Windows 2003安全性指南之强化域控制器一

核心提示： 注意：当该设置被激活时，旧有操作系统以及某些第三方应用软件将无法使用，Windows 2003安全性指南之强化域控制器一(9)，而且，启用此设置将要求所有的账户都必须改变其密码，因此，在本指南所定义的三种环境下，事件日志设置域控制器的事件日志设置与在MSBP中指定的设置相同，要了解更多信息

注意：当该设置被激活时，旧有操作系统以及某些第三方应用软件将无法使用。而且，启用此设置将要求所有的账户都必须改变其密码。

事件日志设置

域控制器的事件日志设置与在MSBP中指定的设置相同。要了解更多信息，请参看第3章，“创建成员服务器基线。”DCBP中的基线组策略设置确保了所有的相关安全审核信息都被记录在域控制器上，其中包括目录服务访问信息。

系统服务

在所有的Windows Server 2003域控制器上，下面的系统服务必须被启用。DCBP中的基线策略设置可确保所有的系统服务跨越不同的域控制器实现统一配置。

本部分详细介绍了DCBP规定的系统服务设置，这些设置与MSBP中所规定的不同。关于这部分规定设置的总结信息，请参考包括在本指南中的“Windows Server 2003安全性指南设置”Excel工作簿。

注意：如果您从Windows Server 2003 支持工具（Windows Server 2003 Support Tools）中运行DCDiag.exe，它将检查所有在您所在环境中的域控制器上运行的服务。由于某些服务在域控制器基线策略中被禁用，DCDiag.exe将会报告错误——这些服务包括IISADMIN， SMTPSVC，以及 TrkSvr。这些信息并不表明您的配置存在问题。

分布式文件系统

表 4.12:设置

“分布式文件系统（DFS）”服务将完全不同的文件共享分配和集成到一个单一的逻辑名字空间。该服务管理跨越局域网或广域网（LAN）进行分布的逻辑卷，而且是 Active Directory 逻辑卷（SYSVOL）共享所必需的。SYSVOL复制依赖于DFS的正确运行。

使用组策略，将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，，从而防止服务被未经授权或恶意的用户所配置或操作。该组策略还可防止管理员无意禁用该服务。因此，在本指南所定义的三种环境下，该服务在DCBP中配置为自动开始。