文档介绍:使管理帐户更安全的最佳做法
为更安全地使用 Windows Server 2003中的治理帐户而应遵循的最 佳做法指导原则包括:
?区分域治理员和企业治理员角色。
?区分用户帐户和治理员帐户。
?使用 Secondary Logonomain_name>是您的域名),然后单击"确定"。
3.
当系统提示输入domain_name\administrator帐户的密码时,键入治理 员帐户的密码,然后按ENTER键。
4.
一个新操纵台窗口打开,表示正在治理环境中运行。此操纵台标题
标识为作为 domain_name\administrator 运行。
使用运行方式来运行“操纵面板"中的项目
1.
在 Windows XP 或 Windows Server 2003 中,依次单击"开始”、"操 纵面板”。
2.
按住SHIFT键,同时右键单击您要在治理环境中运行的工具或程序 (例如,“添加硬件”)。
3.
在快捷方式菜单上,单击“运行方式"。
4.
在“运行身份"对话框中,单击“下列用户",然后键入相应的域名、 治理员帐户名和密码;例如:
CORPDOMAIN\Administrator
******@sswOrd
5.
单击“确定"。此程序在治理环境中运行。
使用运行方式来打开"开始"菜单中的程序(例如Active Directory 用户和运算机)
1.
在 Windows Server 2003中,单击"开始",指向"治理工具",然 后右键单击"Active Directory用户和运算机"。
2.
在快捷方式菜单上,单击“运行方式"。
,并从命令 行启动治理操纵台。
在本地运算机上作为治理员启动命令提示符实例
1.
单击“开始",然后单击“运行"。
2.
在"运行"对话框中,键入 runas /user:<localcomputername>\adminis trator cmd。
3.
单击“确定"。
4.
显现提示时,在命令提示符窗口中键入治理员密码,然后按ENTER 键。
在corpdomain域中使用称为domainadmin的域治理员帐户启动"运算 机治理"治理单元实例
1.
单击“开始",然后单击“运行"。
2.
在"运行"对话框中,键入 runas /user:<corpdomain>\<domainadmin>
"mmc %windir%\system32\"
3.
单击“确定"。
4.
显现提示时,在命令提示符窗口中键入帐户密码,然后按ENTER 键。
,并使用智能卡凭据从命令行启动 治理操纵台。
使用智能卡凭据在本地运算机上作为治理员启动命令提示符实例
1.
单击“开始",然后单击“运行"。
2.
在"运行''对话框中,键入 runas /smartcard /user: <localcomputernam e>\administrator cmd
3.
单击“确定"。
4.
显现提示时,在命令提示符窗口中键入智能卡的PIN号,然后按E
NTER 键。
注:,因为如此不安全。
运行用于治理的单独的“终端服务"会话
运行方式是治理员在更换其本地运算机时最常用的方法,也可能是执 行某些业务线程序的最常用方法。关于IT治理任务,您能够使用终端服 务来连接到您需要治理的服务器。此方法大大简化了治理多台远程服务器 的工作,无需物理访咨询每台远程服务器,而且不需要您具备在服务器上 交互式登录的权限。要使用此方法,请使用一般用户帐户凭据登录,然后 作为域治理员运行“终端服务"会话。您只能在“终端服务"会话窗口中 执行域治理任务。
重命名默认治理员帐户
当您重命名默认治理员帐户时,没有明显指示此帐户具有提升的特权。 尽管攻击者仍需要通过密码使用默认治理员帐户,然而已命名的默认治理 员帐户应该添加一道附加的爱护层,以防止遭受特权提升的攻击。一种方 法是使用假想姓和名,并与其他用户名的格式相同。
注:重命名默认治理员帐户只能阻止某些类型的攻击。由于此帐户的 安全ID始终相同,攻击者判定哪个帐户是默认治理员帐户相对比较容易。 另外,工具能够枚举组成员,并始终先列出原始治理员帐户。为了最好 地防止对您的内置治理员帐户进行攻击,请创建新的治理帐户,然后禁用 内置帐户。
在域中重命名默认治理员帐户
1.
作为Domain Admins组成员(但不是内置治理员帐户)登录,然后 打开"Active Directory用户和运算机"。
2.
在