Ochrana účet Administrator v offline SAM

Překlady článku Překlady článku
ID článku: 223301 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek pojednává o zabezpečení offline správce zabezpečení účtů (SAM) a účty v ní.

Řadiče domény systému Windows 2000 úložiště domény uživatelské účty, členství a ostatní objekty v aktivním adresáři. Nástroj Backup systému Windows 2000 a zálohovací programy jiných výrobců můžete zálohovat systémem jet Active Directory na online řadič domény Windows 2000.

Údržba systému a obnovení služby Active Directory může být provedena pouze umístěním Active Directory "offline" nebo "Obnovení adresářových služeb" režimu. Adresář obnovení služeb režimu, který používá k uložení účtu správce a jiné integrované uživatelů a skupin, založené na registru databáze účtů SAM představuje kontextu zabezpečení jiný než Active Directory.

Další informace

Vytvoření SAM Based registru

Microsoft Windows NT verze 4.0 a starší úložiště uživatelské účty, účty počítače a informace o skupině v SAM založené na registru. Při inovaci systému Windows NT 4.0 řadiči primární domény (PDC) systému Windows 2000 spustí DCPROMO na konci instalace systému Windows 2000. Účty SAM jsou přeneseny jet systémem Active Directory. Je vytvořen nový SAM založené na registru obsahující "offline" správce účtu (a ostatní vestavěné účty potřebné k obnovení řadičů domény Windows 2000). Účty SAM založené na registru jsou k dispozici pouze v režimu obnovení adresářových služeb stisknutím klávesy F8 v úvodní části procesu spouštění. Registru založené SAM je uložen ve složce %SYSTEMROOT%\SYSTEM32\CONFIG

Nové domény Windows 2000 je databáze služby active directory integrována a naplněn výchozí sadu uživatelů a skupin. Stejný typ verze 4.0 WINDOWSNT založené na registru SAM v WINDOWSNT scénáře inovace je vytvořen ve složce %SYSTEMROOT%\SYSTEM32\CONFIG nalezen.

Zabezpečení offline SAM

Metody ochrany offline SAM totožné metody používané v systému Windows NT 4.0. Správci vypadající zabezpečit offline SAM může zvažte následující skutečnosti:

  1. Udržovat jiné heslo pro účet správce v režimu offline SAM a správce v DS. Jako záležitosti zásad by měl být jiný než účet správce offline heslo pro účet správce v aktivním adresáři.

    Hesla online a offline se stanou různých první změna hesla účtu správce služby Active Directory.
  2. Vyhodnotit rizika a vyvinout zásady Změna hesla pro kritické účty jako účet správce offline a založené na službě Active Directory pomocí pokyny silné heslo.
  3. Offline SAM není přístupný programově při řadiči domény se systémem Windows 2000 je spuštěn v režimu služby active directory. Silné heslo změnit implementovat zásady pro účet správce offline:

    1. Řadič domény Windows 2000 spusťte do režimu obnovení adresářových služeb.
    2. Změnit heslo pro účet nebo účty.
    3. Spustit v režimu Active Directory.
    Efektivní času systému nahoru server stane interval změnit heslo pro účet správce offline.
  4. Povolte auditování souboru SAM umístěn ve složce %WINDIR%\SYSTEM32\CONFIG. Některé používat jiné než zálohy systému nebo by měl být prozkoumány virů.

    Poznámka: postupujte podle kroků uvedených v následujících článcích znalostní báze Microsoft Knowledge Base:

    184017 Správci mohou zobrazit obsah hesla účtů služeb
    143475 WINDOWSNT systémový klíč umožňuje silné šifrování SAM
  5. Fyzické zabezpečení počítačů záchranné opravy disky a pásky záložního média je důležitá součást v zabezpečeném prostředí vytváření.

Správci setkat další ztráty služby, pokud nelze vytvořit heslo pro účet offline správce než útoků proti offline SAM. Definovat o vnitřní proces pro ukládání a načítání offline správce hesla, které není ohrozit zabezpečení, ale zpřístupní údržby systému a obnovení hesla. Zvažte, že servery jsou obvykle vytvořena špičku měsíce nebo roky i po původní instalaci operačního systému.

Vzdáleně můžete změnit heslo pro offline stejné v režimu vzdálené správy pomocí Terminálové WINDOWSNT a přepínání Boot.ini přepínat mezi spuštění počítače v režimu offline obnovení a režimu Active Directory.

SETPWD.exe, který je součástí systému Windows 2000 Service Pack 2 a příkazu "Nastavit heslo DSRM" v .NET Server verze NTDSUTIL.exe umožňují správcům změnit heslo správce DS obnovení v řadiči domény, zatímco je online služba Directory.

Vlastnosti

ID článku: 223301 - Poslední aktualizace: 23. února 2007 - Revize: 2.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbmt kbinfo KB223301 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:223301

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com