Windows 2003安全性指南之强化域控制器一

为委派启用受信任的计算机和用户帐户

表 4.7：设置

“为委派启用受信任的计算机和用户账户”权限允许用户在 Active Directory 中的一个用户和计算机对象上改变 “允许委派”（Trusted for Delegation）设置。身份验证委派是由多层客户/服务器应用程序所使用的一种功能。它允许前端服务在验证一项后端服务时使用客户机的信任凭据。要使这项操作成立，客户机和服务器都必须运行在允许接收委派的账户下。

对该权限的误用可能会导致未经授权的用户假装网络中的其他用户。攻击者可以利用该权限假扮其他用户访问网络资源，这使得在安全事件出现之后，确定事件原因的工作变得更加困难。

本指南推荐将“为委派启用受信任的计算机和用户账户”权限分配给域控制器中的Administrators 组。

注意：尽管缺省的域控制器策略将该权限分配给管理员组，但DCBP之所以在高安全性环境下加强了该项权限设置是因为它最初是建立在MSBP基础上的，而MSBP给该权限分配了一个NULL值。

安装和卸载设备驱动程序

表4.8: 设置

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!