摘:管理以「登錄檔」為主的原則 ****************************************************************** 以登錄檔為主之原則的使用者界面是透過「系統管理範本」 (Administrative Template, ADM) 檔案來控管。這些描述使用者界面的檔 案, 會在群組原則嵌入式管理單元內, 以系統管理範本節點的形式呈現。 雖然這些檔案的格式與 Windows NT 4.0 版的「微軟系統原則編輯器」 (Microsoft System Policy Editor, 即 poledit.exe) 所採用的 ADM 檔案 相容, 但仍不應該將前版 Windows 作業系統的範本檔案匯入 Windows 2000 , 因為它們不但不適用, 而且還可能會損害登錄檔。 在瞭解利用登錄檔來管理 Windows 2000 安全性的實際觀點之前, 先瞭解一 下資訊儲存的方式將會很有幫助。「群組原則範本」 (Group Policy Template, GPT) 資料夾底下包含了以下數個子資料夾: ◎Adm - 包含 GPT 的所有 ADM 檔案。 ◎Scripts - 包含 GPT 的所有指令檔與其相關的檔案。 ◎User - 包含套用到使用者登錄檔設定的 "registry.pol" 檔案。當使用 者登入電腦時, 會下載 "registry.pol" 這個檔案, 並且套用到登錄檔的 "HKEY_CURRENT_USER" 部分, 使用者的資料夾包含 "Apps" 子資料夾,其 中持有由「Windows 安裝程式」所採用的 "Advertisement" 檔, 以及包 含被展開檔案的 "Files" 子資料夾。 ◎Machine - 包含 "registry.pol" 檔案, 其內有供電腦套用的登錄檔設 定。當電腦啟動時, 會下載 "registry.pol" 這個檔案, 並且套用到登 錄內容的"HKEY_LOCAL_MACHINE" 部分。「機器」 (Machine) 相關的資料 夾包括 "Apps" 子資料夾, 以及 "Files" 子資料夾 (在這裡, 應用程式 是根據每台電腦來公佈)﹔它也包含一個內含安全編輯檔案 "GPTTmpl.inf" 的子資料夾。 User 與 Machine 資料夾是在安裝時所產生的﹔當原則被設定時, 會再視需 要產生其他的資料夾。 "registry.pol" 這個檔案包含了自訂的登錄檔設定, 在 Windows 2000 中 的 "registry.pol" 為文字檔, 而在 Windows NT 4.0 版中的同一個檔則 為二進位格式。請建立兩個 "registry.pol" 檔案:一個是針對「電腦設 定」, 並且儲存於 GPT 資料夾之下的 Machine 子資料夾;另一個是針對 「使用者設定」, 儲存於 GPT 資料夾之下的 User 子資料夾。請以下述程 序來產生或修改原有的 "Registry.pol" 檔案: 1. 當啟動群組原則編輯器時, 會產生一個暫時的「登錄樹狀結構」 (Registry tree), 由兩個節點所組成, 分別是:User 與 Machine。 2. 當您展開群組原則編輯器的軟體設定節點時, 將會顯示 ADM 檔案與嵌 入式擴充節點。選擇好特定節點後, 隨即動態地載入群組原則編輯器節 點內的 ADM 檔案, 此時, 這份 ADM 檔案會存放於快取區中。 3. 當在 MMC 主控台視窗的「細部窗格」 (即右邊的窗格) 中選擇原則時, 會查詢步驟 1 所產生的暫時登錄檔, 以確認選定的原則是否已經有指 定的登錄值。若其中已存有登錄值, 則這些登錄值會出現在原則交談窗 中。 4. 若選定的原則並沒有指定的登錄值, 則會使用從 ADM 檔案或從相關的 MMC 嵌入式管理單元擴充而來的預設值。 5. 修改原則之後, 所指定的登錄值會寫入暫存登錄檔中的適當位置。 6. 當關閉群組原則編輯器時, 暫存的登錄檔會匯入到合適的 GPT 資料夾 內之 "registry.pol" 檔案。 7. 當下次為同一個 GPO 啟動群組原則編輯器時, 會把對應的 "registry.pol" 檔案內的登錄資訊引進到暫存的登錄樹狀結構中。 假設在不同 DC 上的兩位系統管理員, 同時都對同一個 GPO 啟動群組原則 編輯器, 則可能發生一位系統管理員所做的原則變更被另一位系統管理員所 覆蓋的情形。如果發生了這種情況, 最後一位系統管理員所做的原則變更將 會是有效的原則設定。有一個方法可以防止這種情形的發生, 那就是嚴格限 制網域系統管理員的數量。請盡量不要隨便授與使用者對任何 GPO 的寫入 權限, 務必在可能的範圍內將擁有此項權限的使用者數量維持在最少的狀態。 ****************************************************************** 以上內容摘自『Windows 2000 網路安全深度探索』 安人玉‧廖穎芝 譯 書號:F8172 定價:590 元 ****************************************************************** 想索取前幾期的電子報內容請至易達網網站下載 http://lib.edirect168.com/enews/enews.asp?CH=87 本電子報內容未經授權請勿轉載 版權所有人:旗標出版股份有限公司 好書能增進知識、提高學習效率 卓越的品質是旗標的信念與堅持 http://www.flag.com.tw ═<智邦生活館電子報發報中心>═══════════════════ ˙欲訂閱或取消智邦生活館電子報: http://www.url.com.tw/enewsv2/ ˙收報、退報有問題,請洽智邦生活館客服信箱: mailto:cs@url.com.tw ˙歡迎申請智邦生活館免費電子信箱: http://www.url.com.tw ˙智邦生活館電子報發報中心: mailto:news@url.com.tw ˙您想要登廣告: http://www.url.com.tw/html/ad.htm ˙本電子報文章與其相關連結由電子報報主提供,智邦生活館負責發送。 ════════════════ 作自己的媒體,唱自己的歌 ══ |