Windows2003安全之强化域控制器(9)

　　其他安全性设置

　　该部分描述必须对DCBP进行的手动修改，以及其他不能通过组策略完成的设置和对策。

　　向用户权限分配手动添加唯一的安全组

　　大多数通过DCBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。

　　警告：下表包含了内置的Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，您必须从本地登录。

　　此外，基于第3章“创建成员服务器基线”中的某些推荐，内置管理员账户可能已经被重命名。当添加Administrator账户时，请确信添加的是经过了重命名的账户。

　　表 4.18: 手动分配用户权限

　　警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置账户：本地系统（LOCAL SYSTEM），本地服务（LOCAL SERVICE）或网络服务（NETWORK SERVICE）账户。

　　目录服务

　　运行Windows Server 2003的域控制器存储目录数据并且管理用户和域之间的交互过程，包括用户登录过程，身份验证以及目录搜索。

　　重新部署数据 ― Active Directory 数据库和日志文件

　　保护 Active Directory 数据库和日志文件的安全对于维护目录集成和系统可靠性非常重要。

　　如果一台域控制器被破坏，将ntds.dit、edb.log和temp.edb等文件从缺省位置移动到其它位置将有助于防止它们遭受攻击。而且，将这些文件从系统卷中转移到一个独立的物理磁盘卷可提高域控制器的性能。

　　因此，本指南建议：在本指南定义的三种环境下，将域控制器的 Active Directory 和日志文件从系统卷的缺省位置转移到一个非系统卷的条带或条带/镜像磁盘卷。

　　改变 Active Directory 日志文件大小

　　您应该确保环境中有足够的域控制器信息被记录和维护，这对于有效监视和维持 Active Directory 的完整性、可靠性和可用性非常重要。

　　您可以提高日志文件大小的上限，以便在遭受电脑黑客攻击时，为管理员提供充足的必要信息来完成审核。

　　因此，本指南建议：在本指南定义的三种环境下，将域控制器上目录服务（Directory Service）和文件复制服务（File Replication Service）的日志文件大小的最大值从缺省的512KB增加到16MB。