Active Directory-Benutzerkonten stellen physikalische Einheiten (beispielsweise Personen) dar. Sie können Benutzerkonten für einige Anwendungen auch als dedizierte Dienstkonten verwenden.
Benutzerkonten werden auch als Sicherheitsprinzipale bezeichnet. Bei Sicherheitsprinzipalen handelt es sich um Verzeichnisobjekte, denen automatisch Sicherheits-IDs (SIDs) zugewiesen werden, die für den Zugriff auf Domänenressourcen verwendet werden können. Mit einem Benutzerkonto werden vorwiegend folgende Aufgaben ausgeführt:
-
Authentifizierung der Identität von Benutzern
Mithilfe eines Benutzerkontos können sich Benutzer an Computern und Domänen mit einer Identität anmelden, die von der Domäne authentifiziert werden kann. Jeder Benutzer, der sich im Netzwerk anmeldet, muss über ein eigenes, eindeutiges Benutzerkonto und Kennwort verfügen. Für eine maximale Sicherheit sollte vermieden werden, dass mehrere Benutzer ein Konto gemeinsam verwenden.
-
Zulassen bzw. Verweigern des Zugriffs auf Domänenressourcen
Nachdem ein Benutzer authentifiziert wurde, wird ihm anhand der expliziten Berechtigungen, die diesem Benutzer für die Ressource zugewiesen werden, der Zugriff auf Domänenressourcen bewilligt oder verweigert.
Benutzerkonten
Im Container Benutzer im Active Directory-Benutzer und -Computer-Snap-In werden die folgenden drei vordefinierten Benutzerkonten angezeigt: Administrator, Gast und Hilfeassistent. Diese vordefinierten Benutzerkonten werden automatisch erstellt, wenn Sie die Domäne erstellen.
Jedes vordefinierte Konto weist eine andere Kombination aus Rechten und Berechtigungen auf. Das Administratorkonto verfügt über die umfangreichsten Rechte und Berechtigungen für die Domäne. Das Gastkonto besitzt eingeschränkte Rechte und Berechtigungen. In der folgenden Tabelle werden die einzelnen Standardbenutzerkonten für Domänencontroller beschrieben, auf denen das Betriebssystem Windows Server® 2008 R2 ausgeführt wird.
| Standardbenutzerkonto | Beschreibung | ||||
|---|---|---|---|---|---|
|
Administrator |
Das Administratorkonto verfügt über Vollzugriff auf die Domäne. Über dieses Konto können Domänenbenutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zugewiesen werden. Verwenden Sie dieses Konto nur für Aufgaben, für die Administratorberechtigungen erforderlich sind. Sie sollten dieses Konto mit einem sicheren Kennwort einrichten. Das Administratorkonto ist Standardmitglied der folgenden Active Directory-Gruppen: Administratoren, Domänen-Admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer und Schema-Admins. Das Administratorkonto kann keinesfalls aus der Gruppe Administratoren gelöscht oder entfernt werden; es kann jedoch umbenannt bzw. deaktiviert werden. Da bekannt ist, dass das Administratorkonto in zahlreichen Versionen von Windows vorhanden ist, werden Zugriffsversuche von bösartigen Benutzern durch Umbenennen bzw. Deaktivieren dieses Kontos erschwert. Das Administratorkonto ist das erste Konto, das beim Einrichten einer neuen Domäne mithilfe des Assistenten zum Installieren von Active Directory-Domänendiensten erstellt wird.
| ||||
|
Gast |
Personen, die kein Konto in der Domäne besitzen, können das Gastkonto verwenden. Benutzer, deren Konto deaktiviert (jedoch nicht gelöscht) ist, können ebenfalls das Gastkonto verwenden. Für das Gastkonto ist kein Kennwort erforderlich. Sie können für das Gastkonto Rechte und Berechtigungen wie für jedes andere Benutzerkonto festlegen. Standardmäßig ist das Gastkonto Mitglied der vordefinierten Gruppe Gäste sowie der globalen Gruppe Domänen-Gäste. Somit können sich die Benutzer an einer Domäne anmelden. Das Gastkonto ist standardmäßig deaktiviert, und es empfiehlt sich, das Konto deaktiviert zu lassen. | ||||
|
Hilfeassistent (wird mit einer Remoteunterstützungssitzung installiert) |
Das primäre Konto zum Einrichten einer Remoteunterstützungssitzung. Dieses Konto wird automatisch erstellt, wenn Sie eine Remoteunterstützungssitzung anfordern. Es verfügt über eingeschränkten Zugriff auf den Computer. Das Hilfeassistentkonto wird durch den Dienst des Sitzungs-Managers für Remotedesktophilfe verwaltet. Dieses Konto wird automatisch gelöscht, wenn keine Remoteunterstützungsanforderungen mehr ausstehen. |
Sichern von Benutzerkonten
Wenn die vordefinierten Benutzerrechte und -berechtigungen nicht durch einen Netzwerkadministrator geändert oder deaktiviert werden, können sie von einem bösartigen Benutzer (oder Dienst) verwendet werden, um sich mithilfe des Administratorkontos oder des Gastkontos unzulässig an einer Domäne anzumelden. Eine bewährte Sicherheitsmaßnahme zum Schutz dieser Konten besteht darin, sie umzubenennen oder zu deaktivieren. Da ein umbenanntes Benutzerkonto seine SID beibehält, behält es auch alle weiteren Eigenschaften bei (beispielsweise die Beschreibung, das Kennwort, Gruppenmitgliedschaften, das Benutzerprofil, Kontoinformationen sowie alle zugewiesenen Berechtigungen und Benutzerrechte).
Wenn Sie die Sicherheitsvorteile der Benutzerauthentifizierung und -autorisierung nutzen möchten, verwenden Sie Active Directory-Benutzer und -Computer, um ein einzelnes Benutzerkonto für jeden Benutzer zu erstellen, der Ihr Netzwerk verwendet. Sie können dann einer Gruppe die einzelnen Benutzerkonten hinzufügen (einschließlich des Administratorkontos und des Gastkontos), um die dem Konto zugewiesenen Rechte und Berechtigungen zu steuern. Wenn Sie über Konten und Gruppen verfügen, die für Ihr Netzwerk geeignet sind, stellen Sie sicher, dass Sie die Benutzer identifizieren können, die sich in Ihrem Netzwerk anmelden, und dass sie nur Zugriff auf die zugelassenen Ressourcen haben.
Sie können Ihre Domäne vor Angriffen schützen, indem Sie sichere Kennwörter erforderlich machen und Kontosperrungsrichtlinien implementieren. Mit sicheren Kennwörtern wird die Gefahr der intelligenten Kennwortermittlung und der Verzeichnisangriffe auf Kennwörter verringert. Mit Kontosperrungsrichtlinien wird die Gefahr verringert, dass die Domäne durch wiederholte Anmeldeversuche eines Angreifers gefährdet wird. Mit Kontosperrungsrichtlinien wird bestimmt, wie viele erfolglose Anmeldeversuche für ein Benutzerkonto ausgeführt werden können, bevor es deaktiviert wird.
Kontooptionen
Für jedes Active Directory-Benutzerkonto stehen Kontooptionen zur Verfügung, mit denen bestimmt wird, wie Personen, die sich mit diesem bestimmten Benutzerkonto anmelden, für das Netzwerk authentifiziert werden. Sie können die Optionen in der folgenden Tabelle verwenden, um Kennworteinstellungen und sicherheitsbezogene Informationen für Benutzerkonten zu konfigurieren.
| Kontooption | Beschreibung |
|---|---|
|
Benutzer muss Kennwort bei der nächsten Anmeldung ändern |
Zwingt die Benutzer, ihr Kennwort zu ändern, wenn sie sich das nächste Mal im Netzwerk anmelden. Aktivieren Sie diese Option, wenn Sie sicherstellen möchten, dass der Benutzer die einzige Person ist, die das Kennwort kennt. |
|
Benutzer kann Kennwort nicht ändern |
Verhindert, dass ein Benutzer das eigene Kennwort ändern kann. Aktivieren Sie diese Option, wenn Sie die Kontrolle über ein Benutzerkonto (beispielsweise ein Gastkonto oder ein temporäres Konto) behalten möchten. |
|
Kennwort läuft nie ab |
Verhindert, dass die Benutzerkennwörter ablaufen. Es empfiehlt sich, diese Option für Dienstkonten zu aktivieren und für diese Konten sichere Kennwörter zu verwenden. |
|
Kennwörter mit umkehrbarer Verschlüsselung speichern |
Ermöglicht es einem Benutzer, sich über einen Apple-Computer in einem Windows-Netzwerk anzumelden. Aktivieren Sie diese Option nicht, wenn sich der Benutzer nicht über einen Apple-Computer anmeldet. |
|
Konto ist deaktiviert |
Verhindert, dass sich ein Benutzer mit dem ausgewählten Konto anmeldet. Viele Administratoren verwenden deaktivierte Konten als Vorlagen für gewöhnliche Benutzerkonten. |
|
Benutzer muss sich mit einer Smartcard anmelden |
Macht es erforderlich, dass ein Benutzer eine Smartcard besitzt, um sich interaktiv im Netzwerk anmelden zu können. Der Computer des Benutzers muss zudem über einen Smartcardleser verfügen, und der Benutzer muss eine gültige Geheimzahl (Personal Identification Number, PIN) für die Smartcard besitzen. Wenn diese Option aktiviert ist, wird das Kennwort für das Benutzerkonto automatisch auf einen zufälligen und komplexen Wert festgelegt, und die Kontooption Kennwort läuft nie ab wird festgelegt. |
|
Konto wird für Delegierungszwecke vertraut |
Ermöglicht es, dass ein Dienst, der unter diesem Konto ausgeführt wird, Vorgänge für andere Benutzerkonten im Netzwerk ausführen kann. Ein Dienst, der unter einem Benutzerkonto ausgeführt wird (auch als Dienstkonto bezeichnet), das für Delegierungszwecke als vertrauenswürdig eingestuft wird, kann die Identität eines Clients annehmen, um Zugriff auf die Ressourcen des Computers zu erhalten, auf dem der Dienst ausgeführt wird, bzw. auf die Ressourcen anderer Computer. In einer Gesamtstruktur, die auf die Windows Server 2008 R2-Funktionsebene festgelegt ist, ist diese Option auf der Registerkarte Delegierung zu finden. Sie steht ausschließlich für Konten zur Verfügung, denen Dienstprinzipalnamen (Service Principal Names, SPNs) zugewiesen wurden. Diese Dienstprinzipalnamen werden mit dem setspn-Befehl in Windows Server 2008 R2 festgelegt. (Öffnen Sie ein Befehlszeilenfenster, und geben Sie dann setspn ein.) Hierbei handelt es sich um eine sicherheitsrelevante Funktion; weisen Sie sie daher mit Vorsicht zu. Diese Option steht ausschließlich für Domänencontroller zur Verfügung, auf denen Windows Server 2008 R2 ausgeführt wird, wobei die Domänenfunktionalität auf Windows 2000 gemischt oder Windows 2000 pur festgelegt ist. Für Domänencontroller, auf denen Windows Server 2008 und Windows Server 2008 R2 ausgeführt werden, wobei die Domänenfunktionsebene auf die Funktionsebene der Windows Server 2008- oder Windows Server 2008 R2-Gesamtstruktur festgelegt ist, verwenden Sie die Registerkarte Delegierung im Dialogfeld Benutzereigenschaften, um die Delegierungseinstellungen zu konfigurieren. Die Registerkarte Delegierung wird nur für Konten angezeigt, die über einen zugewiesenen SPN verfügen. |
|
Konto ist vertraulich und kann nicht delegiert werden |
Sie können diese Option verwenden, wenn das Konto (beispielsweise ein Gastkonto oder ein temporäres Konto) nicht für die Delegierung durch ein anderes Konto zugewiesen werden kann. |
|
DES-Verschlüsselungstypen für dieses Konto verwenden |
Stellt Unterstützung für den Datenverschlüsselungsstandard (Data Encryption Standard, DES) bereit. DES unterstützt mehrere Ebenen der Verschlüsselung, einschließlich Microsoft Punkt-zu-Punkt-Verschlüsselung (Microsoft Point-to-Point Encryption, MPPE) Standard (40-Bit), MPPE Standard (56-Bit), MPPE stark (128-Bit), Internet Protocol Security (IPSec) DES (40-Bit), IPsec-56-Bit-DES und IPsec Triple DES (3DES). |
|
Keine Kerberos-Präauthentifizierung erforderlich |
Stellt Unterstützung für alternative Implementierungen des Kerberos-Protokolls bereit. Aktivieren Sie diese Option jedoch mit Vorsicht, da mit der Kerberos-Präauthentifizierung zusätzliche Sicherheit bereitgestellt wird und eine Zeitsynchronisierung zwischen dem Client und dem Server erforderlich ist. |
InetOrgPerson-Konten
Die Active Directory-Domänendienste (AD DS) stellen Unterstützung für die InetOrgPerson-Objektklasse und die entsprechenden Attribute bereit, die in RFC 2798 (Request for Comments) definiert sind. Die InetOrgPerson-Objektklasse wird in verschiedenen Nicht-Microsoft-, LDAP- (Lightweight Directory Access-Protokoll) und X.500-Verzeichnisdiensten zum Darstellen von Personen in einer Organisation verwendet.
Durch die Unterstützung von InetOrgPerson wird die Migration aus anderen LDAP-Verzeichnissen zu AD DS effizienter. Das InetOrgPerson-Objekt wird aus der user-Klasse abgeleitet. Es kann genau wie die user-Klasse als Sicherheitsprinzipal fungieren. Informationen zum Erstellen eines inetOrgPerson-Benutzerkontos finden Sie unter Erstellen eines neuen Benutzerkontos.
Wenn die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 festgelegt ist, können Sie das userPassword-Attribut für InetOrgPerson und Benutzerobjekte als effektives Kennwort festlegen. Genauso können Sie das unicodePwd-Attribut festlegen.