Informazioni sugli account utente

Il contenitore Utenti nel Centro di amministrazione di Active Directory contiene tre account predefiniti, ovvero: Administrator, Guest e HelpAssistant. Questi account utente predefiniti vengono creati automaticamente quando si crea il dominio.

A ogni account utente predefinito è assegnata una diversa combinazione di diritti e autorizzazioni. L'account Administrator dispone dei diritti e delle autorizzazioni più estesi per il dominio. L'account Guest dispone di diritti e autorizzazioni limitati. Nella tabella seguente vengono descritti gli account utente predefiniti disponibili nei controller di dominio che eseguono Windows Server 2008 R2.

Account utente predefinito	Descrizione
Administrator	L'account Administrator dispone del controllo completo del dominio e può assegnare diritti utente e autorizzazioni di controllo di accesso agli utenti del dominio, se necessario. Utilizzare questo account solo per le attività che richiedono credenziali amministrative. È consigliabile configurare questo account con una password complessa. L'account Administrator è un membro predefinito dei gruppi di Active Directory seguenti: Administrators, Domain Admins, Enterprise Admins, Proprietari autori criteri di gruppo e Schema Admins. L'account Administrator non può essere mai eliminato o rimosso dal gruppo Administrators, ma può essere rinominato o disattivato. Poiché è noto che l'account Administrator esiste in molte versioni di Windows, la ridenominazione o la disattivazione di questo account renderà più difficili i tentativi di accesso degli utenti non autorizzati. L'account Administrator è il primo account che viene creato quando si configura un nuovo dominio tramite l'Installazione guidata Servizi di dominio Active Directory. Importante Anche se viene disattivato, è comunque possibile utilizzare l'account Administrator per accedere a un controller di dominio in modalità provvisoria.
Guest	Gli utenti che non dispongono di un account specifico nel dominio possono utilizzare l'account Guest. L'account Guest può essere utilizzato anche dagli utenti per i quali l'account utente è stato disattivato ma non eliminato. L'account Guest non richiede una password. È possibile impostare diritti e autorizzazioni per l'account Guest come per qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un membro del gruppo predefinito Guests e del gruppo globale Domain Guests, che consente a un utente di accedere a un dominio. L'account Guest è disattivato per impostazione predefinita e si consiglia di non attivarlo.
HelpAssistant (installato con una sessione di Assistenza remota)	L'account HelpAssistant è l'account principale per l'attivazione di una sessione di Assistenza remota. Questo account viene creato automaticamente quando si richiede una sessione di Assistenza remota e dispone di accesso limitato al computer. L'account HelpAssistant viene gestito dal servizio Gestione sessione di assistenza mediante desktop remoto e viene eliminato automaticamente se non sono presenti richieste di Assistenza remota in sospeso.

Se i diritti e le autorizzazioni per gli account predefiniti non vengono modificati o disattivati da un amministratore di rete, un utente o un servizio non autorizzato potrebbe utilizzarli per accedere in modo illecito a un dominio tramite l'account Administrator o Guest. Per proteggere questi account, è buona norma rinominarli o disattivarli. Un account utente rinominato mantiene il relativo SID e conserva quindi tutte le altre proprietà, quali la descrizione, la password, le appartenenze ai gruppi, il profilo utente, le informazioni sull'account e tutte le autorizzazioni e i diritti utente assegnati.

Per ottenere i vantaggi a livello di sicurezza offerti dall'autenticazione e dalle autorizzazioni per gli utenti, utilizzare il Centro di amministrazione di Active Directory per creare un singolo account utente per ogni utente che partecipa alla rete. Sarà quindi possibile aggiungere ogni account utente, inclusi gli account Administrator e Guest, a un gruppo per controllare i diritti e le autorizzazioni assegnate all'account. La configurazione degli account e dei gruppi appropriati per la rete consente di identificare gli utenti che accedono alla rete garantendo che possano accedere solo alle risorse consentite.

È possibile proteggere il dominio da attacchi richiedendo password complesse e implementando un criterio di blocco degli account. Le password complesse riducono i rischi di attacchi con dizionario o altri sistemi intelligenti per l'individuazione delle password. Un criterio di blocco degli account consente di ridurre le probabilità che gli autori degli attacchi riescano a violare il dominio attraverso ripetuti tentativi di accesso. Con un criterio di blocco degli account è infatti possibile stabilire il numero di tentativi di accesso non riusciti consentiti per un account utente prima che venga disattivato.

Servizi di dominio Active Directory supporta la classe di oggetti InetOrgPerson e i relativi attributi associati, in base a quanto specificato nel documento RFC (Request for Comments) 2798. La classe di oggetti InetOrgPerson viene utilizzata in vari servizi di directory non Microsoft LDAP (Lightweight Directory Access Protocol) e X.500 per rappresentare le persone in un'organizzazione.

Il supporto della classe InetOrgPerson consente di rendere più efficiente la migrazione da altre directory LDAP a Servizi di dominio Active Directory. L'oggetto InetOrgPerson deriva dalla classe user e può essere utilizzato come entità di sicurezza esattamente come un oggetto della classe user. Per informazioni sulla creazione di un account utente InetOrgPerson, vedere Creare un nuovo account utente.

Se il livello di funzionalità del dominio è impostato su Windows Server 2008 o Windows Server 2008 R2, è possibile impostare l'attributo userPassword per InetOrgPerson e gli oggetti utente come password effettiva, come nel caso dell'attributo unicodePwd.

• Gestire utenti