Windows 2003安全性指南之强化域控制器二
远程过程调用(RPC)定位器 表4.17: 设置 “远程过程调用(RPC)定位器”(Remote Procedure Call Locator)服务使得使用RpcNs* 应用程序编程接口(API)的RPC客户机能够定位RPC服务器,并且对RPC名称服务数据库进行管理。 停止和禁用该服务可以防止使用RpcNs* API的RPC客户机定位服务器或无法启动。同样,来自同一计算机、依赖RpcNs* API的RPC客户可能找不到支持相应接口的RPC服务器。如果在您的域控制器上停止或禁用该服务,可能导致在定位客户机时,使用RpcNs* API和域控制器的RPC客户机出现服务中断。 您可以使用组策略,将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,,从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此,在本指南所定义的三种环境下,该服务在DCBP中配置为自动开始。 其他安全性设置 该部分描述必须对DCBP进行的手动修改,以及其他不能通过组策略完成的设置和对策。 向用户权限分配手动添加唯一的安全组 大多数通过DCBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是,有些账户和安全组不能被包含在模板中,因为它们的安全标识(SID)对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。 警告:下表包含了内置的Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限,为了更正该错误,您必须从本地登录。 此外,基于第3章“创建成员服务器基线”中的某些推荐,内置管理员账户可能已经被重命名。当添加Administrator账户时,请确信添加的是经过了重命名的账户。 表 4.18: 手动分配用户权限 警告:所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置账户:本地系统(LOCAL SYSTEM),本地服务(LOCAL SERVICE)或网络服务(NETWORK SERVICE)账户。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |