Windows Server 2003 安全性指南介绍
创建计算机对象”权限的用户,也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机,无论他们是否被分配了“向域中添加工作站”用户权限。
缺省情况下,“Authenticated Users”(经过身份验证的用户)用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。
在一个 Active Directory 域中,每个计算机账户都是一个完整的安全性主体,拥有认证和访问域资源的能力。有些组织希望限制一个 Active Directory 环境中的计算机数量,以便可以持续地跟踪、构建和管理它们。
允许用户向域中添加工作站则会妨碍这项工作。而且,这样做还会为用户执行更加难以跟踪的行为提供了方便,因为他们可能创建了其他未经授权的域计算机。
因此,在本指南定义的三种环境下,“向域中添加工作站”用户权限仅仅授予Administrators 组。
允许从本地登录
表4.4: 设置
|
域控制器缺省值 |
传统客户机 |
企业客户机 |
高安全性 |
|
Administrators,Account Operators、Backup Operators、Print Operators、Server Operators |
Administrators |
Administrators |
Administrators |
010-89630319
