WS03:Active Directory最佳操作

 

1 ，建议不要适用管理凭据登录到计算机，可以适用运行方式。

2 ，重命名或者禁用管理员帐户和来宾账户。

3 ，保证物理环境中的服务器安全，可将所有域控制器放置在安全的房间中。

4 ，管理两个林之间的安全关系，简化跨越林的安全管理和身份验证。

5 ，将 Schema Admins 组中的帐户全部删除，只在需要对架构进行修改的时候添加对应的账户以确保 AD 架构的安全。

6 ，限制用户、组和计算机等安全对象访问共享资源，并筛选“组策略”设置

7 ，使用 AD 管理工具的已签名或已加密的 LDAP 通信，因为 WIN2000 域的 AD 管理工具并不会对 LDAP 通信进行签名与加密。

8 ，指派给特定默认组的某些默认用户权限可能允许这些组的成员在该域中获得额外的权限，包括管理权限。

9 ，指定复制到全局编录的域目录对象的权限时，请使用全局组或者通用组而不是本地组。

10 ，规范化站点管理可以帮助快速访问最新目录信息以及所需资源。

11 ，每个站点上至少放置一个 DC ，并使每个站点中至少有一个 DC 为 GC 。

12 ，执行 DC 的定期备份以保留该域内的所有信任关系。

 

本文出自 “Joshua Tu's Blog” 博客，谢绝转载！