本文解释如何集中管理运行 Microsoft Windows XP Service Pack 2 (SP2) 的工作站。这完全依赖于 Active Directory 在工作站上应用组策略对象 (GPO) 来管理安全设置。

　　本文档的目的

　　不同组织有不同的安全需求。不管对于每个客户来讲安全要求有多严格，他们都可以应用本文中讲述的概念来协助管理工作站的安全设置。

　　开始之前

　　您必须以 Domain Admins 组成员的身份登录，才能完成以下过程。

　　注意 如果您无法更改工作站或者服务器，这可能是由于组策略造成的。在这种情况下，需要在组策略级进行更改。

　　若要完成此文档中的任务，使用组策略配置 Windows XP SP2 网络保护技术，请执行以下操作：

　　•应用安全修补程序

　　•更新现有组策略对象 (GPO)

　　•配置安全中心设置

　　•配置 Windows 防火墙设置

　　•配置 Internet Explorer 设置

　　•配置 Internet 通信管理设置

　　•通过 GPUpdate 应用设置

　　应用安全修补程序

　　Microsoft 建议您在所有 Windows 工作站和服务器上应用最新的安全修补程序和 Service Pack。运行修补程序之前最好都先备份整个计算机系统或其中的重要文件。

　　注意 本文中讲述的一些功能以及一些关键的安全功能依赖于某些最新的修补程序/修复程序。如果域控制器不是最新的，则它们可能不具有 GPO 内的 Windows XP SP2 工作站所需的管理模板。如果没有管理模板，新的 SP2 安全功能可能无法使用。

　　更新现有组策略对象

　　管理 Active Directory 中 GPO 的最佳方法是使用 Microsoft 组策略管理控制台 (GPMC)。它的作用等同于 Microsoft 管理控制台 (MMC) 和组策略对象编辑器 (GPOE) 管理单元协同使用。

　　GPMC 也使用组策略对象编辑器来编辑 GPO。

　　1.在 GPMC 内，双击要用新的管理模板更新的 GPO。GPO 将在 GPOE 中打开。

　　2.单击“确定”，然后单击“完成”。此操作将应用新的模板。

　　3.对每个 GPO 重复上述操作。

　　配置组策略对象

　　执行以下过程，在您的环境中配置 GPO。

　　配置安全中心设置

　　可以在受组策略控制的每个工作站上启用安全中心。安装了安全中心后，它可以通知每个工作站用户他们所使用的 Windows 防火墙、防病毒以及自动更新设置的状态。默认情况下，组策略不启用此功能。

　　1.打开 GPMC，双击在每个工作站上实施安全中心要用的 GPO。

　　2.在所选 GPO 内，依次打开“计算机配置”、“管理模板”、“Windows 组件”和“安全中心”。

　　3.双击“启用安全中心(仅域电脑)”。

　　4.启用此设置。

　　5.单击“确定”。

　　配置 Windows 防火墙设置

　　本节介绍 GPO 中的 Windows 防火墙设置以及小型企业环境中的建议设置。

　　1.在所选 GPO 内，依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”、“Windows 防火墙”和“域配置文件”。

　　2.双击每个设置，并按照下表中的信息进行配置。

　　注意 在域配置文件中启用“定义程序例外”后，您必须输入允许与您的计算机连接的所有程序，然后单击“确定”。