科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Windows2003安全之强化域控制器(8)

Windows2003安全之强化域控制器(8)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

作者:51CTO.COM 2007年10月30日

关键字: 组策略 域控制器 身份验证

  • 评论
  • 分享微博
  • 分享邮件

  站点间消息

  表 4.15:设置

  

  

  

  “站点间消息”(Intersite Messaging,ISM)使得消息能够在运行Windows Server站点的计算机之间进行交换。站点之间使用该服务进行基于邮件的复制操作。 Active Directory 能够使用简单邮件传输协议(SMTP)在站点之间进行复制。对SMTP的支持由SMTP服务提供,该服务是Microsoft Internet信息服务(IIS)的一个组件。

  在站点间进行通信的传输集合必须是可扩展的;因此,每个传输在一个单独的附加动态链接库(DLL)中定义。这些附加的DLL被装载到ISM服务中,该服务运行在可能执行站点间通信的所有域控制器上。ISM服务将消息的收发请求定向到一个相应的传输附加DLL,然后将消息发送到目的计算机的ISM服务上。 Active Directory 的复制依赖于正确运行的“站点间消息”服务。

  您可以通过组策略,将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,,从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此,在本指南所定义的三种环境下,该服务在DCBP中配置为自动开始。

  Kerberos密钥分配中心

  表 4.16: 设置

  

  

  

  “Kerberos密钥分配中心”(Kerberos Key Distribution Center ,KDC)服务让用户可以通过Kerberos v5身份验证协议登录到网络。

  KDC服务是用户登录到网络所必需的服务。禁用该服务将阻止用户登录到网络。

  使用组策略,将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此,在本指南所定义的三种环境下,该服务在DCBP中配置为自动开始。

  远程过程调用(RPC)定位器

  表4.17: 设置

  

  

  

  “远程过程调用(RPC)定位器”(Remote Procedure Call Locator)服务使得使用RpcNs* 应用程序编程接口(API)的RPC客户机能够定位RPC服务器,并且对RPC名称服务数据库进行管理。

  停止和禁用该服务可以防止使用RpcNs* API的RPC客户机定位服务器或无法启动。同样,来自同一计算机、依赖RpcNs* API的RPC客户可能找不到支持相应接口的RPC服务器。如果在您的域控制器上停止或禁用该服务,可能导致在定位客户机时,使用RpcNs* API和域控制器的RPC客户机出现服务中断。

  您可以使用组策略,将服务的开始模式设置配置为仅仅允许服务器管理员进行访问,,从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此,在本指南所定义的三种环境下,该服务在DCBP中配置为自动开始。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章