Защита учетной записи администратора в автономном режиме SAM

Переводы статьи Переводы статьи
Код статьи: 223301 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье безопасности автономных диспетчера учетных записей безопасности (SAM) и учетные записи в нем.

Учетные записи домена хранилище контроллеров домена Windows 2000, членство в группах и другие объекты в Active Directory. Средство архивации Windows 2000 и другие программы резервного копирования сторонних может создавать резервные копии на базе jet Active Directory на контроллере домена Windows 2000 через Интернет.

Система обслуживания и восстановления Active Directory возможно только путем размещения в Active Directory «автономно» или в режиме «Восстановление службы каталогов». Службы режима восстановления каталогов, использующая системного реестра базы данных учетных записей SAM для хранения учетной записи администратора и другие встроенные пользователи и группы, представляет контекст безопасности от Active Directory.

Дополнительная информация

SAM: создание на основе данных реестра

Microsoft Windows NT версии 4.0 и более ранних версий хранилище учетных записей пользователей, учетные записи компьютера и данных группы на основе реестра SAM. При обновлении Windows NT 4.0 основной контроллер домена (PDC) для Windows 2000 DCPROMO начинается по окончании установки Windows 2000. В Active Directory на базе jet миграции учетных записей SAM. Создан новый SAM системного реестра, содержащий «автономный» учетной записи администратора (или другие встроенные учетные записи, необходимые для восстановления контроллера домена Windows 2000). Учетных записей SAM на базе реестра доступны только в режиме восстановления службы каталогов, нажав клавишу F8 в начале процесса загрузки. Реестр на основе SAM сохраняется в папку % SystemRoot%\System32\Config.

Для новых доменов Windows 2000 база данных active directory построена и заполняется по умолчанию набор пользователей и групп. Windows NT версии 4.0 однотипные системного реестра SAM обнаружены в Windows NT, созданный сценарий обновления в папку % SystemRoot%\System32\Config.

Защита автономных SAM

Методы защиты автономных SAM идентичны методов, используемых в Windows NT 4.0. Администраторы, планирующие защита автономных SAM могут учитывать следующее:

  1. Поддерживать другой пароль для учетной записи администратора в автономном режиме SAM и администратора службы каталогов. В рамках политики пароль для учетной записи администратора в Active Directory должен отличаться от учетной записи администратора в автономном режиме.

    Пароли автономно и станет различных с первого изменения пароля учетной записи администратора службы каталогов Active Directory.
  2. Оценка риска, а затем разработать политику изменение пароля для критических учетные записи как учетная запись администратора и в автономном режиме на основе Active Directory, с помощью надежного пароля рекомендации.
  3. Автономные SAM недоступен программно при работе в режиме active directory контроллера домена под управлением Windows 2000. Для реализации надежных паролей изменение политики для учетной записи администратора в автономном режиме:

    1. Запустите контроллер домена Windows 2000 в режиме восстановления службы каталогов.
    2. Изменение пароля для учетной записи или учетные записи.
    3. Запуск в режиме Active Directory.
    Эффективные системы времени сервера становится интервал изменения пароля для учетной записи администратора в автономном режиме.
  4. Включите аудит файл SAM, расположенный в папке %WINDIR%\SYSTEM32\CONFIG. Какая-либо использовать отличный от резервной копии системы и должен быть проверен на вирусы.

    ПРИМЕЧАНИЕ: Не выполняйте шаги, описанные в следующих статьях базы знаний Майкрософт:

    184017 Администраторы могут отобразить содержимое пароли учетных записей служб
    143475 Системный раздел Windows NT позволяет использовать стойкое шифрование SAM
  5. Физическая безопасность для компьютеров, диски аварийного восстановления и ленточных носителей резервных копий является критическим компонентом при создании любой безопасной среды.

Администраторы могут возникнуть дополнительные потери службы, когда не удается создать пароль учетной записи администратора в автономном режиме от атак против автономного SAM. Определение внутреннего процесса сохранения и извлечения паролей администратора в автономном режиме, не нарушить безопасность, но делает доступным для обслуживания системы и восстановления паролей. Рассмотрим, что серверы обычно перестраиваются в часы наименьшей загрузки месяцы или годы после исходной установки операционной системы.

Удаленно, может изменить пароль для автономного так же с помощью сервера терминалов Windows NT в режиме удаленного администрирования и переключение Boot.ini переключаться между запуском компьютера в режим восстановления в автономном режиме и режиме Active Directory.

SETPWD.exe, поставляемой вместе с пакетом обновления 2 (SP2) для Windows 2000 и в команду «Задать пароль DSRM».Разрешить-NET версии NTDSUTIL.exe Администратор может изменить пароль администратора восстановления службы Каталогов на контроллере домена во время службы каталогов находится в оперативном режиме.

Свойства

Код статьи: 223301 - Последний отзыв: 4 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
Ключевые слова: 
kbinfo kbmt KB223301 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:223301

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com