Windows 2003安全性指南之强化域控制器二

核心提示： 注意：内置的管理员账户可以通过组策略重命名，该设置没有在DCBP中配置，Windows 2003安全性指南之强化域控制器二(10)，因为您必须为您的环境选择一个唯一的名字，在本指南定义的三种环境下，有些终端客户机的旧版本不支持这种高等级加密，如果您的网络包含这种服务，“账户：重

注意：内置的管理员账户可以通过组策略重命名。该设置没有在DCBP中配置，因为您必须为您的环境选择一个唯一的名字。在本指南定义的三种环境下，“账户：重命名管理员账户”可以被配置为重命名管理员账户。该设置是GPO安全选项设置的一部分。

保护服务账户的安全

除非绝对必要，否则不要将一种服务配置为在域账户的安全上下文中运行。如果服务器的物理安全受到破坏，域账户密码可以很容易通过转储本地安全性授权（LSA）秘文而获得。

终端服务设置

表 4.20:设置

“设置客户机连接加密等级”用来确定在您的环境中终端服务客户机连接的加密等级。您可以使用128位加密的“高等级”（High Level）设置防止攻击者利用数据包分析器窃听终端服务的会话。有些终端客户机的旧版本不支持这种高等级加密。如果您的网络包含这种服务，请将连接的加密等级设置为：使用客户机所支持的最高加密等级来发送和接收数据。

在组策略对象编辑器（Group Policy Object Editor）中配置该设置的路径为：

Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesEncryption and Security.

我们提供了三种加密等级

表4.21: 终端服务加密等级

错误报告

表4.22: 设置