你目前正处于脱机状态,正在等待 Internet 重新连接

在脱机 SAM 中的管理员帐户的保护

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 223301
本文已归档。它按“原样”提供,并且不再更新。
概要
本文讨论了脱机安全帐户管理器 (SAM) 和在其帐户的安全。

Windows 2000 域控制器存储域用户帐户、 组成员身份和 Active Directory 中的其他对象。Windows 2000 备份工具和其他第三方备份程序,程序可以备份基于 jet 的 Active Directory 联机 Windows 2000 域控制器上。

只能通过"脱机"或"目录服务还原"模式中放置 Active Directory 来执行系统维护和还原活动目录。目录服务还原模式,它使用基于注册表的 SAM 帐户数据库来存储管理员帐户和其他内置的用户和组,代表比 Active Directory 不同的安全上下文。
更多信息

注册表基于 SAM 创建

Microsoft Windows NT 版本 4.0 和更早版本存储区的用户帐户、 计算机帐户和组基于注册表的 SAM 中的信息。当您升级到 Windows 2000 的 Windows NT 4.0 主域控制器 (PDC) 时,DCPROMO 启动 Windows 2000 安装程序结束时。在 SAM 中的帐户被迁移到基于 jet 的 Active Directory 中。创建新的基于注册表的 SAM 包含"脱机"的管理员帐户 (和其他恢复 Windows 2000 域控制器所需的内置帐户)。通过按下 F8 启动过程的早期部分中,基于注册表的 SAM 中的帐户是仅在目录服务还原模式下可用。基于的 SAM %SYSTEMROOT%\SYSTEM32\CONFIG 文件夹中存储注册表。

新的 Windows 2000 域的活动目录数据库生成和使用一组默认的用户和组的填充。升级方案在 %SYSTEMROOT%\SYSTEM32\CONFIG 文件夹中创建的 Windows NT 中找到的基于注册表的 SAM 相同 Windows NT 4.0 版本类型。

确保在脱机 SAM 的安全

与 Windows NT 4.0 中所用的方法来保护在脱机 SAM 的方法。管理员希望确保脱机 SAM 的安全可能会考虑以下事项:

  1. 维护不同的密码在 DS 中的管理员和 $ 脱机 SAM 中的管理员帐户。至于策略的问题,在 ds 中的管理员帐户密码应该不同于脱机管理员帐户。

    联机和脱机密码将成为第一次的密码更改,Active Directory 管理员帐户使用不同。
  2. 评估该的风险,然后制定关键帐户像脱机和基于 Active Directory 的管理员帐户使用强密码原则的一个更改密码策略。
  3. 在脱机 SAM 不能访问以编程方式在活动目录模式下运行基于 Windows 2000 的域控制器时。若要实现强密码更改脱机管理员帐户的策略:

    1. 到目录服务还原模式启动 Windows 2000 域控制器。
    2. 更改帐户或帐户的密码。
    3. 在 Active Directory 模式下启动。
    有效的系统时间,服务器将成为脱机管理员帐户密码更改间隔。
  4. 启用审核的 SAM 文件位于 %WINDIR%\SYSTEM32\CONFIG 文件夹中。任何使用系统备份以外或病毒扫描应查明原因。

    : 是否不按照下面 Microsoft 知识库中相应的文章中概述的步骤:

    184017 管理员可以显示服务帐户密码的内容
    143475 Windows NT 系统密钥的许可证 SAM 的强的加密
  5. 为计算机、 紧急修复磁盘和磁带备份媒体的物理安全是在创建任何安全环境的一个重要组成部分。

管理员可能会遇到更多服务时无法生成脱机 SAM 攻击比脱机管理员帐户密码丢失。定义用于存储和检索脱机管理员密码不会损害安全性,但使密码可用于系统维护和恢复的一个内部过程。请考虑重新服务器通常构建在非高峰时间个月或甚至几年后最初安装操作系统。

远程,您可以更改该密码为脱机使用的 Windows NT 终端服务器远程管理模式中,并切换在 Boot.ini 相同切换在脱机还原模式和 Active Directory 模式下启动计算机。

SETPWD.exe,包括在 Windows 2000 Service Pack 2 和设置 DSRM 密码命令 NTDSUTIL.exe.net 服务器版本中的,管理员可以在目录服务处于联机状态时更改的域控制器上的 DS 还原管理员密码。
2000 4.00

警告:本文已自动翻译

属性

文章 ID:223301 - 上次审阅时间:12/05/2015 13:33:37 - 修订版本: 2.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbinfo KB223301 KbMtzh
反馈