Windows 2003安全性指南之强化域控制器二

核心提示： 使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，Windows 2003安全性指南之强化域控制器二(3)，从而防止服务被未经授权或恶意的用户所配置或操作，该组策略还可防止管理员无意禁用该服务，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Wi

使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。

远程过程调用（RPC）定位器

表4.17: 设置

“远程过程调用（RPC）定位器”（Remote Procedure Call Locator）服务使得使用RpcNs* 应用程序编程接口（API）的RPC客户机能够定位RPC服务器，并且对RPC名称服务数据库进行管理。

停止和禁用该服务可以防止使用RpcNs* API的RPC客户机定位服务器或无法启动。同样，来自同一计算机、依赖RpcNs* API的RPC客户可能找不到支持相应接口的RPC服务器。如果在您的域控制器上停止或禁用该服务，可能导致在定位客户机时，使用RpcNs* API和域控制器的RPC客户机出现服务中断。

您可以使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。

其他安全性设置

该部分描述必须对DCBP进行的手动修改，以及其他不能通过组策略完成的设置和对策。

向用户权限分配手动添加唯一的安全组

大多数通过DCBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。