在 Windows Server 2003 環境中設定網域基礎結構
Overview
發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
概觀
網域原則
帳戶原則
密碼原則
帳戶鎖定原則
Kerberos 原則
安全性選項
總結
本單元內容
本單元說明如何實作安全網域環境。將描述網域元件以及它們在設計與建立良好管理之網域基礎結構中的使用狀況。本單元將透過設想情況來研究安全性考量,包括透過組織單位階層的群組原則應用、將管理委派給管理群組,以及透過安全性範本進行安全性設定。本單元還將組織單位階層視為整體當作示範,但特別著重於網域原則,識別要在網域層級套用的安全性設定並詳細討論它們的功能。本單元使用三種不同的安全性狀況,包括傳統用戶端、企業用戶端和高安全性用戶端。
目標
透過此單元即可:
考量和 Microsoft® Active Directory® 目錄服務設計相關的安全性議題。
研究組織單位階層設計在群組原則的應用中的使用
研究組織單位階層設計在管理委派中的使用
瞭解安全性範本的使用。
瞭解安全性範本和「群組原則」的整合。
學習網域原則範例。
瞭解由網域原則及其功能所套用的設定。
適用於
本單元適用於下列產品及技術:
- Microsoft® Windows Server™ 2003 作業系統
如何使用本單元
本單元提供設計與實作安全網域基礎結構的方法學。將描述設計與實作程序並提供逐步指示。本模組中的指南的用意在於供設計或建立 Active Directory 網域環境時使用。不過,它還和現有基礎結構相關,因為您可以用它來確認何者有效,或者指出可能需要重新建構的潛在區域。本單元含有與實作為網域原則之一部份的安全性範本中設定之設定值相關的豐富資訊。
若要充分瞭解此單元:
請閱讀此單元,<Windows 2003 安全性簡介>單元。其中說明了<Windows 2003 安全性簡介>中的目的與內容。
使用隨附的 How To 文件。使用本單元參考的下列教學文件:
概觀
本單元使用網域環境的建構來示範如何保障 Windows Server 2003 的安全基礎結構。
本單元首先著重於網域層級的安全性設定和因應對策。其中包括Active Directory 設計、組織單位 (OU) 設計、「群組原則」設計和管理群組設計的高層次描述。
本單元還說明如何保障在<Windows 2003 安全性簡介>單元描述之傳統、企業及高安全性環境的 Windows Server 2003 網域環境安全。本資訊是基礎,並提供在網域基礎結構內從舊型環境邁向高安全性網域的願景。
Windows Server 2003 隨附預設設定值,以保障安全狀態。為提昇本資料的可用性,本單元只討論其預設值已經變更的設定的部份。如需所有預設設定的資訊,請參閱同系列指南的《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP》(英文)。
Active Directory 設計
有關設計 Active Directory 結構的資訊相當的多,加起來已經能寫成一本書了。Active Directory 可供應用程式在分散式計算環境中尋找、使用和管理目錄資源。本節簡短討論建立本單元其餘部份所需之參考框架的概念。
在建立 Active Directory 架構時,您必須小心考量環境的安全性界限。詳細規劃組織的安全性委派和實作時間表可使組織的Active Directory 設計獲得更高的安全保障。之後,只有環境的大變更,例如併購或組織重組,才需要重新建構。
如果您的組織已經有 Active Directory 設計,本單元可以從安全性觀點,深入探討 Active Directory 設計的優點或潛在問題。
建立 Windows Server 2003 目錄界限
Active Directory 內部有許多不同類型的界限。這些界限定義樹系、網域、網站拓樸以及權限委派。
這些界限在安裝 Active Directory 時自動建立,但是您必須確定權限界限符合組織需求和原則。視組織的需求,管理權限委派可以具有很大的彈性。例如,要維護安全性與管理功能性之間適當的平衡,您可以將權限委派界限進一步細分為安全性界限和管理界限。
安全性界限
安全性界限可以協助定義組織內各種群組的自治或區隔。要在確保公司業務界限建立方式上足夠的安全性,與持續提供平實穩定的功能之間取得折衷,並不簡單。
若要成功地達到這個平衡,您必須權衡委派管理權限對組織帶來的安全性牽連威脅,以及其它和您環境的網路架構相關的選擇。
樹系對網域安全性界限
樹系是真正的安全性界限。本指南建議您建立個別的樹系來使您的環境遠離居心不良的管理員,而不是建立個別的網域來提供安全性和隔離居心不良的管理員和潛在威脅。
網域是 Active Directory 的管理界限。組織如果有個人都具善意,網域界限將可以在組織的每一個網域內提供服務和資料的自治管理。
不幸的是,當討論安全性時,這並不容易達到。例如,網域便無法完全避免遭到居心不良的網域管理員攻擊。這個層級的隔離只可在樹系層級達到。
因為這個緣故,您的組織可能需要考量在目前的 Active Directory 設計中分割服務和資料的管理控制。Active Directory 設計要求充分瞭解您的組織針對服務自治與服務區隔,以及資料自治與資料區隔的需求。
管理界限
由於區隔服務和資料的潛在需要,您必須定義必要的各種管理層級。除了為組織執行特定服務的管理員外,還建議設置下列類型的管理員。
服務管理員
Active Directory 服務管理員負責設定和提供目錄服務。例如,服務管理員負責維護網域控制站伺服器、控制整體目錄的配置設定,和負責確保服務可用性。您組織中的 Active Directory 管理員應該就是您的服務管理員。
在許多情況中,Active Directory 服務設定是由屬性值決定。這些屬性值相當於儲存在目錄中之個別物件的設定。因此,Active Directory 中的服務管理員同時也是資料管理員。視您的組織需求而定,以下列出您可能需要加到 Active Directory 服務設計中的其它一些服務管理員群組:
主要負責目錄服務的網域管理群組。
樹系管理員負責選擇管理每一個網域的群組。由於每一個網域的管理員已授予最高層級的存取權,這些管理員應該是受到高度信任的個人。執行網域管理的群組透過 Domain Admins 群組及其它內建群組來控制網域。
負責網域名稱系統 (DNS) 管理的管理員群組。
DNS 管理員群組負責完成 DNS 設計和管理 DNS 基礎結構。DNS 管理員透過 DNS 管理群組來管理 DNS 基礎結構。
負責 OU 管理的管理員群組。
OU 管理員指定群組或個人當作每一個 OU 的管理員。每一個 OU 管理員負責管理儲存在指派之 Active Directory OU 中的資料。這些群組可以管理的委派方式,以及原則套用到其中之 OU 的物件的方式。此外,OU 管理員還可以建立新子樹以及委派它們負責之 OU 的管理。
負責基礎結構伺服器管理的管理員群組。
負責基礎結構伺服器管理的群組還負責管理 Windows 網際網路名稱服務 (WINS) 、動態主機設定通訊協定 (DHCP)、以及可能還包括 DNS 基礎結構。在某些情況,負責網域管理的群組還將管理 DNS 基礎結構,因為 Active Directory 已經整合 DNS 並在網域控制站上儲存和管理。
資料管理員
Active Directory 資料管理員負責管理儲存在 Active Directory 中或加入 Active Directory 的電腦上的資料。這些管理員不控制目錄服務的設定或提供目錄服務。這些管理員是您組織建立之安全性群組的成員。有時候,Windows 中的預設安全性群組對組織中的所有狀況不是都有意義。因此,組織可以開發安全性群組命名標準和意義,來符合本身環境需求。有些資料管理員的每天工作包括:
控制目錄中的一部份物件。透過繼承屬性層級存取權控制,資料管理員便有權控制目錄的非常特定的段落,但不控制服務本身的設定。
管理目錄中之成員的電腦和那些電腦上的資料。
**注意:**在許多情況中,儲存在目錄中之物件的屬性值將決定目錄的服務設定。
總而言之,要允許 Active Directory 的擁有者和目錄結構加入樹系或網域基礎結構,則組織必須信任樹系以及所有網域中的所有服務管理員。此外,企業安全性方案必須開發標準原則和程序,以提供適當的管理員背景篩選。在這種安全性指南的脈絡下,信任服務管理員即表示:
合理地相信服務管理員會為組織尋找最佳利益。組織不應該選擇加入樹系或網域,如果樹系或網域的擁有者有正當理由惡意反對組織的話。
合理地相信服務管理員將遵守最佳常規和限制網域控制站的實際存取。
瞭解並接受組織可能遇到的風險,包括下列可能性:
居心不良的管理員—值得信賴的管理員可能變成居心不良的管理員,利用職權再系統上進行破壞。如果您在樹系中有一個居心不良的管理員,該管理員將可以很容易地從另一個網域來查詢另一個管理員的安全性識別元 (SID) 。居心不良的管理員接著可能使用應用程式設計介面 (API)、磁碟編輯器或偵錯程式,將竊取的 SID 加到自已網域內某帳戶的 SID 記錄清單中。藉由將竊取的 SID 加到使用者的 SID 記錄,以及本身擁有的網域,居心不良的管理員便取得竊取之 SID 網域的管理權限。
面臨壓力的管理員—值得信 賴的管理員可能會不得不執行破壞系統安全性的作業。使用者或管理員可能對電腦系統的合法管理員使用社交手腕,來取得存取系統所需的使用者名稱和密碼。
有些組織從外頭僱來的管理員可能居心叵測,或面臨壓力不得不執行一些手段,結果卻妥協了安全性。這種組織可能以為只要能夠透過協同合作節省成本,承擔一些風險是沒關係的。不過,這種風險對有些組織來說可能無法接受,因為破壞安全性的潛在結果太過嚴重,難以承擔。
促進群組原則管理和委派的 OU 結構
儘管本指南不在於討論 Active Directory 設計,但某些設計資訊仍屬必要,以便幫助您了解如何透過群組原則保障您組織的網域、網域控制站,並確保特定的伺服器角色安全。
OU 不僅提供一個簡單的方法來對為使用者、電腦和其他安全性主體進行分組,也是區隔系統管理界限的有效方法。
此外,使用 OU 來依據伺服器角色,提供不同的群組原則物件 (GPO) 是組織整體安全性架構中不可或缺的部分。
委派管理和套用群組原則
OU 簡單來說就是網域內的一個容器。您可以在每一個容器上個別設定存取權控制清單 (ACL),將 OU 控制委派給群組或個人。
通常您可以使用 OU 來提供類似 Microsoft Windows NT® 作業系統 4.0 資源網域的管理功能。還可以建立 OU,放置要由其它使用者管理之資源伺服器群組。如此一來,這個群組的其它使用者便能自主控制特定的 OU,而不必將 OU 從網域其餘部份隔離。
委派控制特定 OU 控制的管理員可能就是服務管理員。在較低層的授權中,通常是由資料管理員負責控制 OU。
管理群組
管理員可透過建立管理群組,將使用者、安全性群組或伺服器群體以容器區隔,來達到自治管理的目的。
網域內的基礎結構伺服器就是一個應用範圍。基礎結構伺服器包含執行基本網路服務 (如執行 WINS 和 DHCP 服務) 的伺服器等所有非網域控制站。所有 DNS 伺服器都是在位於網域控制站 OU 中的網域控制站上執行。這裡的 DNS 伺服器就不算是基礎結構伺服器。
通常這些伺服器是由營運群組或基礎結構管理群組負責維護。使用 OU 即可輕鬆地管理這些伺服器,只要將伺服器移到一個 OU (也就是基礎結構 OU),然後將 OU 控制委派給相關的管理群組即可。
下列圖表提供這種 OU 的高層次檢視。
圖 1 管理的 OU 委派
有關建立 OU、建立管理群組、將使用者移入群組及委派控制的逐步指示,請參閱<How To Create an Organizational Unit and Delegate Control with Windows Server 2003>。
這只是使用 OU 來提供管理區隔的諸多方法之一。有關更複雜的組織,請參閱本單元結尾段落的<其他資訊>。
在遵循這個程序執行後,基礎結構管理群組應該可以完全控制基礎結構 OU,以及這個 OU 中的所有伺服器和物件。這樣可以進入下一個階段,使用群組原則來保障伺服器角色安全。
群組原則應用
請使用群組原則和委派管理來套用特定設定、權利和行為到 OU 內的所有伺服器。透過使用群組原則而非手冊上的步驟,比較容易更新在未來需要其他變更的大量伺服器。
群組原則會累積,並依以下圖表所示順序套用。
圖 2 GPO 應用程式層級
如以上所示,原則是首先從電腦的本機原則層級開始套用。之後,在站台層級套用 GPO,然後才是網域層級。如果伺服器在多個 OU 形成巢狀,存在於最高層級 OU 的 GPO 將最先被採用。套用 GPO 的程序將繼續往下進行至 OU 階層。最後一個 GPO 將在含有伺服器物件的子 OU 層級被套用。處理群組原則的優先順序將從 (離使用者或電腦帳戶最遠的) 最高 OU 延伸至 (實際含有使用者或電腦帳戶的) 最低 OU。
在套用群組原則時,請記住下列考量事項:
您必須對具有多重 GPO 的群組原則設定 GPO 應用順序。如果多個原則指定相同選項,最後套用的那一個具有高優先順序。
使用 [不可強制覆蓋] 選項設定群組原則可防止它被其它 GPO 覆寫。
安全性範本
安全性範本是以文字為主的檔案。您可以使用 Microsoft Management Console (MMC) 的「安全性範本」嵌入式管理單元或使用文字編輯器 (例如記事本) 來變更這些檔案。範本檔案的有些段落含有以由 Security Descriptor Definition Language (SDDL) 撰寫的特定 ACL。您可以在 Microsoft MSDN® 找到更多關於編輯安全性範本和 SDDL 的其他資訊。
範本管理
依預設,通過驗證的使用者有權讀取「群組原則」物件中所含的所有設定。因此,將用於實際執行環境的安全性範本儲存在負責實作群組原則的管理員可以存取的安全位置,這非常重要。它的目的不是防止 *.inf 檔案被偷看,而是防止原始安全性範本遭到未經授權的更改。為達到這個目的,所有執行 Windows Server 2003 的電腦都將安全性範本存放在 %SystemRoot%\security\templates 資料夾中。
不過,這個資料夾不會跨多網域控制站複寫。因此,您需要指定一個網域控制站來保存安全性範本的主複本,這樣就不會有範本的版本控制問題。這樣可以確保您修改的範本永遠都是相同版本。
管理群組原則和匯入安全性範本
<如何使用 Windows Server 2003 套用群組原則和安全性範本>指導您完成將可從下列取得之安全性範本的必要步驟:https://go.microsoft.com/fwlink/?LinkId=14846 匯入到本單元建議的 OU 結構中。在網域控制站上實作該程序之前,環境中的 Windows Server 2003 系統上必須要有特定的原則 (.inf) 檔案。
**警告:**本指南中的安全性範本的設計目的是提昇您環境的安全性。安裝範本後貴組織環境中的某些功能可能會喪失,包括關鍵性應用程式失效。
先經過仔細測試再將這些範本部署到實際執行環境,非常重要。請先將您的環境中每個網域控制站和伺服器備份,再套用新的安全性設定。請確定備份中包含系統狀態,以便能還原登錄設定或 Active Directory 物件。
請建立新的「網域原則」和匯入相關 Domain.inf 安全性範本。並請將「網域原則」設定為「不可強制覆蓋」以免被覆寫。
有關建立和套用群組原則以及匯入安全性範本的逐步指示,請參閱<如何使用 Windows Server 2003 套用群組原則和安全性範本>。
**注意:**請驗證 [事件日誌],確認群組原則下載成功以及伺服器可以和網域中的其它網域控制站通訊。
**警告:**建立企業用戶端網域原則時,請確定啟用 [不可強制覆蓋] 選項,在整個網域中強制使用這個原則。這是本指南中唯一需要啟用 [不可強制覆蓋] 選項的群組原則。請不要在在本指南中指定之其它群組原則中啟用這個選項。另外,請不要修改Windows Server 2003 預設網域原則,以免日後須改回預設值。
要確保這個新原則的優先順序先於預設原則,請將它定位在所有 GPO 連結中具有最高的優先順序。
您可以修改預設原則 來建立新的安全性設定,不過,建立新的「群組原則」有一個好處,因為如果新的發生問題,可以輕易地停用,並由「預設網域原則」繼續控制。
Gpupdate.exe 是一個命令列工具,從批次檔或自動工作排程器呼叫執行時,可以用來自動套用範本和分析系統安全性。也可以透過命令列,動態地執行。
**重要:**這個原則應該匯入到組織中的任何其它網域。不過,根網域密碼原則比其它網域還嚴謹的環境並不常見。另外請小心執行,確保使用相同原則的其它網域具有相同的業務需求。由於密碼原則只可在網域層級設定,有時為因應某些業務或法律需求,必須對每些群組使用更嚴謹的密碼原則,結果將使用者區隔至個別的網域。
在本指南定義的三個環境中,已經對其根及子網域使用相同的原則,同時還對每一個使用關聯的安全性範本。例如,針對每一個個別的層級,已經使用 Legacy Client – Domain.inf、Enterprise Client – Domain.inf 和 High Security – Domain.inf 檔案。應該使用與上述類似的程序,來套用基礎原則和增量原則的任何後續範本。
成功的 GPO 應用事件
除了手動檢查所有設定以確保已經適當套用到您組織中的伺服器外,「事件日誌」中應該出現一個事件以通知管理員,網域原則已經成功下載至每一個伺服器。下列事件資訊應該出現在「應用程式記錄」中,並具有唯一的事件識別碼數字:
類型:資訊
來源 ID:SceCli
事件 ID: 1704
描述:群組原則物件中的安全性原則已經套用成功。
如需更多資訊,請參閱位於 https://go.microsoft.com/fwlink/events.asp 的「說明及支援中心」。
如果在套用網域原則後數分鐘內未出現這個訊息,請重新執行 Gpupdate.exe 命令列工具來套用網域原則,然後重新啟動伺服器以強制下載網域原則。
依預設,安全性設定在工作站或伺服器每隔 90 分鐘重新整理一次,在網域控制站每隔 5 分鐘重新整理一次。如果在這些間隔期間發生任何變更,您將看到這個事件。此外,設定還會每隔 16 小時重新整理,不論是否有新變更。
時間設定
您應該確定系統時間準確,以及您的組織中的所有伺服器都使用同一個時間來源。Windows Server 2003 W32Time 服務可對Active Directory 網域中執行的Windows Server 2003 和 Microsoft Windows XP 架構的電腦,提供時間同步處理。
W32Time 服務可以將 Windows Server 2003 架構電腦的用戶端時鐘和網域中的網域控制站同步化。這對 Kerberos 5 驗證通訊協定以及 NTLMv2 的正常運作是必要的。多數 Windows Server 系列元件依賴於準確和同步化的時間,才得以正常運作。如果用戶端上的時鐘未同步化,Kerberos 5 驗證通訊協定可能將登入要求錯誤解譯為入侵企圖而拒絕使用者存取。
時間同步處理提供的另一個重要優點是提供您企業中的所有用戶端的事件相互關係。您環境中用戶端的時鐘同步化,可確保您可以正確地分析用戶端上依統一順序發生的事件在企業中為成功或失敗。
Kerberos 是美國麻省理工學院 (MIT) 所開發的網路驗證通訊協定。這個通訊協定可以識別試圖登入網路之使用者的身分並以秘密 – 鍵加密方法將通訊進行加密。
W32Time 服務使用使用網路時間通訊協定 (NTP) 來使時鐘同步化。在 Windows Server 2003 樹系,時間的同步化方式如下:
樹系根網域中的網域主控站 (PDC) 模擬器主作業是組織的權威性時間來源。
當選取 PDC 模擬器來使本身的時間同步化時,樹系中其它網域內的所有 PDC 主作業都遵循網域的階層。
網域中的所有網域控制站會將時間和 PDC 模擬器主作業同步化,以當作輸入時間夥伴。
所有成員伺服器和用戶端桌面電腦都使用驗證網域控制站當作本身的輸入時間夥伴。
為了確保時間準確,樹系根網域中的 PDC 模擬器可以和外部 NTP 時間伺服器同步化。樹系根網域中的 PDC 模擬器可以和外部 NTP 時間伺服器同步化。不過,這樣做會導致必須在防火牆開啟連接埠。NTP 使用 UDP 連接埠 123。在這樣做之前,請權衡進行這些設定變更的優點和潛在的安全性風險。
若要使內部時間來源和外部時間來源同步化
開啟 [命令提示字元]。
輸入下列,其中 PeerList 是逗點分隔的 DNS 名稱或網際網路通訊協定 (IP) 位址清單,表示所要的時間來源: w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
若要更新,請輸入: w32tm /config /update。
檢查 [事件日誌]。如果電腦無法連上伺服器,表示程序失敗並有登錄寫入 [事件日誌] 中。
這個程序的常見用法是使內部網路的權威性時間來源和外部時間來源精確地同步化。不過,這個程序可以在執行 Windows XP 的任何電腦或 Windows Server 2003 系列的成員上執行。
在許多情況中,所有伺服器時間和外部來源同步化是必要的,只要它們和同一個內部來源同步化的話。
如果網路上的電腦執行 Windows 98 或 Windows NT 4.0 作業系統,則在登入指令檔中使用下列命令,來使那些機器上的時鐘同步化,其中 <timecomputer> 是網路上的網域控制站:
net time \\<timecomputer> /set /yes
執行這個命令將使這些電腦中的時鐘時間,和整個網域其它電腦的時鐘時間同步化。
**注意:**為了取得準確的日誌分析,執行非 Windows 作業系統的網路電腦的時鐘還應該和 Windows Server 2003 PDC 模擬器同步化。
基礎伺服器角色組織單位
前面用於管理組織的基礎結構伺服器的範例可加以擴充,來包含公司基礎結構中的其它伺服器和服務。它的目標是建立涵蓋所有伺服器的完整群組原則,同時確保位於 Active Directory 內的伺服器符合您的環境的安全性標準。
這種涵蓋您環境中所有伺服器的群組原則類型,對您企業中所有伺服器的標準設定形成一致的基礎。此外,OU 結構和群組原則的應用必須提供粒狀設計,來對組織中特定類型伺服器的安全性設定。例如,Internet Information Server (IIS)、檔案、列印、網際網路驗證伺服器 (IAS) 和憑證服務,便顯示組織中一些可能需要獨特群組原則的伺服器角色。
成員伺服器基礎原則
建立伺服器角色 OU 的第一個步驟是建立基礎原則。其方法是,先建立基礎安全性範本,然後將它匯入到群組原則。企業用戶端成員伺服器 Baseline.inf 檔案位於:https://go.microsoft.com/fwlink/?LinkId=14846,可提供這個功能和指南。企業用戶端是<Windows 2003 安全性簡介>單元中討論之以組織相容性需求為依據之中間層級的不同安全性的參考。
請將這個 GPO 安全性範本連結到成員伺服器 OU。企業用戶端成員伺服器 Baseline.inf 安全性範本將把基礎群組原則的設定套用到成員伺服器 OU 中的任何伺服器,以及子 OU 中的任何伺服器。為求簡明,本單元的其餘範例將使用企業用戶端安全性等級。成員伺服器基礎原則將在<建立 Windows Server 2003 成員伺服器的基準線>單元中討論。
基礎群組原則應該定義組織內所有伺服器所需的設定。請製作基礎群組原則儘可能嚴謹的基礎群組原則,並將任何需要和這個原則區別的任可伺服器區隔到個別伺服器專屬 OU 中。
伺服器角色類型和組織單位
繼續上面範例,建立一個個別的原則,當作基礎結構伺服器原則的增量變更。請將必要設定放置在稱為企業用戶端基礎結構 Server.inf 的安全性範本中,來確保基礎結構服務功能正常且可以透過網路存取。
請將這個 GPO 基礎結構範本連結到基礎結構 OU。最後,請使用「受限群組」設定,將下列三個群組加到「本機系統管理員」中,位置是「企業用戶端:Infrastructure Server Policy」:網域管理員、企業管理員和基礎結構管理員。
以下圖表顯示這個程序。
圖 3 設定增量群組原則
前面說過,這只是建立 OU 結構以部署 GPO 諸多方法之一。如需關於建立群組原則實作所需之 OU 的更多資訊,請參閱 Microsoft TechNet 文章《How to Deploy Active Directory》(英文),位址是: https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/windows2000/deploy/depovg/add.asp。
本安全性指南定義許多伺服器角色。下表含有遵循上述處理執行時用以增加這些角色的安全性而建立的範本。
表 1:Windows Server 2003 角色
伺服器角色 | 說明 | 安全性範本 |
---|---|---|
Windows Server 2003 網域控制站 | 含有 Active Directory 網域控制站的群組。 | Enterprise Client – Domain Controller.inf |
Windows Server 2003 成員伺服器 | 屬於網域的成員並位於成員伺服器 OU 之中或以下的所有伺服器。 | Enterprise Client – Member Server Baseline.inf |
Windows Server 2003 檔案伺服器 | 含有已鎖定檔案伺服器的群組。 | Enterprise Client – File Server.inf |
Windows Server 2003 列印伺服器 | 含有已鎖定列印伺服器的群組。 | Enterprise Client – Print Server.inf |
Windows Server 2003 基礎結構伺服器 | 含有已鎖定 DNS、WINS 和 DHCP 伺服器的群組。 | Enterprise Client – Infrastructure Server.inf |
Windows Server 2003 IAS 伺服器 | 含有已鎖定 IAS 伺服器的群組。 | Enterprise Client – IAS Server.inf |
Windows Server 2003 憑證服務伺服器 | 含有已鎖定憑證授權 (CA) 伺服器的群組。 | Enterprise Client – CA Server.inf |
Windows Server 2003 Bastion 主機 | 含有網際網路專用伺服器的群組。 | High Security – Bastion Host.inf |
Windows Server 2003 IIS 伺服器 | 含有已鎖定 IIS 伺服器的群組。 | Enterprise Client – IIS Server.inf |
OU 名稱 | 管理群組 |
---|---|
網域控制站 | 網域工程 |
成員伺服器器 | 網域工程 |
基礎結構 | 作業 |
檔案 | 作業 |
列印 | 作業 |
IAS | 網域工程 |
CA | 企業管理 |
Web | Web 服務 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
24 組可記憶密碼 | 24 組可記憶密碼 | 24 組可記憶密碼 | 24 組可記憶密碼 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
42 天 | 42 天 | 42 天 | 42 天 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
1 天 | 2 天 | 2 天 | 2 天 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
7 個字元 | 8 個字元 | 8 個字元 | 12 個字元 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
啟用 | 啟用 | 啟用 | 啟用 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
停用 | 停用 | 停用 | 停用 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
未定義 | 30 分鐘 | 30 分鐘 | 15 分鐘 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
0 次無效的登入嘗試 | 50 次無效的登入嘗試 | 50 次無效的登入嘗試 | 10 次無效的登入嘗試 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
未定義 | 30 分鐘 | 30 分鐘 | 15 分鐘 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
未定義 | 啟用 | 啟用 | 啟用 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
未定義 | 停用 | 停用 | 停用 |
網域成員預設 | 傳統用戶端 | 企業用戶端 | 高安全性 |
---|---|---|---|
停用 | 啟用 | 啟用 | 啟用 |