Windows 2003安全性指南之强化域控制器一

允许从本地登录

表4.4: 设置

“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。如果用户不具备该权限，但拥有“允许通过终端服务登录”权限，他仍然能够在计算机上开启一个远程的交互式会话。

通过对可以登录到域控制器控制台的账户加以限制，有助于防止对域控制器文件系统和系统服务进行未授权的访问。能够登录到域控制器控制台的用户可能恶意地利用该系统，并且可能破坏整个域和森林的安全性。

缺省情况下， Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。但是这些组中的用户不必登录到一台域控制器上完成其管理任务。这些组中的用户通常可以从其它工作站完成其职责。只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。

将该权限仅授予给“Administrators”组，可以将对域控制器的物理和交互式访问限制在受高度信任的用户，从而增强了安全性。因此，在本指南定义的三种环境下，将“允许从本地登录”用户权限仅授予给“Administrators”组。

允许通过终端服务登录

表4.5: 设置

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!