Uživatelské účty služby Active Directory představují fyzické entity, například osoby. Uživatelské účty je také možné použít jako vyhrazené účty služby pro některé aplikace.
Uživatelské účty jsou také označovány jako zaregistrované objekty zabezpečení. Zaregistrované objekty zabezpečení jsou objekty adresáře s automaticky přiřazenými identifikátory zabezpečení (SID), které lze použít k získání přístupu k prostředkům v doméně. Primární funkce uživatelského účtu:
-
Ověřuje identitu uživatele.
Uživatelský účet umožňuje uživateli přihlásit se k počítačům a doménám s identitou, kterou je možné v doméně ověřit. Každý uživatel, který se přihlásí do sítě, by měl mít vlastní jedinečný uživatelský účet a heslo. Za účelem maximalizace zabezpečení zabraňte tomu, aby více uživatelů sdílelo jeden účet.
-
Uděluje nebo zamítá přístup k prostředkům v doméně.
Po ověření je uživateli udělen nebo zamítnut přístup k prostředkům v doméně na základě výslovných oprávnění, která jsou přiřazena tomuto uživateli pro daný prostředek.
Uživatelské účty
Kontejner Users (Uživatelé) v modulu snap-in Uživatelé a počítače služby Active Directory obsahuje tři předdefinované uživatelské účty: Administrator, Guest a HelpAssistant. Tyto předdefinované uživatelské účty jsou vytvořeny automaticky při vytvoření domény.
Každý předdefinovaný účet má jinou kombinaci práv a oprávnění. Účet Administrator má nejrozsáhlejší práva a oprávnění v doméně, účet Guest má naopak omezená práva a oprávnění. V následující tabulce jsou popsány jednotlivé výchozí uživatelské účty v řadičích domény s operačním systémem Windows Server® 2008 R2.
| Výchozí uživatelský účet | Popis | ||||
|---|---|---|---|---|---|
|
Administrator |
Účet Administrator umožňuje plně ovládat doménu. Uživatel s tímto účtem může podle potřeby přidělovat práva a oprávnění k řízení přístupu uživatelům domény. Použijte tento účet pouze pro úkoly, které vyžadují pověření správce. Doporučujeme, aby byl tento účet nastaven se silným heslem. Účet Administrator je výchozí člen následujících skupin služby Active Directory: Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners a Schema Admins. Tento účet nelze ze skupiny Administrators odstranit ani odebrat, ale může být přejmenován nebo zakázán. Je známo, že účet Administrator existuje v mnoha verzích systému Windows, proto by přejmenování nebo zakázání účtu mohlo uživatelům se zlými úmysly ztížit získání přístupu. Účet Administrator je první účet, který je vytvořen při vytvoření nové domény pomocí Průvodce instalací služby Active Directory Domain Services.
| ||||
|
Guest |
Uživatelé, kteří nemají účet v doméně, mohou používat účet Guest. Tento účet může použít také uživatel, jehož účet je zakázán (nikoli však odstraněn). Účet Guest nevyžaduje heslo. U účtu Guest lze nastavit stejná práva a oprávnění jako u jiných uživatelských účtů. Ve výchozím nastavení je účet Guest členem předdefinované skupiny Guests a globální skupiny Domain Guests, které umožňují uživateli přihlásit se do domény. Ve výchozím nastavení je účet Guest zakázaný a doporučujeme tento stav neměnit. | ||||
|
HelpAssistant (nainstalovaný relací programu Vzdálená pomoc) |
Primární účet pro vytvoření relace programu Vzdálená pomoc. Tento účet je vytvořen automaticky v případě, že požadujete relaci programu Vzdálená pomoc. Účet má omezený přístup k počítači. Účet HelpAssistant je spravován službou Správce relací nápovědy vzdálené plochy. Tento účet je automaticky odstraněn, pokud nejsou žádné čekající požadavky na vzdálenou pomoc. |
Zabezpečení uživatelských účtů
Pokud nejsou práva a oprávnění předdefinovaných účtů upravena nebo zakázána správcem sítě, mohou být zneužita uživatelem (nebo službou) se zlými úmysly k nelegálnímu přihlášení do domény pomocí účtu Administrator nebo Guest. Doporučeným postupem pro zabezpečení je tyto účty přejmenovat nebo zakázat. Vzhledem k tomu, že zůstává zachováno ID zabezpečení (SID), zůstávají beze změny i další vlastnosti přejmenovaného uživatelského účtu, například popis, heslo, členství ve skupinách, profil uživatele, informace o účtu a všechna přiřazená oprávnění a uživatelská práva.
Jestliže chcete získat výhody zabezpečení pomocí ověření a autorizace uživatele, použijte k vytvoření jednotlivých uživatelských účtů pro každého uživatele, který bude připojen v síti, modul Uživatelé a počítače služby Active Directory. Potom je možné přidat jednotlivé uživatelské účty (včetně účtu Administrator a Guest) do skupiny a řídit práva a oprávnění, která jsou k účtu přiřazena. Pokud jste vytvořili účty a skupiny odpovídající používané síti, je tím zajištěno, že můžete identifikovat uživatele, kteří se přihlásí do sítě, a zajistit, aby měli přístup pouze k povoleným prostředkům.
Můžete také podpořit obranu domény před útočníky tím, že budete požadovat silná hesla a zavedete zásady uzamčení účtu. Silná hesla snižují riziko uhodnutí hesla a slovníkových útoků na hesla. Zásady uzamčení účtu snižují možnost napadení útočníkem pokoušejícím se proniknout do domény opakováním pokusů o přihlášení. Zásady uzamčení účtu určují, kolik neúspěšných pokusů o přihlášení může uživatelský účet provést před jeho zakázáním.
Možnosti účtu
Pro všechny uživatelské účty služby Active Directory je k dispozici několik možností určujících, jak je uživatel přihlašující se s určitým uživatelským účtem v síti ověřen. Možnosti uvedené v následující tabulce můžete použít ke konfiguraci nastavení hesla a informací týkajících se zabezpečení uživatelských účtů.
| Možnost účtu | Popis |
|---|---|
|
Při dalším přihlášení musí uživatel změnit heslo |
Určuje, že uživatel musí změnit své heslo při příštím přihlášení do sítě. Tuto možnost použijte, pokud chcete zajistit, že uživatel bude jedinou osobou, která zná heslo. |
|
Uživatel nemůže měnit heslo |
Zabraňuje uživateli změnit heslo. Tuto možnost použijte, pokud si chcete zachovat kontrolu nad uživatelským účtem, například účtem Guest nebo dočasným účtem. |
|
Heslo je platné stále |
Zabraňuje vypršení platnosti hesla uživatele. Doporučujeme, aby tato možnost byla vybrána pro účty služeb, které současně používají silná hesla. |
|
Ukládat hesla pomocí reverzibilního šifrování |
Umožňuje uživateli přihlásit se do sítě systému Windows z počítačů Apple. Jestliže se uživatel nepřihlašuje z počítače Apple, nepoužívejte tuto možnost. |
|
Účet je zablokován |
Zabraňuje uživateli v přihlášení pomocí vybraného účtu. Správci často používají zakázané účty jako šablony pro běžné uživatelské účty. |
|
Interaktivní přihlášení jen s čipovou kartou |
Určuje, že uživatel musí k interaktivnímu přihlášení do sítě použít čipovou kartu. Uživatel musí mít také k počítači připojenu čtečku čipových karet a vlastnit pro tuto kartu platné osobní identifikační číslo (PIN). Pokud zvolíte tuto možnost, je heslo pro uživatelský účet automaticky nastaveno na náhodnou a složitou hodnotu a je zapnuta možnost Heslo je platné stále. |
|
Důvěřovat účtu pro delegování |
Umožňuje službě fungující pod tímto účtem provádět operace za jiné uživatelské účty v síti. Služba fungující pod uživatelským účtem (také známá jako účet služby), která je důvěryhodná pro delegování, může představovat klienta a získat přístup k prostředkům v počítači, ve kterém je služba spuštěna, nebo k prostředkům v jiných počítačích. V doménové struktuře nastavené na úroveň funkčnosti Windows Server 2008 R2 je tato možnost k dispozici na kartě Delegování. Tuto možnost je možné použít pouze pro účty, kterým byly přiřazeny hlavní názvy služeb (SPN) nastavené pomocí příkazu setspn v systému Windows Server 2008 R2. (Otevřete příkazový řádek a zadejte setspn.) Toto je možnost, která je citlivá z hlediska zabezpečení, takže je vhodné ji používat po důkladném uvážení. Tato možnost je k dispozici pouze pro řadiče domény se systémem Windows Server 2008 R2, kde je funkčnost domény nastavena na kombinovaný režim systému Windows® 2000 nebo nativní režim systému Windows 2000. U řadičů domén se systémem Windows Server 2008 a Windows Server 2008 R2, kde je úroveň funkčnosti domény nastavena na úroveň funkčnosti doménové struktury Windows Server 2008 nebo Windows Server 2008 R2, použijte ke konfiguraci nastavení delegování kartu Delegování v dialogovém okně s vlastnostmi uživatele. Karta Delegování se zobrazí pouze pro účty, ke kterým je přiřazen hlavní název služby (SPN). |
|
Účet je citlivý a nelze jej delegovat |
Tuto možnost je možné použít, pokud účet (například Guest nebo dočasný účet) nelze nastavit pro delegování jiným účtem. |
|
Použít pro tento účet šifrování DES |
Zajišťuje podporu pro standard DES (Data Encryption Standard). Standard DES podporuje několik úrovní šifrování, včetně standardů MPPE (Microsoft Point-to-Point Encryption) (40bitový), MPPE (56bitový), MPPE Strong (128bitový), IPsec (Internet Protocol security) DES (40bitový), IPsec 56bitový DES a IPsec Triple DES (3DES). |
|
Nevyžadovat předběžné ověření modulem Kerberos |
Zajišťuje podporu alternativních nasazení protokolu Kerberos. Při použití této možnost však postupujte opatrně, protože předběžné ověření modulem Kerberos zvyšuje zabezpečení a vyžaduje časovou synchronizaci mezi klientem a serverem. |
Účty InetOrgPerson
Služba AD DS (Active Directory Domain Services) zajišťuje podporu pro třídu objektu InetOrgPerson a souvisejících atributů tak, jak je definováno v dokumentu RFC (Request for Comments) 2798. Třída objektu InetOrgPerson se používá pro některé adresářové služby, které nebyly vyvinuty společností Microsoft, protokol LDAP (Lightweight Directory Access Protocol) a adresářové služby X.500 a představuje uživatele v organizaci.
Podpora třídy objektu InetOrgPerson zefektivňuje migraci z ostatních adresářů LDAP do služby AD DS. Objekt InetOrgPerson je odvozen od třídy uživatel. Je možné jej použít jako zaregistrovaný objekt zabezpečení, stejně jako třídu uživatel. Informace o vytvoření uživatelského účtu inetOrgPerson naleznete v tématu Vytvoření nového uživatelského účtu.
Pokud je úroveň funkčnosti domény nastavena na možnost Windows Server 2008 nebo Windows Server 2008 R2, je možné nastavit atribut userPassword na hodnotu InetOrgPerson a uživatelské objekty jako účinná hesla stejně jako v případě atributu unicodePwd.