Windows2003安全之强化域控制器(1)

　　对于运行Microsoft Active Directory?目录服务的Microsoft? Windows Server? 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

　　由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

　　域控制器基线策略

　　与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

　　大多数DCBP是MSBP的直接拷贝。由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

　　域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。例如，文件Enterprise Client – Domain Controller.inf是企业客户机环境下的安全性模板。

　　表 4.1: 域控制器基线安全性模板

　　注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

　　审核策略设置

　　域控制器的审核策略设置与在MSBP中所指定的一样。要了解更多信息，请参看第3章“创建成员服务器基线”。DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。

　　用户权限分配

　　DCBP为域控制器指定了许多用户权限的分配方法。除了缺省设置之外，在本指南定义的三种环境下，您可以修改其它 7 种用户权限以强化域控制器的安全性。

　　该部分详细介绍了DCBP 规定的用户权限设置，这些设置不同于MSBP中的相应设置。关于该部分规定设置的总结信息，请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。