Windows 2003安全性指南之强化域控制器一

核心提示： 要了解关于Microsoft Windows? 时间服务（Microsoft Windows? Time Service）的更多信息，请参考知识库文章Q224799，Windows 2003安全性指南之强化域控制器一(6)，“Windows Time Service 的基本操作

要了解关于Microsoft Windows? 时间服务（Microsoft Windows? Time Service）的更多信息，请参考知识库文章Q224799，“Windows Time Service 的基本操作”：http://support.microsoft.com/default.aspx?scid=224799，以及Q216734，“如何在Windows 2000中配置一台权威的时间服务器”：http://support.microsoft.com/default.aspx?scid=216734.

为委派启用受信任的计算机和用户帐户

表 4.7：设置

“为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”（Trusted for Delegation）设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立，客户机和服务器都必须运行在允许接收委派的账户下。

对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源，这使得在安全事件出现之后，确定事件原因的工作变得更加困难。

本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

注意：尽管缺省的域控制器策略将该权限分配给管理员组，但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的，而MSBP给该权限分配了一个NULL值。

安装和卸载设备驱动程序

表4.8: 设置