Windows 2003安全性指南之强化域控制器一

核心提示： “安装和卸载设备驱动程序”权限决定了哪些用户有权安装和卸载设备驱动程序，该权限对于安装和卸载即插即用设备是必需的，Windows 2003安全性指南之强化域控制器一(7)，不恰当地在域控制器上安装和卸载设备驱动程序可能会对其运行带来不利影响，将有权安装和卸载设备驱动

“安装和卸载设备驱动程序”权限决定了哪些用户有权安装和卸载设备驱动程序。该权限对于安装和卸载即插即用设备是必需的。

不恰当地在域控制器上安装和卸载设备驱动程序可能会对其运行带来不利影响。将有权安装和卸载设备驱动程序的帐户限制在最可信任的用户中，可以降低因为设备驱动程序被误用而破坏域控制器的可能性。

缺省情况下，“Print Operators”组被授予了该权限。正如早先提到的，我们不推荐在域控制器中创建打印机共享。这样，打印操作员就无需获得安装和卸载设备驱动程序的权限。因此，在本指南定义的三种环境下，该权限仅被授予给“Administrators”组。

恢复文件及目录

表4.9: 设置

“恢复文件和目录”用户权限允许用户在恢复备份的文件或文件夹时，避开文件和目录的许可权限，并且作为对象的所有者设置任何有效的安全主体。

如果允许某个用户账户将文件和目录恢复到域控制器的文件系统中，账户所有者将获得轻松修改服务可执行程序的能力。利用该权限提供的访问权限，恶意用户既可能致使一台域控制器瘫痪，也可能破坏整个域或整个森林的安全性。

缺省情况下，Server Operators 和Backup Operators 组被授予了该权限。将该用户权限从这些组中清除，并且仅授予给 Administrators 组，可以减少由于不正确地改变文件系统而导致域控制器被破坏的可能性。因此，在本指南所定义的三种环境下，该权限仅授予给 Administrators 组。

关闭系统

表 4.10: 设置