Az Active Directory felhasználói fiókok fizikai identitásokat, például személyeket jelölnek. A felhasználói fiókokat néhány alkalmazás esetében dedikált szolgáltatásfiókként is használhatja.

A felhasználói fiókokat rendszerbiztonsági tagoknak is hívják. A rendszerbiztonsági tagok olyan címtárobjektumok, amelyekhez automatikusan vannak rendelve tartományi erőforrások elérésére használható biztonsági azonosítók (SID-ek). A felhasználói fiókok elsődleges feladatai:

  • A felhasználók identitásának hitelesítése.

    A felhasználói fiókokkal a felhasználók olyan identitással jelentkezhetnek be számítógépekre és tartományokra, amelyeket a tartomány képes hitelesíteni. A hálózatra bejelentkező minden felhasználónak saját egyedi felhasználói fiókkal és jelszóval kell rendelkeznie. A legnagyobb biztonság érdekében több felhasználó ne használja ugyanazt a fiókot.

  • A tartományi erőforrások elérését engedélyezi vagy tiltja le.

    Egy felhasználó hitelesítése után a rendszer engedélyezi vagy letiltja a tartományi előforrások elérését a felhasználó számára az erőforráshoz rendelt explicit engedélyek alapján.

Felhasználói fiókok

Az Active Directory - felhasználók és számítógépek beépülő modul Felhasználók tárolója megjeleníti a három beépített felhasználói fiókot: Rendszergazda, Vendég és Segítségnyújtó. Ezek a beépített felhasználói fiókok automatikusan jönnek létre a tartomány létrehozásakor.

Mindegyik beépített fiók jogok és engedélyek különböző kombinációját tartalmazza. A Rendszergazda fiók jogai és engedélyei a legkiterjedtebbek a tartományon belül, míg a Vendég fiók korlátozott jogokkal és engedélyekkel bír. A következő táblázat ismerteti a Windows Server® 2008 R2 operációs rendszert futtató tartományvezérlőkön lévő alapértelmezett felhasználói fiókokat.

Alapértelmezett felhasználói fiók Leírás

Rendszergazda

A Rendszergazda fiók teljes hozzáférést biztosít a tartományon. Szükség szerint felhasználói engedélyeket és hozzáférés-szabályozási engedélyeket rendelhet a tartomány felhasználóihoz. Ezt a fiókot csak rendszergazdai hitelesítő adatokat igénylő feladatokhoz használja. Ajánlott ezt a fiókot erős jelszóval ellátni.

A Rendszergazda fiók a következő Active Directory-csoportok alapértelmezett tagja: Rendszergazdák, Tartományi rendszergazdák, Vállalati rendszergazdák, Csoportházirend-létrehozó tulajdonosok és Sémagazdák. A Rendszergazda fiók soha nem törölhető és nem távolítható el a Rendszergazdák csoportból, de átnevezhető és letiltható. Mivel a Rendszergazda fiók a Windows több verziójában megtalálható, a fiók átnevezésével vagy letiltásával a rosszindulatú felhasználók nehezebben férhetnek hozzá ahhoz.

A Rendszergazda fiók az első létrejövő fiók, amikor az Active Directory tartományi szolgáltatások telepítési varázslójával új tartományt hoz létre.

Fontos!

Ha a Rendszergazda fiók le van tiltva, továbbra is használható tartományvezérlő csökkentett módban történő eléréséhez.

Vendég

A tartományon valódi fiókkal nem rendelkező személyek használhatják a Vendég fiókot. A letiltott (de nem törölt) fiókkal rendelkező felhasználók is használhatják a Vendég fiókot. A Vendég fiókhoz nem kell jelszó.

A Vendég fiók részére ugyanolyan jogok és engedélyek állíthatók be, mint bármely másik fiók esetében. Alapértelmezés szerint a Vendég fiók a beépített Vendég csoport és Tartományi vendégek globális csoport tagja, amellyel a felhasználók egy tartományra jelentkezhetnek be. Alapértelmezés szerint a Vendég fiók le van tiltva, és ezt nem is ajánlott megváltoztatni.

Segítségnyújtó (Távsegítség-munkamenettel telepítve)

A Távsegítség-munkamenet létrehozásának elsődleges fiókja. Ez a fiók automatikusan jön létre Távsegítség-munkamenet kérésekor. Korlátozott hozzáférést biztosít a számítógéphez. A Segítségnyújtó fiókot a Távoli asztal súgó-munkamenetének kezelője szolgáltatás kezeli. A rendszer automatikusan törli ezt a fiókot, ha nem várakozik távsegítségre vonatkozó kérés.

Felhasználói fiókok biztosítása

Ha a beépített fiók jogait és engedélyeit egy hálózati rendszergazda nem módosítja vagy tiltja le, rosszindulatú felhasználók (vagy szolgáltatások) illegálisan bejelentkezhetnek egy tartományra a Rendszergazda vagy a Vendég fiókkal. Ezen fiókok biztonsága érdekében átnevezheti vagy letilthatja őket. Mivel a biztonsági azonosító megmarad, az átnevezett felhasználói fiókok megőrzik összes más tulajdonságukat, például a leírásukat, a jelszavukat, a csoporttagságukat, a felhasználói profilokat, a fiókinformációkat és bármely hozzárendelt engedélyt és felhasználói jogosultságot.

A felhasználói hitelesítés és felhatalmazás előnyeinek kihasználásához az Active Directory – felhasználók és számítógépek modullal hozzon létre egy-egy felhasználói fiókot a hálózat összes felhasználója számára. Ezután mindegyik felhasználói fiókot (beleértve a Rendszergazda és a Vendég fiókot is) rendelje egy csoporthoz a fiókhoz rendelt engedélyek vezérléséhez. Ha a hálózat szempontjából megfelelő fiókokkal és csoportokkal rendelkezik, biztosítja, hogy azonosítani tudja a hálózatra bejelentkező felhasználókat, és hogy azok csak az engedélyezett erőforrásokat érhetik el.

Erős jelszavak megkövetelésével és fiókzárolási házirend felállításával segíthet megvédeni a tartományt a támadóktól. Az erős jelszavak csökkentik a jelszavak intelligens kikövetkeztetésének és a szótáras támadásoknak a veszélyét. A fiókzárolási házirend csökkenti annak esélyét, hogy egy támadó egymást követő bejelentkezési kísérletekkel törjön be a tartományra. A fiókzárolási házirend meghatározza, hány sikertelen bejelentkezési kísérlet után tiltja le a rendszer a felhasználói fiókot.

Fiókbeállítások

Mindegyik Active Directory-felhasználóifiók rendelkezik néhány fiókbeállítással, amelyek az adott felhasználói fiókkal bejelentkező felhasználó hitelesítésének módját határozzák meg a hálózaton. A következő táblázatban szereplő beállításokkal konfigurálhatja a felhasználói fiókok jelszóbeállításait és biztonsággal kapcsolatos adatait.

Fiókbeállítás Leírás

A következő bejelentkezéskor meg kell változtatni a jelszót

A felhasználót a jelszó módosítására kényszeríti a hálózatra történő következő bejelentkezéskor. Engedélyezze ezt a beállítást, ha biztosítani kívánja, hogy csak a felhasználó ismerje a jelszót.

A jelszót nem lehet megváltoztatni

Megakadályozza, hogy a felhasználók módosítsák a jelszavukat. Engedélyezze ezt a beállítást, ha meg kívánja őrizni a felhasználói fiókok (például a Vendég fiók vagy az ideiglenes fiókok) feletti vezérlést.

A jelszó soha nem jár le

Meggátolja, hogy a felhasználói jelszavak lejárjanak. Ajánlott, hogy a szolgáltatásfiókoknál ez a beállítás engedélyezve legyen, és azok erős jelszavakat használjanak.

A jelszavak tárolása visszafejthető titkosítással

Engedélyezésével a felhasználók Apple-számítógépekről jelentkezhetnek be egy Windows-hálózatra. Ha a felhasználó nem Apple-számítógépről jelentkezik be, ne engedélyezze ezt a beállítást.

A fiók le van tiltva

Megakadályozza, hogy egy felhasználó a kijelölt fiókkal jelentkezzen be. Sok rendszergazda használ letiltott fiókot az általános felhasználói fiókok sablonjaként.

Az interaktív bejelentkezéshez intelligens kártya szükséges

Engedélyezésével csak intelligens kártyával rendelkező felhasználók jelentkezhetnek be a hálózatra interaktívan. A felhasználó számítógépéhez egy intelligenskártya-olvasót kell csatlakoztatni, és a felhasználónak rendelkeznie kell az intelligens kártyához egy érvényes személyes azonosítószámmal (PIN-kód). Ha engedélyezi ezt a beállítást, a felhasználói fiók jelszavát a rendszer automatikusan beállítja egy véletlenszerű és összetett értékre, és engedélyezi A jelszó soha nem jár le fiókbeállítást.

A fiók megbízható delegálásra

Lehetővé teszi, hogy egy, a jelen fiók alatt futó szolgáltatás a hálózaton lévő más felhasználói fiókokat megszemélyesítve végezzen műveleteket. A delegálásra megbízott felhasználói fiók (más néven szolgáltatásfiók) alatt futó szolgáltatás megszemélyesíthet ügyfeleket a szolgáltatást futtató számítógépen vagy más számítógépeken lévő erőforrások elérése során. A Windows Server 2008 R2 működési szintre állított erdőben ez a beállítás a Delegálás lapon szerepel. Csak egyszerű szolgáltatásnévvel (SPN) rendelkező (a Windows Server 2008 R2 rendszerben a setspn paranccsal beállított) fiókokon érhető el. (Nyisson meg egy parancsablakot, majd írja be a setspn kifejezést.) Ez biztonsági szempontból kényes lehetőség, ezért körültekintően használja.

Ez a beállítás csak a Windows Server 2008 R2 rendszert futtató tartományvezérlőkön érhető el, ahol a tartomány működési szintje Windows® 2000 - vegyes vagy Windows 2000 - natív. A Windows Server 2008 és a Windows Server 2008 R2 rendszert futtató tartományvezérlőkön, ahol a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2 erdő működési szint, a felhasználói tulajdonságokat tartalmazó párbeszédpanel Delegálás lapján konfigurálhatja a delegálás beállításait. A Delegálás lap csak SPN-névvel rendelkező fiókoknál jelenik meg.

A fiók bizalmas és nem delegálható

Akkor használja ezt a beállítást, ha a fiók (például a Vendég vagy egy ideiglenes fiók) nem delegálható egy másik fiókhoz.

DES titkosítástípusok használata a fiókhoz

Támogatás a Data Encryption Standard (DES) titkosítástípushoz. A DES a titkosítás több szintjét támogatja, beleértve a Microsoft Point-to-Point (MPPE) szabványos 40 bites, az MPPE szabványos 56 bites, az MPPE erős 128 bites, az IP-biztonság (IPsec) DES 40 bites, az IPsec 56 bites DES és az IPsec 3DES titkosítást is.

Nincs szükség Kerberos-előhitelesítésre

A Kerberos protokoll alternatív implementációinak támogatása. Körültekintően engedélyezze ezt a beállítást, mert a Kerberos-előhitelesítés további biztonságot nyújt, és időszinkronizálást igényel az ügyfél és a kiszolgáló között.

InetOrgPerson fiókok

Az Active Directory tartományi szolgáltatások (AD DS) támogatják az InetOrgPerson objektumosztályt és annak társított attribútumait (ezek leírása a 2798 számú RFC-dokumentumban található). Az InetOrgPerson objektumosztály számos, nem a Microsoft által készített, az LDAP protokollon és az X.500 technológiákon alapuló címtárszolgáltatásban használatos a vállalatokban található személyek ábrázolására.

Az InetOrgPerson támogatásával hatékonyabbá válik az áttelepítés más LDAP-könyvtárakból egy AD DS-tárba. Az InetOrgPerson objektum a felhasználói osztályból ered. Ugyanúgy szerepelhet rendszerbiztonsági tagként, mint a felhasználói osztály. Az inetOrgPerson felhasználói fiókok létrehozásáról információt az Új felhasználói fiók létrehozása című témakörben talál.

Ha a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2, akkor az InetOrgPerson és a felhasználói objektumok esetében beállíthatja érvényes jelszóként a userPassword attribútumot és a unicodePwd attribútumot is.

További hivatkozások


Tartalom