21、活动目录安全管理与访问控制

活动目录安全管理与访问控制

1. 活动目录域服务（AD DS）安全保障

1.1 数据库文件放置

活动目录数据库包含目录数据、用户登录过程、身份验证和目录搜索等信息，存储在 ntds.dit 、 edb*.log 和 temp.edb 三个文件中。建议在提升域控制器时将这些文件从默认位置移动，若现有域控制器上的文件仍在默认位置，也应考虑移动。因为默认位置是域控制器的系统分区，攻击者若成功访问系统驱动器，就能获取目录服务数据库。

1.2 事件日志文件调整

默认情况下，目录服务和文件复制事件日志文件的最大大小为 512 KB。为了进行适当的审计，应将这些日志文件的最大大小增加到微软推荐的 16 MB。

1.3 服务账户管理员维护

通过控制企业管理员、域管理员和管理员组的成员资格，保护服务账户管理员账户。这些组在森林/域内具有高级权限，需密切监控。许多公司会实施空的森林根域，避免森林范围内的管理账户带来的问题。

1.4 数据库空间保障

使用两个 10 MB 的保留日志文件，以防存储日志文件的分区满。但在系统遭受攻击或发生紧急情况时，10 MB 可能不够。建议创建一个至少占用 250 MB 分区空间的虚拟文件，大分区上可创建至少为分区大小 1% 的保留文件，但最小不应小于 250 MB。
创建保留文件步骤如下：
1. 使用具有域管理员权限的账户登录到 Windows XP、Vista、Server 2003 或 Server 2008 系统。
2. 连接到要