DHCP服务器的安全设计

另外，这个日志也是我们日后DHCP服务器出现故障后排除错误的一个重要基础数据。所以，我们还需要对这个日志文件作好相关的备份工作。否则的话，当这个日志意外丢失后，我们就很对查清DHCP服务器的故障了。还有就是最好能够对这个日志进行异地备份，如此的话，即使DHCP服务器全部瘫痪了，我们也可以从异地备份的日志中看到DHCP服务器最后做了哪些动作，才会导致这个服务器故障。

第三步：设置管理员组。

在大型网络中，往往不只一个网络管理员。各个网络管理员分工合作，各司其责。所以，我们网络管理员不希望其他的同伙，如防火墙管理人员能够管理其不应该管理的DHCP服务器。也就是说，我们要把DHCP服务器的管理员设置在最小范围之内。

在实际工作中，有些网络管理员可能比价喜欢偷懒，没有具体区分每个管理员的工作范围;在帐户上，也没有区分彼此的权限。如在域环境中，有些网络管理员就直接设置了一个管理员组。在这个管理员组中所有用户对所有的网络设备与服务器都具有管理的权限。笔者认为，如此的吃大锅饭的做法，是比较不合适的，危险的隐患比较大。下面笔者就以微软的域环境为例，谈谈如何把DHCP服务器的管理员角色跟其他的管理员角色区分开来。

首先，我们在管理工具中，找到“域安全策略”管理工具，双击打开这个工具。在弹出的对话框中，依次打开Windos设置、安全设置、受限制的组。然后新添加一个组。在弹出的对话框中，输入DHCP Administrators。然后，点确定保存。如此的话，只有这个组中的用户对DHCP服务器具有管理的权限。其他组的用户，即使具有其他服务器的管理权限，也无法管理DHCP服务。

其次，就是新建管理员用户，并把它加入到这个DHCP管理员组中。在DHCP Administrators组中，选择“安全性”，在弹出的对话框中，选择“添加”，并把我们刚才建立的用户加入到这个组中。如此的话，我们就可以把DHCP服务器管理员尽量的缩小。我们的目标就是企业网络可能有多个管理员，但是，DHCP服务器只有一个管理员。这么设计，对于DHCP的安全性与稳定性是非常有帮助的。

编缉推荐阅读以下文章

• Windows 网络服务架构系列课程详解（五） ---DHCP服务器群集的部署方案
• Windows 网络服务架构系列课程详解（一） ----DHCP服务器的搭建与配置
• 如何配置DHCP服务器的作用域选项
• 使用DHCP服务器自动分配工作站地址
• 搭建DHCP服务器
• DHCP服务器不是万能之神
• Linux DHCP服务器的配置
• DHCP服务器配置案例分析
• DHCP服务器配置介绍
• 灵活配置DHCP服务器 解决更改IP地址问题