Windows 2003安全性指南之强化域控制器一

对通过终端服务登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务的未经授权访问。能够通过终端服务登录到域控制器控制台的用户可以对该系统进行利用，并且可能破坏整个域或森林的安全性。

通过将该权限仅授予给 Administrators 组，可以将对域控制器的交互访问权限制在高度信任的用户中，从而增强了系统的安全性。因此，在本指南所定义的三种环境下，“允许通过终端服务访问”仅授予给 Administrators 组。尽管在缺省情况下，通过终端服务登录到一台域控制器要求用户具有管理员访问权限，但配置该用户权限有助于防止那些可能破坏该限制的无意或有意行为。

作为一种高级的安全性措施，DCBP 禁止使用缺省的 Administrator 账户通过终端服务登录到域控制器。该设置还可阻止恶意用户企图使用缺省的 Administrator 账户远程强行登录到一台域控制器。要了解该设置的详细信息，请参看第3章“创建成员服务器基线”。

改变系统时间

表 4.6: 设置

“改变系统时间”权限允许用户调整计算机内部时钟的时间。该权限对于改变时区或系统时间的其他显示特征不是必需的。

系统时间保持同步对于 Active Directory 的运行至关重要。正确的 Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。

如果在环境中，一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步，则可能妨碍域服务的操作。仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。

缺省情况下， Server Operators　组被授予了改变域控制器系统时间的权限。由于这个组的成员可能会不正确地更改域控制器系统时间，该用户权限在DCBP中进行了配置，以便在本指南定义的三种环境下，只有 Administrators 组有权改变系统时间。

要了解关于Microsoft Windows? 时间服务（Microsoft Windows? Time Service）的更多信息，请参考知识库文章Q224799，“Windows Time Service 的基本操作”：http://support.microsoft.com/default.aspx?scid=224799，以及Q216734，“如何在Windows 2000中配置一台权威的时间服务器”：http://support.microsoft.com/default.aspx?scid=216734.

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!