Windows 2003安全性指南之強化網域控制站一

概述

對於運行Microsoft Active Directory?目錄服務的Microsoft? Windows Server? 2003電腦，網域控制站伺服器是在任何環境下都應當確保其安全性的重要角色。對於依賴網域控制站完成身分識別驗證、組策略、以及一個中央LDAP（輕量級目錄訪問協議）目錄的客戶機、伺服器以及應用軟體而言，IT環境中網域控制站的任何損失或資訊泄密都可能是災難性的。

由於其重要性，網域控制站應當總是被安置在物理上安全的地點，僅允許有資格的管理員訪問。當網域控制站必須安置在不太安全的地方時，例如分支辦公室，應當調整相關的安全性設定以限制來自物理訪問威脅的潛在損害。

網域控制站基準策略

與本指南後面將要介紹的其他伺服器角色策略不同，網域控制站伺服器的組策略是一種基準策略，與第三章“建立成員伺服器基準”所定義的成員伺服器基準策略（MSBP）屬於同一類。網域控制站基準策略（DCBP）與網域控制站組織單位（OU）密切相連，並且優先於預設的網域控制站策略。包括在DCBP中的設定將增強任何環境下網域控制站的總體安全性。

大多數DCBP是MSBP的直接拷貝。由於DCBP建立在MSBP基礎之上，讀者應當仔細複習第三章“建立成員伺服器基準”，以便充分理解同樣包括在DCBP中的許多設定。本章僅僅討論那些沒有包括在MSBP中的DCBP設定。

網域控制站模板專門設計用來滿足本指南所定義三種環境的安全需要。下表顯示了包括在本指南中的網域控制站.inf 檔案以及這些環境相互之間的關係。例如，檔案Enterprise Client – Domain Controller.inf是企業客戶機環境下的安全性模板。

表 4.1: 網域控制站基準安全性模板

注意：將一個配置不正確的組策略對象連結到Domain Controllers OU（網域控制站組織單位）可能會嚴重阻礙域的正常操作。在匯入這些安全性模板時應當十分小心，在將GPO到連結到Domain Controllers OU之前，應該確認匯入的所有設定都是正確的。

稽核原則設定

網域控制站的稽核原則設定與在MSBP中所指定的一樣。要瞭解更多資訊，請參看第3章“建立成員伺服器基準”。DCBP中的基準策略確保了所有相關的安全性審核資訊都記錄在網域控制站中。

使用者權限分配

DCBP為網域控制站指定了許多使用者權限的分配方法。除了預設設定之外，在本指南定義的三種環境下，您可以修改其它 7 種使用者權限以強化網域控制站的安全性。

該部分詳細介紹了DCBP 規定的使用者權限設定，這些設定不同於MSBP中的相應設定。關於該部分規定設定的總結資訊，請參看包括在本指南中的“Windows Server 2003安全指南設定” Excel 活頁簿。

從網路訪問您的電腦

表4.2: 設定