Network Determination Behavior for Network-Related Group Policy Settings(网络相关组策略设置的网络确定行为)
本页内容
 |
简介 |
|
使用网络确定的组策略设置 |
|
网络确定的工作方式 |
|
更多信息 |
简介
Microsoft® Windows Server™ 2003 或 Windows® XP 的联网组件必须确定计算机是连接到一个包含域控制器的受管网络(计算机属于该域)还是另一个网络,这样才能正确应用一组与网络相关的组策略设置。有的计算机配置组策略设置可以启用或禁用 Internet 连接共享 (ICS)、Internet 连接防火墙 (ICF) 和网桥,有的设置可以启用、禁用或配置 Windows 防火墙,这取决于计算机是否连接到一个受管的单位网络中。
使用网络确定的组策略设置
本节讨论了下列计算机配置组策略设置:
| • |
在计算机配置 \ 管理模板 \ 网络 \ 网络连接中,禁止在您的 DNS 域网络上使用 Internet 连接共享 |
| • |
在计算机配置 \ 管理模板 \ 网络 \ 网络连接中,禁止在您的 DNS 域网络上使用 Internet 连接防火墙 |
| • |
在计算机配置 \ 管理模板 \ 网络 \ 网络连接中, 禁止在您的 DNS 域网络上安装或配置网桥 |
| • |
在计算机配置 \ 管理模板 \ 网络 \ 网络连接 \ Windows 防火墙中 Windows XP Service Pack 2 (SP2) 的 Windows 防火墙设置 |
这些设置使用网络确定来指定网络服务的行为和配置。
禁止在您的 DNS 域网络中使用 Internet 连接共享
这个设置决定了本地管理员用户(其帐户是本地管理员安全组的成员)是否可以在 Internet 连接中启用和配置 ICS。ICS 让本地管理员可以将系统配置为小型网络的 Internet 网关,它还为本地专用网络提供了一些网络服务,如名称解析和通过 DHCP 寻址。
如果您启用了这一设置,用户(包括本地管理员)将不能启用或配置 ICS。如果您禁用这一设置或没有对其进行配置,并且您拥有两个或更多连接,本地管理员就可以启用 ICS。
禁止在您的 DNS 域网络中使用 Internet 连接防火墙
这一设置决定了用户是否可以在连接中启用 ICF。ICF 是在装有 Service Pack 1 (SP1) 和未装 Service Pack 的 Windows XP 中基于主机的状态防火墙,家庭或小型办公室用户安装它来防御来自 Internet 网络的攻击。
如果您启用了这一设置,用户(包括本地管理员)将不能启用或配置 ICF。如果您禁用这一设置或没有对其进行配置,在创建 LAN 连接或 VPN 连接时,ICF 将会被禁用,但是本地管理员可以使用连接属性中的“高级”选项卡来启用它。
禁止在您的 DNS 域网络中安装或配置网桥
本设置决定了用户是否可以安装或配置网桥。网桥允许用户创建一个第 2 层透明桥,使他们可以把两个或更多个 LAN 段连接到一起,以创建单个的网络段(子网)。这个连接出现在“网络连接”文件夹中。
如果您启用了这一设置,用户(包括本地管理员)将不能启用或配置网桥。通过 LAN 连接的上下文菜单启用网桥的选项已经被删除。启用这个设置并不会从用户的计算机中删除已有的网桥。
如果您禁用这一设置或不对其进行配置,本地管理员将能够创建或修改网桥的配置。.
Windows XP SP2 的 Windows 防火墙设置
要想在一个使用 Active Directory® 目录服务的单位网络中对众多计算机进行集中配置,可以通过计算机配置组策略对运行装有 SP2 的 Windows XP 的计算机中的 Windows 防火墙设置进行部署。一组新的计算机配置组策略 Windows 防火墙设置允许网络管理员使用组策略对象配置 Windows 防火墙的运行模式、例外通信和其他设置。
在使用新的 Windows 防火墙组策略设置时,您可以在计算机配置 \ 管理模板 \ 网络 \ 网络连接 \ Windows 防火墙中设置两种不同的配置文件:
| • |
域配置文件 域配置文件是计算机连接到受管网络时所需要的一组 Windows 防火墙设置。比如,域配置文件可能包括应用程序和服务的例外通信的设置,这些应用程序和服务是企业网络中的受管计算机所需要的。 |
| • |
标准配置文件 标准配置文件是计算机连接到另一个网络时所需要的一组 Windows 防火墙设置。一个很好的例子就是一个单位的膝上型计算机被带出去时,它使用公共宽带或无线 Internet 服务提供商来连接到 Internet。因为单位的膝上型计算机直接连接到 Internet 上,标准配置文件应该比域配置文件包含更多的限制性设置。 |
有关 Windows 防火墙组策略设置的更多信息,请参阅 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(为装有 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火墙设置)白皮书。
网络确定的工作方式
对于本篇文章所讲的组策略设置来说,网络服务的行为或配置是基于确定计算机是连接到一个包含 Windows 域的受管网络(计算机属于该域)还是另一个网络。这种确定基于下列情形:
| • |
当一台运行着 Windows Server 2003 或 Windows XP 的计算机收到一个组策略更新时,它将记录下这个连接的特定 DNS 后缀,组策略 更新通过这个连接被收入到注册表中。这种设置被称为最后接收的组策略更新 DNS 名称。 |
| • |
计算机中现有连接(分配有 IP 地址的连接)特定的 DNS 后缀,这些连接不是基于点对点协议 (PPP) 或串行线路网际协议 (SLIP)(如拨号或虚拟专用网络连接)。 |
网络确定算法将会进行下列分析:
| • |
如果计算机不是某个域的成员,它总是会连接到另一个网络。 |
| • |
如果最后接收的组策略更新 DNS 名称与计算机中现有连接(不是基于 PPP 或 SLIP)的任何连接的特定 DNS 后缀相匹配,那么计算机会连接到一个受管网络。 |
| • |
如果最后接收的组策略更新 DNS 名称与计算机中现有连接(不是基于 PPP 或 SLIP)的任何连接的特定 DNS 后缀都不匹配,那么计算机会连接到另一个网络。 |
Windows 在启动时或者在网络位置知晓服务通知它计算机上的网络设置已被更改时,将会使用这一网络确定进程。
接收最后一组组策略更新的连接的特定 DNS 后缀取决于它的 TCP/IP 配置,TCP/IP 配置通常使用动态主机配置协议 (DHCP) 和 DNS 域名 DHCP 选项(DHCP 选项号码 15)来进行配置。您也可以在 Internet 协议 (TCP/IP) 组件高级属性中的“DNS”选项卡中对连接的特定 DNS 后缀进行手动配置,Internet 协议 (TCP/IP) 组件可以在“网络连接”文件夹中的连接属性中获得。
比如,一台只有无线 LAN 连接的膝上型计算机(corp.example.com 域的成员)连接到其单位网络。单位网络上的 DHCP 服务器使用 DNS 域名 DHCP 选项分配 DNS 域名 corp.example.com。当计算机或用户登录到这个域时,它通过其无线 LAN 连接收到一个组策略更新,而且 DNS 域名 corp.example.com 被记录在注册表中。因为最后接收的组策略更新 DNS 名称与无线 LAN 连接的特定后缀相匹配,Windows 会确定计算机是连接在受管网络上。
那台膝上型计算机被带至一家本地的咖啡店,计算机用户使用咖啡店的无线 LAN 连接到 Internet。对于这个配置来说,无线 LAN 连接是使用 DHCP 来进行配置的,但是 Internet 服务商 (ISP) 分配给 DNS 域名 DHCP 选项的值是 isp.example.com。因为最后收到的组策略更新 DNS 名称 (corp.example.com) 不再与无线 LAN 连接的特定 DNS 后缀 (isp.example.com) 相匹配,Windows 确定计算机是连接到另外一个网络。因为 corp.example.com 域的域控制器不能通过 Internet 获得,在计算机连接到 Internet 上时将不会有任何组策略更新。因此,注册表中记录的最后接收的组策略更新 DNS 名称将会保持为 corp.example.com。
尽管在大多数情况下这种网络确定算法能够正常工作,但是在同一受管网络的不同部分(它们用 DHCP 分配了不同的 DNS 后缀)之间进行漫游的时候,配置差异可能导致 Windows 确定它一直连接在受管网络上或者出现临时的配置问题。
请总是连接到受管网络
如果计算机连接的特定 DNS 后缀被手动配置,那么手动指定的值将会覆盖来自 DNS 域名 DHCP 选项的值。如果手动配置的 DNS 后缀和最后接收的组策略更新 DNS 名称相匹配,那么 Windows 将总是确定计算机连接到受管网络。
这样做将会产生下面的一些类型的问题:
| • |
对 ICS、ICF 和网桥的组策略设置来说,在连接到其他网络上时(如 Internet 或家庭网络),计算机用户将不能启用这些服务。在连接到 Internet 时不允许用户启用 ICF 将会使得计算机容易受到网络的攻击。 |
| • |
对 Windows 防火墙组策略设置来说,当计算机连接到受管网络时,受管网络的管理员可能决定禁用 Windows 防火墙(非常不推荐这种操作,除非正在使用另外一个基于主机的防火墙),而当计算机连接到另一个网络时,管理员可能决定启用 Windows 防火墙。如果 Windows 总是确定计算机连接在受管网络上,当计算机连接到 Internet 时,Windows 防火墙将被禁用,这样又会造成计算机易于受到网络攻击。 |
在同一受管网络的不同部分之间进行漫游
在同一受管网络的不同部分(它们用 DHCP 分配了不同的 DNS 域名)之间进行漫游时,也可能会发生临时的网络确定问题。
比如,只有一个无线 LAN 连接的某台膝上型计算机是 noam.corp.example.com Active Directory 域的成员。北美所有组织的办公室的 DHCP 服务器都分配了 DNS 名称 noam.corp.example.com。但是,在欧洲,Active Directory 域为 europe.corp.example.com 而且 DNS 服务器分配的 DNS 名称为 europe.corp.example.com。当用户将其膝上型计算机连接到欧洲一间办公室的无线网络上时,计算机最后接收的组策略更新 DNS 名称不再与计算机无线连接的 DNS 后缀相匹配,而 Windows 会确定膝上型计算机是在另一个网络上,即使膝上型计算机连接到受管网络的一个部分也是如此。
但是,这种情形只会持续到组策略设置被更新。当计算机更新组策略设置时,最后接收的组策略更新 DNS 名称被重置为新连接的特定 DNS 后缀,计算机将被确定为连接在受管网络上。
继续我们的上面例子,膝上型计算机从 noam.corp.example.com 域的域控制器中更新了组策略设置,而且最后收到的组策略更新 DNS 名称被设定为 europe.corp.example.com,现在就与无线连接的特定 DNS 后缀相匹配了。当网络确定算法再次运行时,它将确定计算机连接到受管网络。
回避这个问题的一个方法是使组织网络中所有的 DHCP 服务器分配同一个 DNS 域名,而不是地区特定的 DNS 域名。对我们的例子来说,解决办法是使所有的 DNS 服务器分配名称 example.com。因此,最后接收的组策略更新 DNS 名称将总是和连接到组织网络的 LAN 连接的特定 DNS 后缀相匹配。
使用下列配置时,也可能会发生当计算机实际上连接到受管网络时,被临时确定为在另一个网络上的问题:
| • |
DNS 域名 DHCP 选项被更改,分配一个不与最后接收的组策略更新 DNS 名称相匹配的域后缀。 |
| • |
DNS 域名 DHCP 选项被删除,造成了一个空白的计算机 LAN 连接的特定 DNS 后缀。 |
| • |
计算机 LAN 连接的特定 DNS 后缀被手动配置,与最后接收的组策略更新 DNS 名称不相匹配。 |
浙公网安备 33010602011771号