Giáo trình Hệ điều hành mạng - Lê Khánh Dương (Phần 1)

ch phần trước. Mặc dù vậy, ta vẫn có thể sử dụng System 
Policy Editor (POLEDIT) để quản lý các chính sách hệ thống trong Windows 2000. 
Các tệp chính sách hệ thống làm việc như sau trong dòng hệ điều hành Windows: 
9 Các tệp chính sách hệ thống đã tạo trongwindows 2000 hoặc WindowsNT 4 sẽ 
làm việc với các máy khách Windows 2000 và WindowsNT 4. 
9 Các tệp chính sách hệ thống đã tạo trong Windows98 hoặc Windows95 sẽ làm 
việc với các máy khách Windows98 hoặc Windows 95. 
Thông qua System Policy Editor, ta có thể cấu hình các chính sách hệ thống theo 
các bước sau: 
Người dùng mặc định: Chọn mặc định cho bất cứ người dùng nào đăng nhập 
vào từ máy tính NT (ghi vào khóa HKEY_CURENT_USER của Registry). 
Người dùng: Cho phép ta tạo các chính sách hệ thống theo yêu cầu cho người 
dùng cụ thể (ghi vào khóa HKEY_CURENT_USER của Registry). 
Nhóm: Những người sử dụng giống nhau các chính sách hệ thống. nhưng cho 
phép ta áp dụng các chính sách hệ thống đến các nhóm người dùng (ghi vào khóa 
HKEY_CURENT_USER của Registry). 
Default Computer: Chỉ định thiết lập mặc định cho bất kỳ máy tính Windows 
2000 hoặc Windows NT 4 trong miền (ghi vào khoá HKEY_LOCAL_MACHINE của 
Registry) 
Computer: Cho phép ta tạo các chính sách tuỳ ý cho một máy tính cụ thể (ghi 
vào khoá HKEY_LOCAL_MACHINE của Registry). 
Mặc định rằng không chính sách hệ thống nào được sử dụng trừ khi người quản 
trị tạo ra chúng. 
Trong phần tiếp theo, ta sẽ học cách chọn để có thể cấu hình các chính sách 
 51 
người dùng hoặc nhóm người dùng và các lựa chọn được quản lý thông qua các chính 
sách máy tính. 
Để mà quản lý các chính sách hệ thống cho các.người dùng và nhóm người dùng 
chỉ định, máy tính cài Windows 2000 Server của ta phải được cấu hình là domain 
controller. 
4.1 Cấu hình các chính sách hệ thống người dùng và nhóm người dùng 
Các chính sách đó ta có thể áp dụng cho tất cả mọi người dùng (thông qua biểu 
tượng Default User), đến người dùng chỉ định hoặc đến một nhóm người dùng, nó cho 
phép ta điều khiển màn hình nền và các thiết lập hệ thống. Các lựa chọn chính sách hệ 
thống của người dùng và nhóm người dùng được diễn giải trong bảng sau. Các chính 
sách hệ thống nhắc đến WindowsNT vì chúng được thiết kề chủ yếu để điều khiển 
máy khách NT để tương thích với các thế hệ trước. 
Bảng 3.7 
Chính sách Lựa chọn 
Control Panel Cho phép ta chỉ định thiết lập việc hiển thị 
như ẩn Screen Saver và Appearance của hộp 
hội thoại Display Properties. 
Desktop Cho phép ta cấu hình hình ảnh nền và cách 
phối màu. 
Shell Cho phép ta cấu hình sự hạn chế như việc ẩn 
Network Neighbothood và không ghi các 
thiết lập khi người dùng thoát. 
System Cho phép ta đặt các hạn chế như làm vô 
hiệu các công cụ soạn thảo Registry và chỉ 
cho phép chạy các ứng dụng Windows. 
WindowsNT System Cho phép ta chỉ định dù có phân tích được 
hay không tệp AUTOEXEC.BAT và dù có 
chạy đồng bộ hoá các kịch bản đăng nhập. 
WindowsNT Shell Cho phép ta cấu hình các thư mục Window 
NT và chỉ định hạn chế liên quan đến NT 
shell. 
Mặc định, hệ thống khoá các chính sách hệ thống domain controller xác định 
trong NETLOGON dùng chung tệp NTCONFIG.POL. Nếu ta muốn các chính sách hệ 
thống của ta phải có hiệu lực trong hệ thống rộng, ta phải lưu ý và chia sẻ tệp này vì nó 
được chỉ định do người dùng khi chính sách hệ thống được tạo ra. 
 52 
4.2 Quy định các chính sách hệ thống phù hợp 
Dựa theo các điều kiện, quy định chính sách hệ thống sẽ được sử dụng nếu người 
dùng có nhiều chính sách hệ thống được định nghĩa do người dùng hoặc do các thành 
viên của nhóm. 
Nếu người dùng có cấu hình tuỳ chọn chính sách hệ thống sẽ được sử dụng và 
các chính sách hệ thống này trong HKEỴCURREN USER của Registry. Điều này cho 
phép chỉ định các chính sách người dùng để lấy thứ tự lên trên bất kỳ các chính sách 
hệ thống người dùng mặc định hoặc nhóm đang tồn tại. Điều này có nghĩa là các chính 
sách hệ thống của 1 nhóm sẽ không được sử dụng nếu tồn tại một chính sách hệ thống 
của một người dùng. 
9 Nếu người dùng là thành viên của bất kỳ nhóm nào có cấu hình các tuỳ chọn 
chính sách hệ thống và không có bất kỳ lựa chọn chính sách hệ thống cho người 
dùng được định nghĩa. Các chính sách hệ thống nhóm sẽ được hợp nhất vào phần 
HKEY_CURREN_USER trong Registry bởi thứ tự ưu tiên. Nếu có nhiều chính 
sách nhóm được định nghĩa, nó có thể xác định quyền ưu tiên của nhóm trong 
các tuỳ chọn của System Policy Editor. 
9 Nếu người dùng không lựa chọn bất kỳ chính sách hệ thống người dùng hoặc 
chính sách hệ thống nhóm nào được áp dụng, khoá HKEY_CURRENT_USER sẽ 
được cập nhật với bất kỳ sự thay đổi nào được tạo ra bởi các chính sách hệ thống 
Default User. 
9 Nếu hiện trạng người dùng và chính sách hệ thống cùng được thể hiện có các 
thiết lập xung đột cho các lựa chọn giống nhau, các lựa chọn chính sách hệ thống 
sẽ ghi đè lên cấu hình hiện trạng người dùng trong Registry. 
Ví dụ: thừa nhận rằng Nam là một thành viên của các nhóm HR và Mangers. 
Anh ta có các chính sách hệ thống người dùng thiết lập cho Nam và chính sách hệ 
thống nhóm được thiết lập cho HR mà Managers. Chính sách hệ thống nhóm cho 
Managers cao so với của HR. Các tuỳ chọn chính sách hệ thống người dùng và nhóm 
người dùng được cấu hình được liệt kê như sau: 
Tùy chọn HR Manager Nam 
Color Schema Xanh lá cây 256 Hồng 256 Xanh và đen 
Hide Screen Server 
Tab in Control 
Panel 
Không thiết lập Không thiết lập. Ẩn 
Hide Apperance 
Tab in Control 
Panel 
Không thiết lập Ẩn Không thiết lập 
 53 
Shell Restriction, 
Hide Network 
Neighbothood 
Không thiết lập Ẩn Không thiết lập 
Shell Restriction, 
Save Setting on 
Exit 
Không thiết lập Ẩn Không thiết lập 
Bảng 3.8 cơ sở của chính sách hệ thống: 
Tùy chọn Các chính sách được so sánh với Nam 
Color Schema Xanh và đen (thông qua Nam thiết lập). 
Hide Screen Saver Tab in Control Panel Ẩn (thông qua Nam thiết lập) 
Hide Apperance Tab in Control Palnel Ẩn (thông qua Nam thiết lập) 
Sell Restriction, Hide Neighborhood. Không thiết lập (các chính sách hệ thống 
người Network dùng không sử dụng nếu 
các chính sách hệ thống tông tại). 
Shell Restriction, Save Setting on Exit Không thiết lập (các chính sách hệ thống 
người dùng không sử dụng nếu các chính 
sách hệ thống tông tại). 
4.3 Tạo các chính sách hệ thống cho người dùng và nhóm người dùng 
Nó rất rễ sử dụng cho soạn thảo cấu hình người dùng thông qua System Policy 
Editor, nó là giao diện đồ hoạ (GUI), hơn thế nó có thể soạn thảo trên cơ sơ văn bản 
Registry. Mặc dù vậy, khi ta sử dụng System Policy Editor, ta đang soạn Registry của 
ta, nhưng ta cần cẩn thận. Ta nên sao lưu Registry của ta trước khi thay đổi. Để cấu 
hình các chính sách hệ thống cho người dùng hoặc nhóm người dùng, hãy thực hiện 
theo các bước: 
1. Chọn Start ->Run, gõ POLEDIT trong hộp hội thoại Run và bấm nút OK. 
2. Cửa sổ System Policy Editor mở ra như trong hình 3.9. Chọn File -> New 
Policy. 
 54 
Hình 3.9 
3. System Policy Editor hiển thị các biểu tượng cho Default Computer và Default 
User như hiển thị hình 3.10 . Chọn Edit -> Add User (hoặc Add Group) . 
Hình 3.10 
4. Hộp hội thoại Add User(hoặc Add Group) xuất hiện như trong hình 3.11. Ta 
cần gõ tên của người dùng (hoặc của nhóm) hoặc bấm vào nút Browse để chọn từ danh 
sách các người dùng (hoặc nhóm người dùng ) được liệt kê sẵn. Sau khi ta thêm người 
dùng (mặc nhóm người dùng) bấm phím OK. 
Hình 3.11 
5. Người dùng hoặc nhóm người dùng được ta chọn xuất hiện trong cửa sổ 
System Policy Editor. Để soạn thảo hoặc hiển thị các thiết lập chính sách của người 
dùng (hoặc của nhóm người dùng ) hãy nhấp kép vào người dùng hoặc nhóm người 
dùng). 
6. Các chính sách sẽ được liệt kê trong phần Polices của hộp hội thoại Properties 
như trọng hình 3.12. Bấm vào các lựa chọn mà ta muốn cấu hình. 
 55 
Hình 3.12 
7. Ta xem trong danh sách tất cả các chính sách ta có thể định nghĩa. Hình 3.13 
hiển thị một ví dụ về các chính sách Shell, Restriction. Bấm vào hộp chọn (check box) 
có thể cấu hình mỗi lựa chọn như sau: 
9 Hộp chọn mầu xám có nghĩa là không chính sách nào được được áp dụng. 
9 Đánh dấu trong hộp chọn có nghĩa là chính sách đó được áp dụng. Coi như đó là 
giá trị đúng. 
9 Hộp chọn trống (hay trắng) có nghĩa là chính sách đó không được áp dụng. Coi 
như đó là giá trị sai. 
Hình 3.13 
8. Lặp lại các bước 6 và 7 để cấu hình cho mỗi lựa chọn mà ta muốn. Sau khi tất 
cả các lựa chọn được cấu hình. Bấm nút Ok 
9. Sau khi kết thúc việc soạn thảo các chính sách về người dùng và nhóm người 
dùng, ghi lại các chính sách bằng cách chọn File -> Save. 
 56 
Tạo các chính sách hệ thống cho một người dùng trên domain controller: 
1. Sử dụng tiện ích Active Directory Users and Computer để tạo một người dùng 
Nam. 
2. Chọn Start -> Run, gõ POLEDIT trong hộp hội thoại Run và bấm nút OK. 
3. Trong cửa sổ System Policy Editor chọn File ->New Policy. 
4. Chọn Edit ->Add User. Trong hộp hội thoại Add User bấm vào nút Browse. 
Chọn người dùng Nam và bấm nút Add, Sau đó bấm nút OK. 
5. Nhấp kép vào người dùng Nam. Trong thành phần giao tiếp Policy chọn Shell 
tiếp đó là Restrictions. Đánh dấu hộp chọn Remove Run Command from Start Menu 
và hộp chọn Hide Drives in My Computer. Sau đó bấm nút OK. 
6. Chọn File -> Save trong hộp hội thoại Save As chọn 
C:\WINNT\sysvol\sysvol\yourdomain\Scripts\NTCONFIG.POL. 
4.4 Cấu hình các chính sách hệ thống máy tính 
Cần quản lý thiết lập máy tính thông qua các chính sách hệ thống. Sau đây là một 
số các lựa chọn mà ta có thể cấu hình: 
9 Thiết lập mạng được sử dụng để điều khiển cập nhật chính sách hệ thống. 
9 Thiết lập hệ thống được sử dụng chạy các mục lúc khởi động. 
9 Thiết lập Windows NT Network để điều khiển cách các sự chia sẻ thiết bị ẩn 
được tạo. 
9 Thiết lập Windows NT Printers để điều khiển lựa chọn cấu hình máy in. 
9 Thiết lập Windows NT Remove Access để điều khiển lựa chọn truy cập từ xa. 
9 Thiết lập Windows NT Shell để điều khiển các mục đối tượng được khách hàng 
chia sẻ như các mục trong Desktop và trong thực đơn Start. 
9 Thiết lập Windows NT System được sử dụng cấu hình đăng nhập và thiết lập tệp 
hệ thống. 
Thiết lập Windows NT User Profiles được sử dụng cấu hình các thiết lập hiện 
trạng người dùng. . 
5. Sử dụng công cụ Security Configuration and Analyis 
Windows 2000 Server bao gồm một tiện ích được gọi là Security Configuration 
and Analysis, ta có thể sử dụng để phân tích.nhằm hỗ trợ việc cấu hình các thiết lập 
bảo mật nội bộ trong máy tính. Tiện ích này làm việc bằng cách so sánh cấu hình bảo 
mật hiện thời của ta với cấu hình mẫu trong các thiết lập đề nghị của ta. 
Thực thi, cấu hình, quản lý và gỡ rối vấn đề bảo mật bằng cách sử dụng tập công 
cụ cấu hình bảo mật (Security Configuration Tool Set). Tiến trình phân tích bảo mật 
 57 
gồm các bước sau: 
1. Sử dụng tiện ích Security Configuration and Analysis, chỉ định cơ sở dữ liệu 
làm việc sẽ được sử dụng suốt thời gian phân tích bảo mật. 
2. Mở mẫu về bảo mật mà ta sử dụng làm nền tảng để ta cấu hình sự bảo mật 
tương tự như mẫu này. 
3 . Thực hiện phân tích vấn đề bảo mật. Nó sẽ so sánh lại cấu hình của ta với mẫu 
mà ta đã chỉ định trong bước 2 . 
4. Xem lại kết quả của việc phân tích. 
5 . Quyết định bất cứ sự khác nhau nào được chỉ ra thông kết quả phân tích. 
Tiện ích Security Configuration and Analysis có trong MMC. Sau khi ta thêm 
tiện ích này vào trong MMC, ta có thể chạy tiến trình phân tích bảo mật, nó được diễn 
giải trong phần tiếp theo. 
5.1 Chỉ định cơ sở dữ liệu bảo mật 
Cơ sở dữ liệu bảo mật dược sử dụng để lưu trữ kết quả phân tích bảo mật của ta. 
Để chỉ định cơ sở dữ liệu bảo mật hãy thực hiện theo các bước sau: 
1. Trong MMC bấm chuột phải vào Security Configuration and Analysis và chọn 
Open Database từ mênh như trong hình 3.14: 
Hình 3.14 
Hộp hội thoại Open Database sẽ xuất hiện như trong hình 3.15. Trong ô Filename 
gõ tên tệp cơ sở dữ liệu ta sẽ tạo. Mặc định phần mở rộng của tệp là .sbd (cho cơ sở dữ 
liệu cảo mật). Bấm nút OK. 
Hình 3.15 
System Services Đặt cơ chế bảo mật cho các phục vụ hệ thống mô hình khởi 
động mà các phục vụ của hệ thống nội bộ sẽ được sử dụng. 
Sau khi ta thêm Security vào MMC, ta có thể mở 1 mẫu bảo mật đơn giản và 
 58 
thay đổi chúng như sau: 
1. trong MMC bung nút Security Templates và mở thư mục cho 
\Windir\Security\Templates. 
2. Nhập kép chuột vào bản mẫu mà ta muốn soạn thảo bao gồm basicv (basic 
server) và basicdc (basic domain controller). 
3. Tạo mọi sự thay đổi mà ta muốn từ bản mẫu đơn giản này. Cũng thường chỉ là 
các chỉ định mà ta muốn hệ thống được cấu hình. 
Sau đó ta ghi bản mẫu được lựa chọn, bấm chuột phải làm xuất hiện thực đơn và 
chọn tuỳ chọn Save As từ thực đơn này. Chỉ định vị trí và tên tệp cho bản mẫu mới 
này. Mặc định nó sẽ được ghi với phần mở rộng là .inf trong thư mục 
\Windir\Security\Templates 
b) Mở mẫu bảo mật: 
Sau khi ta cấu hình bản mẫu, ta có thể nhập nó để sử dụng cùng tiện ích Security 
Configuration and Analysis. Để nhập mẫu bảo mật trong MMC, bấm chuột phải vào 
tiện ích Security Configuration and Analysis và chọn Import Template. Sau đó chọn 
tệp mà ta muốn mở và bấm nút Open. 
5.3 Phân tích bảo mật 
Bước tiếp theo là thực hiện phân tích bảo mật. Để thực hiện việc phân tích này, 
bấm chuột phải vào tiện ích Security Configuration and Analysis và chọn Analyze 
Computer Now. Ta sẽ thấy hộp hội thoại Perform Analysis xuất hiện cho phép ta chỉ 
định vị trí và tên tệp cho đường dẫn tệp lưu trữ các lỗi sẽ được phát sinh trong suốt quá 
trình phân tích. Sau khi các thông tin đã được cấu hình, bấm nút OK. Khi việc phân 
tích hoàn thành, ta sẽ quay trở lại cửa sổ MMC chính. Từ đây ta có thể xem kết quả 
của quả trình phân tích bảo mật. 
Hiển thị kết quả phân tích bảo mật và xác định những sự sai khác. 
Kết quả của việc phân tích bảo mật dược lưu trữ trong Security Configuration 
and Analysis, dưới mục bảo mật được cấu hình ( xem bảng 3.9). Ví dụ để xem kết quả 
của các chính sách mật khẩu, nhấp kép chuột vào Security Configuration and Analysis, 
nhấp kép chuột vào Account Policies và nhấp kép chuột vào Password Policy. Hình 
3.16 hiển thị ví dụ của kết quả của sự phân tích bảo mật cho các chính sách mật khẩu. 
 59 
2. Hộp hội thoại Import Template mở ra, chọn mẫu mà ta muốn sử dụng. Ta có 
thể chọn các mẫu định nghĩa sẵn thông qua hộp hội thoại này. Trong phần tiếp theo, ta 
sẽ học cách tạo ra và sử dụng các tệp mẫu tuỳ biến. Ta chọn và bấm nút OK. 
5.2 Mẫu bảo mật 
Bước tiếp theo trong tiến trình phân tích bảo mật là nhập một mẫu về bảo mật. 
Mẫu này được sử dụng như công cụ so sánh. Tiện ích Security Configuration and 
Analysis so sánh thiết lập bảo mật của các thiết lập trong bản mẫu với các thiết lập 
hiện thời của ta. Ta không đặt bảo mật thông qua các mẫu. Đúng hơn là mẫu bảo mật 
chỉ là nơi mà ta tổ chức tất cả các thuộc tính bảo mật của ta trên vị trí đơn lẻ. 
Với nhà quản trị, ta có thể định nghĩa một bản mẫu về bảo mật trên máy tính đơ 
lẻ và chuyển chúng cho tất cả các máy chỉ thông qua mạng. 
a) Tạo mẫu bảo mật: 
Ta tạo bản mẫu bảo mật thông qua Security Templates trong MMC. Ta có thể 
cấu hình nó với các mục như trong bảng 3.9 các cấu hình mẫu bảo mật sau: 
Bảng 3.9 
Mục của mẫu bảo mật Giải thích 
Account Policies Chỉ định cấu hình phải được sử dụng cho 
các chính sách mật khẩu, các chính sách 
kiểm soát tài khoản thử đăng nhập và các 
chính sách Kerberos. 
Local Polices Chỉ định cấu hình phải được sử dụng cho 
các chính sách kiểm định, các chính sách 
quyền người dùng và các lựa chọn bảo 
mật. 
Event Log Cho phép ta đặt thiết lập cấu hình áp dụng 
cho các tệp nhật ký của Event Viewer. 
Restricted Groups Cho phép ta quản trị các thành viên của 
nhóm nội bộ 
 60 
Registry Chỉ định bảo mật cho các khoá Registry 
nội bộ. 
File System Chỉ định bảo mật cho các tệp hệ thống nội 
bộ. 
 Hình 3.16 
Các chính sách đã được phân tích sẽ có các dấu X hoặc √ tại mỗi chính sách như 
hiển thị trong hình trên. Dấu X có biểu thị chính sách mẫu và chính sách hiện thời là 
không tương ứng. Dấu √ có biểu thị chính sách mẫu và chính sách hiện thời là tương 
ứng. Nếu có bất kỳ sự trái ngược nào đã được biểu diễn, ta phải sử dụng Group Policy 
để giải quyết sự tranh chấp ấy. 
Ví dụ: Sử dụng Security Configuration and Analysis ở phần này ta sẽ thêm 
Security Configuration and Analysis vào MMC, chỉ định ra một cơ sở dữ liệu bảo mật, 
tạo một mẫu bảo mật, nhập mẫu bảo mật, thực hiện phân tích và xem xét kết quả. 
Thêm tiện ích Security Configuration and Analysis 
1. Chọn Start -> Programs ->Administrative Tools ->security. 
2. Chọn Console -> Add/Remove Snap-in. 
3. Trong hộp hội thoại Add/Remove Snap-in bấm chuột vào nút Add. Chọn 
Security Configuration and Analysis rồi bấm vào nút Add. Rồi bấm vào nút Close. 
4. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK 
Chỉ định cơ sở dữ liệu bảo mật: 
1. Trong MMC bấm chuột phải vào Security Configuration and Analysis, chọn 
Open Database. 
2. Trong hộp hội thoại Open Database gõ sampledb trong hộp nhập tên tệp. Sau 
đó bấm Open. 
3. Trong hộp hội thoại Import Template chọn mẫu baicsv và bấm nút Open. 
 61 
Tạo mẫu bảo mật: 
1. Trong MMC chọn Chọn Console -> Add/Remove Snapin. 
2. Trong hộp hội thoại Add/Remove Snap-in bấm chuột vào nút Add. Chọn 
Security Template rồi bấm vào nút Add. Rồi bấm vào nút Close. 
3. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK. 
4. Mở mục Security Template sau đó mở thư mục Window 
NT\Security\Templates. 
5. Nhấp đúp vào tệp basicsv. 
6. Chọn Acocunt Polices, sau đó là Password Policy. 
7. Soạn thảo các chính sách mật khẩu theo các bước sau: 
9 Đặt tuỳ chọn Enfoce Password History là nhớ 10 mật khẩu. 
9 Thiết lập tuỳ chọn Passwords Must Meet Complexity Requirements là cho phép. 
9 Đặt tuổi thọ tối đa là 30 ngày. 
8. Chọn tệp basicsv và bấm vào tựu chọn Save As. 
9. Trong hộp hội thoại Save As gõ tên tệp servertest vào thư mục mặc định. Bấm 
nút Save. 
Nhập mẫu bảo mật: 
1. Chọn Security Configuration and Analysis, bấm chuột phải và chọn Import 
Template. 
2. Trong hộp hội thoại Import Template chọn tệp servertest và bấm nút Open. 
Thực hiện và xem xét kết quả phân tích bảo mật: 
1. Chọn Security Configuration and Analysis bấm chuột phải và chọn Analyze 
Computer Now. 
2. Trong hộp hội thoại Perform Analysis chấp nhận đường dẫn mặc định cho tệp 
ghi lại lỗi và bấm nút OK. 
3 . Khi quay trở lại cửa sổ chính MMC nhấp đúp vào Security Configuration and 
Analysis. 
4. Nhấp đúp vào Accout Policies và nhấp đúp vào Password Policy. Ta sẽ thấy 
kết quả của sự phân tích cho mỗi chính sách được chỉ định bởi dấu X và √ cạnh mỗi 
chính sách. 
Tổng kết chương 
Trong chương này ta đã học được về các đặc tính của Windows 2000 Server. Nó 
bao phủ các chủ đề : 
 62 
9 Thiết lập bảo mật, nó có thể được áp dụng cho mức nội bộ hoặc mức miền. Việc 
quản lý các chính sách bảo mật nội bộ, sử dụng Group Policy với đối tượng 
Local Computer Group Policy. Để quản lý các chính sách bảo mật miền sử dụng 
Group Policy với đối tượng Domain Controller Group Policy. 
9 Các chính sách tài khoản điều khiển tiến trình đăng nhập. Có 3 loại chính sách tài 
khoản là mật khẩu, chính sách kiểm soát sự vi phạm đăng nhập và chính sách 
Kerberos. 
9 Các chính sách nội bộ điều khiển những cái mà ta có thể làm với máy tính nội bộ. 
Có 3 loại chính sách gồm: kiểm định, ấn định quyền người dùng, và các chính 
sách lựa chọn bảo mật. 
9 Các chính sách hệ thống được sử dụng định nghĩa môi trường Desktop của người 
dùng. Trong Window 2000 các chính sách hệ thống này được giữ lại nhằm tương 
thích với máy khách Window 9x và WindowsNT. 
9 Tiện ích Security and Analysis Configuration được sử dụng phân tích cấu hình 
bảo mật của ta. ta thực hiện tiện ích này để so sánh thiết lập bảo mật tồn tại với 
cấu hình mẫu đi ta thiết lập sự sai khác.