Windows 2003安全性指南之强化域控制器一

“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。如果用户不具备该权限，但拥有“允许通过终端服务登录”权限，他仍然能够在计算机上开启一个远程的交互式会话。

通过对可以登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务进行未授权的访问。能够登录到域控制器控制台的用户可能恶意地利用该系统，并且可能破坏整个域和森林的安全性。

缺省情况下， Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。但是这些组中的用户不必登录到一台域控制器上完成其管理任务。这些组中的用户通常可以从其它工作站完成其职责。只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。

将该权限仅授予给“Administrators”组，可以将对域控制器的物理和交互式访问限制在受高度信任的用户，从而增强了安全性。因此，在本指南定义的三种环境下，将“允许从本地登录”用户权限仅授予给“Administrators”组。

允许通过终端服务登录

表4.5: 设置

“通过终端服务登录”权限允许用户使用远程桌面连接登录到计算机上。

对通过终端服务登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务的未经授权访问。能够通过终端服务登录到域控制器控制台的用户可以对该系统进行利用，并且可能破坏整个域或森林的安全性。