keine zusätzlichen Dienste aktivieren

- Ein Domänen-Controller sollte neben den zwingend notwendigen Standard Domänen-Controller Diensten, wie z. B. Active Directory, Kerberos und DNS, keine weiteren Infrastrukturdienste (z. B. DFS, DHCP) anbieten. Insbesondere vom Betrieb eines DHCP-Servers auf einem Domänen-Controller muss aus Sicherheitsgründen abgeraten werden (siehe auch Microsoft Dokumentation zu DNS und DHCP). Beide Dienste laufen unter den gleichen Berechtigungen ab. Dadurch können - stark vereinfacht dargestellt - die Zugriffsrechte auf DNS-Daten nicht mehr durchgesetzt werden, wenn der DHCP-Dienst Veränderungen an DNS-Daten durchführt.

- Ein Domänen-Controller sollte keine (Applikations-) Serverdienste anbieten, da bei Fehlern in den Serverprogrammen eine Kompromittierung des Domänen-Controllers und damit der gesamten Windows-Server Domäne möglich ist.

Domänen-Controller sollten so sicher wie möglich konfiguriert werden. Nach der Standardinstallation sollte die Vorlagendatei secdc.inf (unter Windows 2003 Server securedc.inf) oder hisecdc.inf angewandt werden. Die Vorlagendateien finden sich im Windows-Server Systemverzeichnis unter %windir%\security\templates und können entweder von der Kommandozeile mittels des Kommandos secedit konfiguriert werden, oder über die MMC-Plug-ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse angesehen oder angewandt werden. Je nach Umfeld müssen die durch die Vorlagen secdc.inf (unter Windows Server 2003 securedc.inf) bzw. hisecdc.inf vorgenommen Einstellungen angepasst werden. Dies kann beispielsweise erforderlich sein, wenn im Netz noch Altsysteme, z. B. OS/2, vorhanden sind, die weniger sichere Einstellungen bieten. Weitere Hinweise zur Planung der Sicherheitseinstellungen finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows. Als ergänzendes Regelwerk für die Migration von Windows NT Server auf Windows 2003 Server empfiehlt sich die im Microsoft Download Center (http://www.microsoft.com/downloads) erhältliche Migrationshilfe "Migrating from Windows NT Server 4.0 to Windows Server 2003". Diese beschreibt detailiert alle für die Umstellung erforderlichen Konfigurationsanpassungen.

- Die Konfiguration des Kanals, der zur Kommunikation von Verwaltungsdaten zwischen Rechnern einer Windows-Server Domäne genutzt wird, sollte so sicher wie möglich sein (siehe dazu M 5.89 Konfiguration des sicheren Kanals unter Windows).