Windows 2003安全性指南之强化域控制器一

核心提示： 注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作，在导入这些安全性模板时应当十分小心，Windows 2003安全性指南之强化域控制器一(2)，在将GPO到链接到Domain Controllers OU之前，

注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

审核策略设置

域控制器的审核策略设置与在MSBP中所指定的一样。要了解更多信息，请参看第3章“创建成员服务器基线”。DCBP中的基线策略确保了所有相关的安全性审核信息都记录在域控制器中。

用户权限分配

DCBP为域控制器指定了许多用户权限的分配方法。除了缺省设置之外，在本指南定义的三种环境下，您可以修改其它 7 种用户权限以强化域控制器的安全性。

该部分详细介绍了DCBP 规定的用户权限设置，这些设置不同于MSBP中的相应设置。关于该部分规定设置的总结信息，请参看包括在本指南中的“Windows Server 2003安全指南设置” Excel 工作簿。

从网络访问您的计算机

表4.2: 设置

“从网络访问该计算机”用户权限确定哪些用户和组能够通过网络连接到该计算机。许多网络协议都要求该用户权限，包括基于服务器信息块（SMB）的协议、网络基本输入/输出系统（NetBIOS）、通用互联网文件系统（CIFS）、超级文本传输协议（HTTP）以及COM+等。

在Windows Server 2003中，尽管您可以为“Everyone”（所有人）安全组授予权限，并不再接受匿名用户的访问，但是“Guest”组和账户仍然可以通过“Everyone”安全组访问。因此，本指南推荐在高安全性环境下，从“从网络访问该计算机”中删除“Everyone”安全组，以便进一步防范利用Guest 帐户对域发起的攻击。