配置Active Directory域基础结构(3)

    复位帐户锁定计数器
　　 表 2.10：设置 　
　　“复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”，则此重置时间必须小于或等于“帐户锁定时间”设置的值。
　　
　　对于本指南中定义的两种环境，将“复位帐户锁定计数器”设置配置为“30 分钟之后”。
　　
　　将此设置保留为其默认值，或者以很长的间隔配置此值，都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录，如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定，则管理员必须手动解锁所有帐户。反过来，如果为此设置配置了合理的时间值，在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此，建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。
　　
　　用户权限分配
　　模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是，应该对所有域控制器设置“域中添加工作站”用户权限，本模块中讨论了其原因。“Windows 2003 Server Security Guide”（英文）的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。
　　
　　域中添加工作站
　　 表 2.11：设置 　
　　“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。
　　
　　默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
　　
　　在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。
　　
　　允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。
　　
　　出于这些原因，在本指南中定义的两种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。
　　
　　安全设置
　　帐户策略必须在默认域策略中定义，且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略，即使存在对包含域控制器的 OU 应用的其他帐户策略。
　　
　　在安全选项中有两个策略，它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值：
　　
　　计算机配置\Windows 设置\安全设置\本地策略\安全选项
　　
　　Microsoft 网络服务器：当登录时间用完时自动注销用户
　　
　　 表 2.12：设置 　
　　“Microsoft 网络服务器：当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后，它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略，则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全：在超过登录时间后强制注销”设置。
　　
　　如果组织已经为用户配置了登录时间，则很有必要启用此策略。否则，已假设无法在超出登录时间后访问网络资源的用户，实际上可以通过在允许的时间中建立的会话继续使用这些资源。
　　
　　如果在组织中未使用登录时间，则启用此设置将没有影响。如果使用了登录时间，则当超过现有用户的登录时间后将强制终止现有用户会话。