Windows2003安全之强化域控制器(4)

　　改变系统时间

　　表 4.6: 设置

　　“改变系统时间”权限允许用户调整计算机内部时钟的时间。该权限对于改变时区或系统时间的其他显示特征不是必需的。

　　系统时间保持同步对于 Active Directory 的运行至关重要。正确的 Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。

　　如果在环境中，一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步，则可能妨碍域服务的操作。仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。

　　缺省情况下， Server Operators　组被授予了改变域控制器系统时间的权限。由于这个组的成员可能会不正确地更改域控制器系统时间，该用户权限在DCBP中进行了配置，以便在本指南定义的三种环境下，只有 Administrators 组有权改变系统时间。

　　要了解关于Microsoft Windows? 时间服务（Microsoft Windows? Time Service）的更多信息，请参考知识库文章Q224799，“Windows Time Service 的基本操作”：http://support.microsoft.com/default.aspx?scid=224799，以及Q216734，“如何在Windows 2000中配置一台权威的时间服务器”：http://support.microsoft.com/default.aspx?scid=216734.

　　为委派启用受信任的计算机和用户帐户

　　表 4.7：设置

　　“为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”（Trusted for Delegation）设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立，客户机和服务器都必须运行在允许接收委派的账户下。

　　对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源，这使得在安全事件出现之后，确定事件原因的工作变得更加困难。

　　本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

　　注意：尽管缺省的域控制器策略将该权限分配给管理员组，但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的，而MSBP给该权限分配了一个NULL值。