Konta użytkowników usługi Active Directory reprezentują jednostki fizyczne, takie jak osoby. Konta użytkowników mogą także służyć jako dedykowane konta usług dla niektórych aplikacji.
Konta użytkowników są nazywane także podmiotami zabezpieczeń. Podmioty zabezpieczeń to obiekty katalogu, którym są automatycznie przypisywane identyfikatory zabezpieczeń (SID) umożliwiające uzyskanie dostępu do zasobów domeny. Główne funkcje konta użytkownika:
-
Uwierzytelnianie tożsamości użytkownika.
Konto użytkownika umożliwia logowanie się na komputerach oraz logowanie się do domen przy użyciu tożsamości, która może być uwierzytelniona przez domenę. Każdy użytkownik logujący się do sieci powinien mieć własne, unikatowe konto użytkownika oraz hasło. Aby zapewnić maksymalne zabezpieczenia, należy unikać sytuacji, w których wielu użytkowników korzysta z jednego konta.
-
Udzielanie lub odmawianie dostępu do zasobów domeny.
Po uwierzytelnieniu następuje udzielenie lub odmowa dostępu do zasobów domeny na postawie jawnych uprawnień przypisanych użytkownikowi dla tych zasobów.
Konta użytkowników
Kontener Użytkownicy, który znajduje się w przystawce Użytkownicy i komputery usługi Active Directory, zawiera trzy wbudowane konta użytkowników: Administrator, Gość i Pomocnik. Te wbudowane konta użytkowników są tworzone automatycznie podczas tworzenia domeny.
Każde konto wbudowane ma inną kombinację praw i uprawnień. Konto Administrator ma najszersze prawa i uprawnienia w domenie, podczas gdy w przypadku konta Gość są one ograniczone. W poniższej tabeli opisano wszystkie domyślne konta użytkowników na kontrolerach domeny z systemem operacyjnym Windows Server® 2008 R2.
| Domyślne konto użytkownika | Opis | ||||
|---|---|---|---|---|---|
|
Administrator |
Konto Administrator zapewnia pełną kontrolę nad domeną. W razie potrzeby umożliwia przypisywanie użytkownikom domeny praw użytkownika oraz uprawnień kontroli dostępu. Tego konta należy używać tylko do wykonywania zadań wymagających poświadczeń administracyjnych. W przypadku tego konta zaleca się używanie silnego hasła. Konto Administrator jest domyślnym elementem członkowskim następujących grup usługi Active Directory: Administratorzy, Administratorzy domeny, Administratorzy przedsiębiorstwa, Twórcy-właściciele zasad grupy i Administratorzy schematu. Konta Administrator nie można usunąć z grupy Administratorzy, ale można zmienić jego nazwę lub je wyłączyć. Ponieważ wiadomo, że konto Administrator istnieje w wielu wersjach systemu Windows, zmiana nazwy lub jego wyłączenie utrudni złośliwym użytkownikom uzyskanie do niego dostępu. Konto Administrator jest pierwszym kontem tworzonym podczas konfigurowania nowej domeny za pomocą Kreatora instalacji Usług domenowych w usłudze Active Directory.
| ||||
|
Gość |
Osoby, które nie mają własnego konta w domenie, mogą używać konta Gość. Użytkownik, którego konto zostało wyłączone (ale nie usunięte), może także używać konta Gość. Konto Gość nie wymaga hasła. Prawa i uprawnienia dla konta Gość można ustawiać tak samo jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest elementem członkowskim grupy wbudowanej Goście oraz grupy globalnej Goście domeny, dzięki czemu użytkownik może zalogować się do domeny. Konto Gość jest domyślnie wyłączone i zaleca się, aby pozostało wyłączone. | ||||
|
Pomocnik (instalowane podczas ustanawiania sesji Pomocy zdalnej) |
Podstawowe konto służące do ustanawiania sesji Pomocy zdalnej. To konto jest tworzone automatycznie w momencie wysłania żądania sesji Pomocy zdalnej. Ma ono ograniczony dostęp do komputera. Zarządzanie kontem Pomocnik odbywa się przy użyciu usługi Menedżer sesji pomocy pulpitu zdalnego. W przypadku braku oczekujących żądań sesji Pomocy zdalnej to konto jest automatycznie usuwane. |
Zabezpieczanie kont użytkowników
Jeśli administrator sieci nie wyłączył ani nie zmodyfikował praw i uprawnień kont wbudowanych, mogą one zostać użyte przez złośliwego użytkownika (lub usługę) do niedozwolonego zalogowania się do domeny za pomocą konta Administrator lub konta Gość. Dobrym sposobem ochrony tych kont jest zmiana nazw lub ich wyłączenie. W przypadku zmiany nazwy konto użytkownika zachowuje identyfikator zabezpieczeń SID, dlatego zachowuje także wszystkie pozostałe właściwości, takie jak opis, hasło, członkostwa grup, profil użytkownika, informacje o koncie oraz wszystkie przypisane uprawnienia i prawa użytkownika.
Aby zapewnić zabezpieczenia uwierzytelniania i autoryzacji użytkowników, należy za pomocą przystawki Użytkownicy i komputery usługi Active Directory utworzyć indywidualne konto dla każdego użytkownika, który należy do sieci. Można wtedy dodawać poszczególne konta użytkowników (w tym konto Administrator i konto Gość) do grupy, aby kontrolować prawa i uprawnienia przypisane do kont. Stosowanie kont i grup odpowiednich dla danej sieci gwarantuje, że można zidentyfikować użytkowników logujących się do sieci oraz że uzyskują oni dostęp tylko do dozwolonych zasobów.
Wymóg silnych haseł oraz implementacja zasad blokady kont pomaga chronić domenę przed atakami. Silne hasła zmniejszają ryzyko złamania hasła za pomocą inteligentnego zgadywania lub ataków słownikowych. Zasady blokady kont zmniejszają prawdopodobieństwo złamania zabezpieczeń domeny przez powtarzające się próby logowania. Zasady blokady kont określają, ile może być nieudanych prób zalogowania się przy użyciu konta użytkownika, zanim zostanie ono zablokowane.
Opcje konta
Każde konto użytkownika usługi Active Directory ma kilka opcji, które określają, w jaki sposób osoba logująca się przy użyciu danego konta jest uwierzytelniana w sieci. Aby skonfigurować ustawienia haseł i informacje związane z zabezpieczeniami dla kont użytkowników, można użyć opcji omówionych w tabeli poniżej:
| Opcja konta | Opis |
|---|---|
|
Użytkownik musi zmienić hasło przy następnym logowaniu |
Wymusza na użytkowniku zmianę hasła przy następnym logowaniu się do sieci. Tę opcję należy włączyć, aby mieć pewność, że dany użytkownik będzie jedyną osobą znającą hasło konta. |
|
Użytkownik nie może zmienić hasła |
Uniemożliwia użytkownikowi zmianę hasła. Aby zachować kontrolę nad kontem użytkownika, takim jak konto Gość lub konto tymczasowe, należy włączyć tę opcję. |
|
Hasło nigdy nie wygasa |
Zapobiega wygaśnięciu hasła użytkownika. W przypadku kont usług zaleca się włączenie tej opcji i używanie silnych haseł. |
|
Zapisz hasła, korzystając z szyfrowania odwracalnego |
Umożliwia użytkownikowi logowanie się do sieci systemu Windows z komputerów firmy Apple. Jeśli użytkownik nie loguje się z komputera firmy Apple, ta opcja powinna być wyłączona. |
|
Konto jest wyłączone |
Uniemożliwia użytkownikowi logowanie się przy użyciu danego konta. Wielu administratorów używa kont wyłączonych jako szablonów dla typowych kont użytkowników. |
|
Logowanie interakcyjne wymaga karty inteligentnej |
Wymaga, aby w przypadku interakcyjnego logowania się do sieci użytkownik korzystał z karty inteligentnej. Ponadto użytkownik powinien podłączyć do swojego komputera czytnik kart inteligentnych i wprowadzić prawidłowy osobisty numer identyfikacyjny (PIN, Personal Identification Number) karty inteligentnej. Po włączeniu tej opcji zostanie automatycznie wygenerowane losowe i złożone hasło konta użytkownika, a także zostanie włączona opcja Hasło nigdy nie wygasa. |
|
Konto jest zaufane w kwestii delegowania |
Zezwala usłudze uruchamianej przy użyciu tego konta na wykonywanie operacji w imieniu innych kont użytkowników w sieci. Usługa uruchomiona przy użyciu konta użytkownika (nazywanego kontem usługi), które jest zaufane w kwestii delegowania, może przyjąć tożsamość klienta, aby uzyskać dostęp do zasobów na komputerze, na którym jest uruchomiona, lub na innych komputerach. Jeśli poziomem funkcjonalności lasu jest poziom systemu Windows Server 2008 R2, ta opcja znajduje się na karcie Delegowanie. Ta opcja jest dostępna tylko w przypadku kont, którym przypisano główne nazwy usługi (SPN, service principal name) ustawiane przy użyciu polecenia setspn w systemie Windows Server 2008 R2. (Należy otworzyć okno polecenia, a następnie wpisać polecenie setspn). Ta funkcja ma istotne znaczenie dla zabezpieczeń i należy używać jej ostrożnie. Ta opcja jest dostępna tylko na kontrolerach domeny z systemem Windows Server 2008 R2, na których poziom funkcjonalności został ustawiony jako mieszany systemu Windows® 2000 lub macierzysty systemu Windows 2000. Na kontrolerach domeny z systemem Windows Server 2008 lub Windows Server 2008 R2, na których poziomem funkcjonalności domeny jest poziom funkcjonalności lasu systemu Windows Server 2008 lub Windows Server 2008 R2, należy użyć karty Delegowanie znajdującej się w oknie dialogowym właściwości, aby skonfigurować ustawienia delegowania. Karta Delegowanie pojawia się tylko w przypadku kont, którym przypisano nazwę SPN. |
|
Konto jest poufne i nie może być delegowane |
Tej opcji można użyć, jeśli konto (np. konto Gość lub konto tymczasowe) nie może być delegowane przez inne konto. |
|
Użyj typów szyfrowania DES dla tego konta |
Zapewnia obsługę szyfrowania DES (Data Encryption Standard). Algorytm DES obsługuje wiele poziomów szyfrowania, w tym standardowe szyfrowanie Microsoft Point-to-Point Encryption (MPPE) (40-bitowe i 56-bitowe), silne szyfrowanie MPPE (128-bitowe), protokół Internet Protocol Security (IPSec) szyfrowany algorytmem DES (40-bitowy i 56-bitowy) oraz protokół IPSec szyfrowany potrójnym algorytmem Triple DES (3DES). |
|
Nie jest wymagane wstępne uwierzytelnienie protokołu Kerberos |
Zapewnia obsługę alternatywnych implementacji protokołu Kerberos. Wstępne uwierzytelnienie protokołu Kerberos zapewnia dodatkowe zabezpieczenia i wymaga synchronizacji czasu klienta z serwerem, dlatego należy zachować ostrożność, włączając tę opcję. |
Konta InetOrgPerson
Usługi domenowe w usłudze Active Directory (AD DS, Active Directory Domain Services) zapewniają obsługę klasy obiektów InetOrgPerson oraz skojarzonych z nią atrybutów zdefiniowanych w dokumencie RFC 2798. Klasa obiektów InetOrgPerson jest używana do reprezentowania osób w organizacji w niektórych usługach katalogowych protokołu LDAP i X.500 firm innych niż Microsoft.
Dzięki obsłudze klasy obiektów InetOrgPerson migracja z innych katalogów LDAP do usługi AD DS jest wydajniejsza. Obiekt InetOrgPerson wywodzi się z klasy użytkownik. Może działać jako podmiot zabezpieczeń, tak jak klasa użytkownik. Aby uzyskać informacje dotyczące tworzenia konta użytkownika InetOrgPerson, zobacz temat Tworzenie nowego konta użytkownika.
Jeśli poziomem funkcjonalności domeny jest poziom systemu Windows Server 2008 lub Windows Server 2008 R2, można ustawić atrybut userPassword jako hasło obowiązujące dla obiektów InetOrgPerson i obiektów typu użytkownik (podobnie jak atrybut unicodePwd).