保障Win2003域控制器的安全性

　　在Windows Server 2003中，完全的禁用内置管理员账号成为可能。当然假如您想那样做，必须要先创建另外的一个账号，并赋予他管理员的权限。否则，您将发现您自己也无法执行某些特权任务了。当然内置的来宾账号是应该被禁止的（默认就是如此）。假如一些用户需要具备来宾的权限，为他创建一个名字没那么显眼的新账号，并限制他的访问。

　　任何的账号，特别是管理账号都应该有一个强壮的密码。一个强壮的密码应该包含8位以上的字符，数字和符号，应该大小写混排，而且不应该是字典中的单词。用户必须要注意，不要将他们的密码用笔写下来或告诉其他人（社交工程术也是未授权取得访问权限的常用方法）。还能够通过组策略来强制需要密码在一定的基础上进行变化。
　　重定向活动目录数据库

　　活动目录的数据库包含了大量的核心信息，是应该妥善保护的部分。方法之一就是将这些文档从被攻击者熟知的默认位置（在系统卷中）转移到其他位置。假如想进行更深入的保护，考虑把AD数据库文档移动到一个有冗余或映像的卷，以便磁盘发生错误的时候您还能恢复他。

　　活动目录的数据库文档包括：Ntds.dit；Edb.log；Temp.edb

　　附注：将活动目录的数据库文档移动到和系统卷不同的物理硬盘，也能够提高DC的系统性能。

　　您能够按照以下步骤，通过NTDSUTIL.EXE这个工具来转移活动目录的数据库和日志文档：

　　1．重新启动域控制器。

　　2．在启动的时候按下F8键，以访问高级选项菜单。

　　3．在菜单中选择 目录服务恢复模式。

　　4．假如您装有一个以上的Windows Server 2003，选择正确的那个，按回车键继续。

　　5．在登陆提示的时候，使用当时您提升服务器时指定的活动目录恢复账号的用户密码登陆。

　　6．点击 开始 | 运行，输入CMD，运行命令提示行。

　　7．在命令提示行中，输入NTDSUTIL.EXE，并执行。

　　8．在NTDSUTIL的提示行中，输入FILES。

　　9．选择您想要移动的数据库或日志文档，输入MOVE DB TO或MOVE LOGS TO。

　　10．输入两次QUIT，退出NTDSUTIL，返回到命令提示行，并关闭命令提示行窗口。

　　11．再次重新启动域控制器，以正常模式进入Windows Server 2003。
　　使用Syskey保障密码信息的安全

　　保存在活动目录中的域账号密码信息是最为敏感的安全信息。系统密钥（System Key - Syskey）就是用来加密保存在域控制器的目录服务数据库中的账号密码信息的。

　　Syskey一共有三种工作模式。模式一，就是任何Windows Server 2003中默认采用的，电脑随机产生一个系统密钥（system key），并将密钥加密后保存在本地。在这种模式中，您能够像平时相同的登录本地电脑。

　　在模式二中，系统密钥使用和模式一中同样的生成方式和存储方式，但是他使用一个由管理员指定的附加密码以提供更进一步的安全性。当您重起电脑的时候，您必须在启动的时候输入管理员指定的附加密码，这个密码不保存在本地。

　　模式三是安全性最高的操作方法。电脑随机产生的系统密钥将被保存在一张软盘上，而不是电脑本地。假如您没有软盘的物理访问权限，并在系统提示时插入该软盘，您就无法引导系统。

　　附注：在使用模式二和模式三之前，请先考虑他们相关的特性。例如，可能会需要管理员在本地插入含有syskey密码的软盘，这就意味着，您将无法不在服务器端插入软盘就实现服务器远程重启。

　　您能够通过以下方法创建system key：

　　1．点击 开始 | 运行，输入CMD，运行命令提示行。