Windows 2003安全性指南之强化域控制器一

通过将该权限仅授予给 Administrators 组，可以将对域控制器的交互访问权限制在高度信任的用户中，从而增强了系统的安全性。因此，在本指南所定义的三种环境下，“允许通过终端服务访问”仅授予给 Administrators 组。尽管在缺省情况下，通过终端服务登录到一台域控制器要求用户具有管理员访问权限，但配置该用户权限有助于防止那些可能破坏该限制的无意或有意行为。

作为一种高级的安全性措施，DCBP 禁止使用缺省的 Administrator 账户通过终端服务登录到域控制器。该设置还可阻止恶意用户企图使用缺省的 Administrator 账户远程强行登录到一台域控制器。要了解该设置的详细信息，请参看第3章“创建成员服务器基线”。

改变系统时间

表 4.6: 设置

“改变系统时间”权限允许用户调整计算机内部时钟的时间。该权限对于改变时区或系统时间的其他显示特征不是必需的。

系统时间保持同步对于 Active Directory 的运行至关重要。正确的 Active Directory 复制和KerberosV5身份验证协议使用的身份验证票据生成过程要依赖于整个环境中的时间同步。

如果在环境中，一台域控制器配置的系统时间与另一台域控制器配置的系统时间不同步，则可能妨碍域服务的操作。仅允许管理员改变系统时间可以将域控制器被配置为错误系统时间的可能性降至最小。

缺省情况下， Server Operators　组被授予了改变域控制器系统时间的权限。由于这个组的成员可能会不正确地更改域控制器系统时间，该用户权限在DCBP中进行了配置，以便在本指南定义的三种环境下，只有 Administrators 组有权改变系统时间。