授权用户将自己锁定在帐户外的原因可能有:输错密码或记错密码,或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证,由于它用于身份验证的密码不正确,导致用户帐户最终锁定。对于只使用运行 Windows Server 2003 或更早版本的域控制器的组织,不存在此问题。为了避免锁定授权用户,请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。
将此设置保留为其默认值,或者以很长的间隔配置此值,都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录,如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定,则管理员必须手动解锁所有帐户。反过来,如果为此设置配置了合理的时间值,在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此,建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。
用户权限分配 模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是,应该对所有域控制器设置“域中添加工作站”用户权限,本模块中讨论了其原因。“Windows 2003 Server Security Guide”(英文)的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。
域中添加工作站
表 2.11:设置
“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效,必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机,无论他们是否已被分配“域中添加工作站”用户权限。
默认情况下,“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。
在 Active Directory 域中,每个计算机帐户是一个完整的安全主体,它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量,以便他们可以始终跟踪、生成和管理它们。
设为主页
收藏本站
相关文章: