Active Directory-gebruikersaccounts representeren fysieke entiteiten, zoals mensen. U kunt gebruikersaccounts ook als specifieke serviceaccounts voor sommige toepassingen gebruiken.
Gebruikersaccounts worden ook wel beveiligings-principals genoemd. Beveiligings-principals zijn directory-objecten die automatisch SID's (security identifiers) krijgen toegewezen, die gebruikt kunnen worden voor toegang tot domeinbronnen. Een gebruikersaccount wordt als volgt gebruikt:
-
Verificatie van de identiteit van een gebruiker
Met behulp van een gebruikersaccount kan een gebruiker zich bij computers en domeinen aanmelden met een identiteit die het domein kan verifiëren. Iedere gebruiker die zich bij het netwerk aanmeldt, moet zijn of haar eigen, uniek gebruikersaccount en wachtwoord hebben. Voor optimale beveiliging kunt u het beste voorkomen dat meerdere gebruikers een account delen.
-
Toegang tot domeinbronnen verlenen of weigeren
Nadat een gebruiker is geverifieerd, wordt hem of haar toegang tot domeinbronnen verleend of geweigerd op basis van de expliciete machtigingen die aan die gebruiker voor de bron zijn toegewezen.
Gebruikersaccounts
De gebruikerscontainer in de module Active Directory: gebruikers en computers geeft de drie ingebouwde gebruikersaccounts weer: Administrator, Gast en HelpAssistant. Deze ingebouwde gebruikersaccounts worden automatisch gemaakt wanneer u het domein maakt.
Elk ingebouwd account heeft een andere combinatie van rechten en machtigingen. Het Administrator-account heeft de meest uitgebreide rechten en machtigingen voor het domein, terwijl het Gast-account beperkte rechten en machtigingen heeft. In de volgende tabel wordt elk standaardgebruikersaccount op domeincontrollers met het Windows Server® 2008 R2-besturingssysteem beschreven.
| Standaardgebruikersaccount | Omschrijving | ||||
|---|---|---|---|---|---|
|
Administrator |
Het Administrator-account heeft volledig beheer over het domein. Het account kan gebruikersrechten en toegangsmachtigingen waar vereist aan domeingebruikers toewijzen. Dit account is alleen bestemd voor taken waarvoor administratorreferenties vereist zijn. Het is aan te bevelen om dit account met een sterk wachtwoord in te stellen. Het Administrator-account is een standaardlid van de volgende Active Directory-groepen: Administrators, Domeinadministrators, Ondernemingsadministrators, Maker Eigenaar Groepsbeleid en Schema-administrators. Het administratoraccount kan nooit uit de groep Administrators worden verwijderd, maar u kunt de naam van het account wel wijzigen of het account uitschakelen. Aangezien het Administrator-account in vele Windows-versies voorkomt, krijgen kwaadwillende gebruikers moeilijker toegang tot het account als u dit account een nieuwe naam geeft of het account uitschakelt. Het Administrator-account wordt als eerste account gemaakt wanneer u een nieuw domein instelt met behulp van de installatiewizard Active Directory Domain Services.
| ||||
|
Gast |
Gebruikers die geen echt account in het domein hebben, kunnen het Gast-account gebruiken. Gebruikers van wie het account is uitgeschakeld (maar niet verwijderd), kunnen ook gebruikmaken van het Gast-account. Voor dit account is geen wachtwoord vereist. U kunt de rechten en machtigingen voor het gastaccount op dezelfde manier instellen als voor gewone gebruikersaccounts. Standaard is het gastaccount lid van de ingebouwde groep Gasten en de globale groep Domeingasten, waardoor een gebruiker zich bij een domein kan aanmelden. Het gastaccount is standaard uitgeschakeld, en het is raadzaam dit account niet in te schakelen. | ||||
|
HelpAssistant (geïnstalleerd bij een Hulp op Afstand-sessie) |
Het belangrijkste account voor het starten van een Hulp op afstand-sessie. Dit account wordt automatisch gemaakt wanneer u een Hulp op afstand-sessie aanvraagt, en biedt beperkte toegang tot de computer. Het HelpAssistant-account wordt beheerd door de service Helpsessie voor Extern bureaublad. Dit account wordt automatisch verwijderd als er geen aanvragen voor Hulp op afstand in behandeling zijn. |
Gebruikersaccounts beveiligen
Als ingebouwde accountrechten en -machtigingen niet door een netwerkadministrator worden gewijzigd of uitgeschakeld, kunnen ze door een kwaadwillende gebruiker (of service) worden gebruikt voor onrechtmatige aanmelding bij een domein via het Administrator- of Gast-account. Een goede manier om deze accounts te beveiligen is ze een nieuwe naam te geven of ze uit te schakelen. Aangezien de beveiligings-id (SID) van het account met de gewijzigde naam ongewijzigd blijft, behoudt het gebruikersaccount alle andere eigenschappen, zoals beschrijving, wachtwoord, groepslidmaatschappen, gebruikersprofiel, accountgegevens en eventuele toegewezen machtigingen en gebruikersrechten.
Teneinde de beveiligingsvoordelen van gebruikersverificatie en -autorisatie te benutten, maakt u via Active Directory - gebruikers en computers een individueel gebruikersaccount voor iedere gebruiker die zich bij uw netwerk zal aanmelden. U kunt elk gebruikersaccount, inclusief het Administrator- en Gast-account, vervolgens aan een groep toevoegen om de rechten en machtigingen te bepalen die aan het account worden toegewezen. Wanneer u de juiste accounts en groepen voor uw netwerk hebt gemaakt, zorgt u ervoor dat u gebruikers die zich bij uw netwerk aanmelden, kunt identificeren, en dat ze alleen toegang tot de toegestane bronnen hebben.
U kunt uw domein tegen aanvallen beschermen door sterke wachtwoorden te vereisen en een accountvergrendelingsbeleid te implementeren. Sterke wachtwoorden verminderen het risico op het intelligent raden naar wachtwoorden en woordenlijstaanvallen op wachtwoorden. Een accountvergrendelingsbeleid verkleint de mogelijkheid dat een indringer uw domein in gevaar brengt door herhaalde aanmeldingspogingen. Een dergelijk beleid bepaalt hoeveel mislukte aanmeldingspogingen bij een gebruikersaccount zijn toegestaan voordat het account wordt uitgeschakeld.
Accountopties
Elk Active Directory-gebruikersaccount heeft een aantal accountopties die bepalen hoe een gebruiker die zich met dit gebruikersaccount aanmeldt, op het netwerk wordt geverifieerd. U kunt de opties in de volgende tabel gebruiken om wachtwoordinstellingen en beveiligingsspecifieke gegevens voor gebruikersaccounts te configureren.
| Accountoptie | Beschrijving |
|---|---|
|
Gebruiker moet wachtwoord bij volgende aanmelding wijzigen |
Hiermee wordt een gebruiker gedwongen zijn of haar wachtwoord bij de volgende aanmelding op het netwerk te wijzigen. Schakel deze optie in als u ervoor wilt zorgen dat de gebruiker de enige persoon is die het wachtwoord kent. |
|
Gebruiker kan wachtwoord niet wijzigen |
Deze optie voorkomt dat een gebruiker zijn of haar wachtwoord wijzigt. Schakel deze optie in als u beheer over een gebruikersaccount wilt behouden, zoals een gastaccount of tijdelijk account. |
|
Wachtwoord verloopt nooit |
Deze optie voorkomt dat een gebruikerswachtwoord verloopt. Het is raadzaam dat deze optie is ingeschakeld voor serviceaccounts. Gebruik ook sterke wachtwoorden. |
|
Wachtwoorden opslaan met omkeerbare versleuteling |
Met deze optie kan een gebruiker zich vanaf een Apple-computer bij een Windows-netwerk aanmelden. Schakel deze optie niet in als een gebruiker zich niet vanaf een Apple-computer aanmeldt. |
|
Account is uitgeschakeld |
Deze optie voorkomt dat een gebruiker zich met het geselecteerde account aanmeldt. Administrators gebruiken uitgeschakelde accounts vaak als sjablonen voor gedeelde gebruikersaccounts. |
|
Voor interactief aanmelden is een smartcard vereist |
Deze optie vereist dat een gebruiker een smartcard bezit om zich interactief bij het netwerk te kunnen aanmelden. Er moet ook een smartcardlezer op de computer van de gebruiker zijn aangesloten, en er is een geldige pincode voor de smartcard vereist. Wanneer deze optie is ingeschakeld, wordt het wachtwoord voor het gebruikersaccount automatisch op een willekeurige en complexe waarde ingesteld, en wordt de accountoptie Wachtwoord verloopt nooit ingesteld. |
|
Account wordt vertrouwd voor delegeren |
Hiermee kan een service die onder dit account wordt uitgevoerd, bewerkingen uit naam van andere gebruikersaccounts in het netwerk uitvoeren. Een service die onder een gebruikersaccount wordt uitgevoerd (ook wel een serviceaccount genoemd) en voor delegeren wordt vertrouwd, kan een clientidentiteit aannemen om toegang te krijgen tot bronnen op de computer waar de service wordt uitgevoerd, of tot bronnen op andere computers. In een forest dat is ingesteld op het Windows Server 2008 R2-functionaliteitsniveau, wordt deze optie op het tabblad Delegeren weergegeven. De optie is alleen beschikbaar voor accounts waaraan SPN's (Service Principal Names) zijn toegewezen, zoals ingesteld met de opdracht setspn in Windows Server 2008 R2. (Open een opdrachtvenster en typ setspn.) Dit is een beveiligingsgevoelige optie, die voorzichtig gebruikt moet worden. Deze optie is alleen beschikbaar op domeincontrollers met Windows Server 2008 R2 waar de domeinfunctionaliteit is ingesteld op Windows® 2000 (gemengde modus) of Windows 2000 (native modus). Op domeincontrollers met Windows Server 2008 en Windows Server 2008 R2 waar het domeinfunctionaliteitsniveau is ingesteld op het forestfunctionaliteitsniveau Windows Server 2008 of Windows Server 2008 R2, gebruikt u het tabblad Delegeren in het dialoogvenster met gebruikerseigenschappen om delegeringsinstellingen te configureren. Het tabblad Delegeren wordt alleen weergegeven voor accounts waaraan een SPN is toegewezen. |
|
Het account is vertrouwelijk en kan niet worden gedelegeerd |
U kunt deze optie gebruiken als het account, bijvoorbeeld een gastaccount of tijdelijk account, niet kan worden toegewezen voor delegeren door een ander account. |
|
DES-versleutelingstypen voor dit account gebruiken |
Deze optie biedt ondersteuning voor DES (Data Encryption Standard), waarmee verschillende versleutelingsniveaus worden ondersteund, zoals Microsoft Point-to-Point Encoding (MPPE) Standard (40-bits), MPPE Standard (56-bits), MPPE Strong (128-bits), Internet Protocol security (IPsec) DES (40-bits), IPsec 56-bits DES en IPsec Triple DES (3DES) |
|
Vooraf-verificatie voor Kerberos niet vereist |
Deze optie biedt ondersteuning voor alternatieve implementaties van het Kerberos-protocol. Wees echter voorzichtig wanneer u deze optie inschakelt, omdat vooraf-verificatie van Kerberos extra beveiliging biedt en tijdsynchronisatie tussen de client en server vereist. |
InetOrgPerson-accounts
AD DS (Active Directory Domain Services) biedt ondersteuning voor de InetOrgPerson-objectklasse en de bijbehorende kenmerken die in Request for Comments (RFC) 2798 zijn gedefinieerd. De InetOrgPerson-objectklasse wordt in verschillende niet-Microsoft-, LDAP- (Lightweight Directory Access Protocol) en X.500-directoryservices gebruikt om medewerkers in een organisatie te representeren.
Ondersteuning voor InetOrgPerson zorgt voor een efficiëntere migratie van andere LDAP-directory's naar AD DS. Het InetOrgPerson-object wordt opgehaald uit de user-klasse, en kan net als de user-klasse als een beveiligings-principal fungeren. Zie Nieuwe gebruikersaccounts maken voor meer informatie als u een inetOrgPerson-gebruikersaccount wilt maken.
Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2008 of Windows Server 2008 R2, kunt u het kenmerk userPassword op InetOrgPerson instellen en gebruikersobjecten instellen als het effectieve wachtwoord, net als met het kenmerk unicodePwd.