域控制器及其安全的烦恼。

vacuum

其实我只是想让WIN98，2Kpro的客户端访问WIN2K服务器的共享文件夹即可，目前我只知道把WIN2K升级到域控制器才能保证WIN98也能正常访问，但域控制器增加了很多项目，感觉有些复杂，那些AD，DNS等等我不会用，也不需要，最最担心的是MS的默认配置又会影响服务器的安全。\r\n\r\n问题1：想让WIN98客户端访问WIN2K服务器的共享文件夹，但服务器不想升级到域控制器，只打算做独立服务器，有办法吗？\r\n\r\n问题2：如果大家都认为问题1的想法行不通，那么对于域控制器的安全需要做哪些特别配置，有相关资料推荐最好！如果没有请谈谈经验也好。\r\n\r\n问题3：就拿我目前的疑问来说，升级到域控制器后多了个共享SYSVOL，如何去掉？

wangderek

最初由 vacuum 发布\r\n[B]其实我只是想让WIN98，2Kpro的客户端访问WIN2K服务器的共享文件夹即可，目前我只知道把WIN2K升级到域控制器才能保证WIN98也能正常访问，但域控制器增加了很多项目，感觉有些复杂，那些AD，DNS等等我不会用，也不需要，最最担心的是MS的默认配置又会影响服务器的安全。\r\n\r\n问题1：想让WIN98客户端访问WIN2K服务器的共享文件夹，但服务器不想升级到域控制器，只打算做独立服务器，有办法吗？\r\n\r\n问题2：如果大家都认为问题1的想法行不通，那么对于域控制器的安全需要做哪些特别配置，有相关资料推荐最好！如果没有请谈谈经验也好。\r\n\r\n问题3：就拿我目前的疑问来说，升级到域控制器后多了个共享SYSVOL，如何去掉？ [/B]

\r\n\r\n1.好像只要使共享文件夾共享給everyone組就可以了，不太清楚。但是，這是肯定可以的。\r\n\r\n2。我覺得在域安全策略裡設置最短密碼長度，還有一旦多次登錄失敗，帳戶就被lockout，域管理員的密碼一定要很強，8位，字母數字混合，域管理員帳戶盡可能少。\r\n但是這樣並不能保証安全無事，因為域用戶那么多，總會有像123456這樣的弱智密碼，這很容易被流光之類的工具只嘗試把123456作密碼的情況下給找出來。所以我覺得最重要的是要有monitoring control,設置安全日志，只要出現大量的連續的用戶登錄失敗，就要提高警惕，並追查供給者，我覺得這是最終解決之道。\r\n當然，防病毒，對安裝的數據庫（特別是sql)也要注意\r\n\r\n3。我覺得需要去掉嗎？

DLTech

把你要共享的文件夹的权限设置好，包括共享权限和本地权限，另外，如果用不到的话，把IIS的FTP服务关掉！另外，注意Windows 和 Sql server 最新的补丁。\r\n\r\n另外，一定要升级到Domain server才能保证Win98正常访问吗？如果没有特别需要，没有必要升级到域的，同一个工作组应该也是可以吧，用unc name就可以！

wangderek

最初由 DLTech 发布\r\n[B]把你要共享的文件夹的权限设置好，包括共享权限和本地权限，另外，如果用不到的话，把IIS的FTP服务关掉！另外，注意Windows 和 Sql server 最新的补丁。\r\n\r\n另外，一定要升级到Domain server才能保证Win98正常访问吗？如果没有特别需要，没有必要升级到域的，同一个工作组应该也是可以吧，用unc name就可以！ [/B]

\r\n\r\n理論上，開啟的服務越少越好，但不同的服務風險不同，我覺得www，ftp,snmp,smtp服務之類的風險並不高，特別是作為內部服務器，對于patch，我覺得不打也無所謂，終究沒有幾個用戶有這種本領。

omni

AD Security guide from NSA. \r\nAttached are Architecture, AD security and DNS security. \r\nOriginals can be obtained from NSA website.

D99

最初由 omni 发布\r\n[B]AD Security guide from NSA. \r\nAttached are Architecture, AD security and DNS security. \r\nOriginals can be obtained from NSA website. [/B]

\r\n\r\nthanks

jinzhi

在服务器上建立供98和2000 pro访问的本机用户,98必须以此用户登陆网络,2000pro会直接要求你输入用户名称和密码,如果登陆时使用的用户名称和密码是设置的用户就不会弹出窗口要求输入

ericxu

step1: set up shared folder on server end\r\nstep2: create local account on server end\r\nstep3: set up access list\r\nstep4: access this shared folder from any clients

ericxu

step1: set up shared folder on server end\r\nstep2: create local account on server end\r\nstep3: set up access list\r\nstep4: access this shared folder from any clients with this local server account

kevinlt

不需要AD的，只要在服务器上建个用户，在98以这个用户登陆就行了