扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
从网络访问您的计算机
表4.2: 设置
“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。许多网络协议都要求该用户权限,包括基于服务器信息块(SMB)的协议、网络基本输入/输出系统(NetBIOS)、通用互联网文件系统(CIFS)、超级文本传输协议(HTTP)以及COM+等。
在Windows Server 2003中,尽管您可以为“Everyone”(所有人)安全组授予权限,并不再接受匿名用户的访问,但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。因此,本指南推荐在高安全性环境下,从“从网络访问该计算机”中删除“Everyone”安全组,以便进一步防范利用Guest 帐户对域发起的攻击。
向域中添加工作站
表4.3: 设置
“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。如果希望该权限生效,它必须作为域的缺省域控制器策略的一部分分配给用户。被授予了该权限的用户可以向域中添加10个工作站。被授予了为OU或 Active Directory 的计算机容器“创建计算机对象”权限的用户,也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机,无论他们是否被分配了“向域中添加工作站”用户权限。
缺省情况下,“Authenticated Users”(经过身份验证的用户)用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。
在一个 Active Directory 域中,每个计算机账户都是一个完整的安全性主体,拥有认证和访问域资源的能力。有些组织希望限制一个 Active Directory 环境中的计算机数量,以便可以持续地跟踪、构建和管理它们。
允许用户向域中添加工作站则会妨碍这项工作。而且,这样做还会为用户执行更加难以跟踪的行为提供了方便,因为他们可能创建了其他未经授权的域计算机。
因此,在本指南定义的三种环境下,“向域中添加工作站”用户权限仅仅授予Administrators 组。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。