Windows Server 2003 安全性指南介绍
“允许本地登录”用户权限允许用户在计算机上开启一个交互式的会话。如果用户不具备该权限,但拥有“允许通过终端服务登录”权限,他仍然能够在计算机上开启一个远程的交互式会话。
通过对可以登录到域控制器控制台的账户加以限制,有助于防止对域控制器文件系统和系统服务进行未授权的访问。能够登录到域控制器控制台的用户可能恶意地利用该系统,并且可能破坏整个域和森林的安全性。
缺省情况下, Account Operators、Backup Operators、Print Operators和Server Operators 组被授予了从本地登录域控制器的权限。但是这些组中的用户不必登录到一台域控制器上完成其管理任务。这些组中的用户通常可以从其它工作站完成其职责。只有“Administrators”组中的用户才必须在域控制器上登录以完成其维护任务。
将该权限仅授予给“Administrators”组,可以将对域控制器的物理和交互式访问限制在受高度信任的用户,从而增强了安全性。因此,在本指南定义的三种环境下,将“允许从本地登录”用户权限仅授予给“Administrators”组。
允许通过终端服务登录
表4.5: 设置
|
域控制器缺省值 |
传统客户机 |
企业客户机 |
高安全性 |
||||||||||
|
未定义 |
Administrators |
Administrators |
相关资讯
|
010-89630319
