Windows 2003安全性指南之强化域控制器二

核心提示： 警告：下表包含了内置的Administrator账户，不要将该账户与内置的Administrators安全组混淆，Windows 2003安全性指南之强化域控制器二(4)，如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，将域控制器的 Active

警告：下表包含了内置的Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，您必须从本地登录。

此外，基于第3章“创建成员服务器基线”中的某些推荐，内置管理员账户可能已经被重命名。当添加Administrator账户时，请确信添加的是经过了重命名的账户。

表 4.18: 手动分配用户权限

警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置账户：本地系统（LOCAL SYSTEM），本地服务（LOCAL SERVICE）或网络服务（NETWORK SERVICE）账户。

目录服务

运行Windows Server 2003的域控制器存储目录数据并且管理用户和域之间的交互过程，包括用户登录过程，身份验证以及目录搜索。

重新部署数据 ― Active Directory 数据库和日志文件

保护 Active Directory 数据库和日志文件的安全对于维护目录集成和系统可靠性非常重要。

如果一台域控制器被破坏，将ntds.dit、edb.log和temp.edb等文件从缺省位置移动到其它位置将有助于防止它们遭受攻击。而且，将这些文件从系统卷中转移到一个独立的物理磁盘卷可提高域控制器的性能。

因此，本指南建议：在本指南定义的三种环境下，将域控制器的 Active Directory 和日志文件从系统卷的缺省位置转移到一个非系统卷的条带或条带/镜像磁盘卷。

改变 Active Directory 日志文件大小

您应该确保环境中有足够的域控制器信息被记录和维护，这对于有效监视和维持 Active Directory 的完整性、可靠性和可用性非常重要。