|
Element
|
Szczegóły
|
|
Logowanie przy użyciu nazwy UPN użytkownika
|
Pole tekstowe po lewej stronie umożliwia wpisanie nazwy konta dla danego użytkownika. Jest to nazwa, którą użytkownik będzie się posługiwać podczas logowania do domeny usługi Active Directory.
Na liście rozwijanej po prawej stronie znajdują się dostępne sufiksy głównych nazw użytkowników (UPN), których można użyć do utworzenia nazwy logowania użytkownika. Ta lista zawiera pełną nazwę DNS (Domain Name System) bieżącej domeny, pełną nazwę DNS domeny głównej bieżącego lasu oraz wszystkie alternatywne sufiksy nazw UPN utworzone za pomocą przystawki Domeny i relacje zaufania usługi Active Directory.
|
|
Logowanie przy użyciu nazwy konta SAM użytkownika
|
W polu tekstowym po lewej stronie, przeznaczonym tylko do odczytu, jest wyświetlana nazwa domeny używana przez komputery z systemami operacyjnymi starszymi niż Windows 2000.
Pole tekstowe po prawej stronie umożliwia wpisanie nazwy logowania użytkownika dla systemów starszych niż Windows 2000.
|
Pole wyboru Chroń przed przypadkowym usunięciem | Ta opcja pozwala zaktualizować deskryptor zabezpieczeń obiektu oraz w razie potrzeby jego obiekt nadrzędny, aby uniemożliwić usunięcie tego obiektu wszystkim administratorom lub użytkownikom tej domeny oraz kontrolera domeny.  | Uwaga | | To ustawienie nie zapewnia ochrony przed przypadkowym usunięciem poddrzewa, które zawiera chroniony obiekt. Z tego powodu zaleca się włączenie tego ustawienia dla wszystkich chronionych kontenerów obiektu - aż do początku kontekstu nazewnictwa domeny.
|
|
|
Godziny logowania
|
Kliknięcie tej opcji umożliwia zmianę godzin, w jakich wybrany obiekt może logować się do domeny. Domyślnie logowanie do domeny jest możliwe przez 24 godziny na dobę, 7 dni w tygodniu. Należy zauważyć, że ten formant nie wpływa na możliwość logowania się użytkownika do komputera lokalnego za pomocą konta komputera lokalnego zamiast konta domeny.
|
|
Zaloguj do
|
Kliknięcie tej opcji umożliwia określenie ograniczeń logowania do stacji roboczych, za pomocą których można zezwolić danemu użytkownikowi na logowanie się tylko do określonych komputerów w domenie. Domyślnie użytkownik może logować się do dowolnej stacji roboczej, która jest przyłączona do domeny. Należy zauważyć, że ten formant nie wpływa na możliwość logowania się użytkownika do komputera lokalnego za pomocą konta komputera lokalnego zamiast konta domeny.
|
|
Wygasanie konta
|
Umożliwia ustawienie zasad wygasania konta dla danego użytkownika. Można wybrać jedną z następujących opcji:
-
Opcja Nigdy umożliwia określenie, że wybrane konto nigdy nie wygaśnie. Jest to opcja domyślna dla nowych użytkowników.
-
Aby konto użytkownika wygasło w określonym dniu, należy wybrać opcję Z końcem, a następnie wybrać datę.
|
|
Opcje haseł
|
Dostępne są następujące opcje haseł konta użytkownika usługi Active Directory:
-
Użytkownik musi zmienić hasło przy następnym logowaniu - wymusza na użytkowniku zmianę hasła przy następnym logowaniu się do sieci. Tę opcję należy włączyć, aby mieć pewność, że dany użytkownik będzie jedyną osobą znającą hasło konta.
-
Logowanie interakcyjne wymaga karty inteligentnej - wymaga, aby w przypadku interakcyjnego logowania się do sieci użytkownik korzystał z karty inteligentnej. Ponadto użytkownik powinien podłączyć do swojego komputera czytnik kart inteligentnych i wprowadzić prawidłowy osobisty numer identyfikacyjny (PIN, Personal Identification Number) karty inteligentnej.
-
Hasło nigdy nie wygasa - zapobiega wygaśnięciu hasła użytkownika. W przypadku kont usług zaleca się włączenie tej opcji i używanie silnych haseł.
-
Użytkownik nie może zmienić hasła - uniemożliwia użytkownikowi zmianę hasła. Tę opcję należy włączyć, aby zachować kontrolę nad kontem użytkownika, takim jak konto Gość lub konto tymczasowe.
|
Opcje szyfrowania | Dostępne są następujące opcje szyfrowania konta użytkownika usługi Active Directory:
-
Zachowaj hasło przy użyciu szyfrowania odwracalnego - umożliwia użytkownikowi logowanie się do sieci systemu Windows z komputerów firmy Apple. Nie należy włączać tej opcji, jeśli użytkownik nie loguje się z komputera firmy Apple.
-
Użyj typów szyfrowania Kerberos DES dla tego konta - zapewnia obsługę szyfrowania DES (Data Encryption Standard). Algorytm DES obsługuje wiele poziomów szyfrowania, w tym standardowe szyfrowanie Microsoft Point-to-Point Encryption (MPPE) (40- oraz 56-bitowe), silne szyfrowanie MPPE (128-bitowe), zabezpieczenia protokołu internetowego (IPsec) szyfrowane algorytmem DES (40- oraz 56-bitowym) oraz zabezpieczenia IPsec szyfrowane potrójnym algorytmem DES (3DES).
-
To konto obsługuje 128-bitowe szyfrowanie Kerberos AES
-
To konto obsługuje 256-bitowe szyfrowanie Kerberos AES
| Uwaga | |
Opcje szyfrowania Kerberos AES (Advanced Encryption Standard) - 128-bitowego oraz 256-bitowego - są dostępne tylko wtedy, gdy poziomem funkcjonalności domeny jest poziom systemu Windows Server 2008 R2, Windows Server 2008 lub Windows Server 2003. AES to nowy algorytm szyfrowania, który został ustanowiony jako standard przez organizację National Institute of Standards and Technology (NIST). Aby uzyskać więcej informacji na temat uwierzytelniania Kerberos, zobacz artykuł Omówienie protokołu Kerberos (https://go.microsoft.com/fwlink/?LinkId=85494 - strona może zostać wyświetlona w języku angielskim).
|
|
Inne opcje | Dostępne są następujące dodatkowe opcje konta użytkownika usługi Active Directory:
|