Windows2003安全之强化域控制器(3)

　　允许从本地登录

　　表4.4: 设置

　　“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。如果用户不具备该权限，但拥有“允许通过终端服务登录”权限，他仍然能够在计算机上开启一个远程的交互式会话。

　　通过对可以登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务进行未授权的访问。能够登录到域控制器控制台的用户可能恶意地利用该系统，并且可能破坏整个域和森林的安全性。

　　缺省情况下， Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。但是这些组中的用户不必登录到一台域控制器上完成其管理任务。这些组中的用户通常可以从其它工作站完成其职责。只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。

　　将该权限仅授予给“Administrators”组，可以将对域控制器的物理和交互式访问限制在受高度信任的用户，从而增强了安全性。因此，在本指南定义的三种环境下，将“允许从本地登录”用户权限仅授予给“Administrators”组。

　　允许通过终端服务登录

　　表4.5: 设置

　　“通过终端服务登录”权限允许用户使用远程桌面连接登录到计算机上。

　　对通过终端服务登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务的未经授权访问。能够通过终端服务登录到域控制器控制台的用户可以对该系统进行利用，并且可能破坏整个域或森林的安全性。

　　通过将该权限仅授予给 Administrators 组，可以将对域控制器的交互访问权限制在高度信任的用户中，从而增强了系统的安全性。因此，在本指南所定义的三种环境下，“允许通过终端服务访问”仅授予给 Administrators 组。尽管在缺省情况下，通过终端服务登录到一台域控制器要求用户具有管理员访问权限，但配置该用户权限有助于防止那些可能破坏该限制的无意或有意行为。

　　作为一种高级的安全性措施，DCBP 禁止使用缺省的 Administrator 账户通过终端服务登录到域控制器。该设置还可阻止恶意用户企图使用缺省的 Administrator 账户远程强行登录到一台域控制器。要了解该设置的详细信息，请参看第3章“创建成员服务器基线”。