Windows2003安全之强化域控制器(6)

　　安全选项

　　域控制器的大多数安全选项设置与在MSBP中指定的相同。要了解更多信息，请参看第3章“创建成员服务器基线”。下面的部分介绍MSBP和DCBP之间的不同。

　　网络安全：在下一次修改密码时不存储LAN Manager散列值

　　表4.11: 设置

　　“网络安全：在下一次修改密码时不存储LAN Manager 散列值” 安全选项设置决定了当管理员改变密码时，是否存储新密码的LAN Manager （LM））散列值。与更为牢固的Windows NT? 口令散列相比，LM相对较弱而且易受攻击。因此，在本指南所定义的三种环境下，MSBP启用了本设置。

　　在企业客户机和高安全性环境下，DCBP启用域控制器上的此设置，而在旧有客户机环境下则禁用此设置。如果在旧有客户机环境下该设置被启用，当改变密码之后，Windows 98客户机将无法登录。

　　注意：当该设置被激活时，旧有操作系统以及某些第三方应用软件将无法使用。而且，启用此设置将要求所有的账户都必须改变其密码。

　　事件日志设置

　　域控制器的事件日志设置与在MSBP中指定的设置相同。要了解更多信息，请参看第3章，“创建成员服务器基线。”DCBP中的基线组策略设置确保了所有的相关安全审核信息都被记录在域控制器上，其中包括目录服务访问信息。

　　系统服务

　　在所有的Windows Server 2003域控制器上，下面的系统服务必须被启用。DCBP中的基线策略设置可确保所有的系统服务跨越不同的域控制器实现统一配置。

　　本部分详细介绍了DCBP规定的系统服务设置，这些设置与MSBP中所规定的不同。关于这部分规定设置的总结信息，请参考包括在本指南中的“Windows Server 2003安全性指南设置”Excel工作簿。

　　注意：如果您从Windows Server 2003 支持工具（Windows Server 2003 Support Tools）中运行DCDiag.exe，它将检查所有在您所在环境中的域控制器上运行的服务。由于某些服务在域控制器基线策略中被禁用，DCDiag.exe将会报告错误——这些服务包括IISADMIN， SMTPSVC，以及 TrkSvr。这些信息并不表明您的配置存在问题。