Основные сведения об учетных записях пользователей

Контейнер «Пользователи» в оснастке «Центр администрирования Active Directory» содержит три встроенные учетные записи пользователей: «Администратор», «Гость» и «Помощник» (HelpAssistant). Эти встроенные учетные записи пользователей автоматически создаются при создании домена.

Для каждой встроенной учетной записи используется различная комбинация прав и разрешений. Учетная запись «Администратор» обладает максимально расширенными правами и разрешениями относительно домена. Права и разрешения учетной записи «Гость» ограничены. Следующая таблица описывает каждую учетную запись пользователя по умолчанию на контроллерах домена с операционной системой Windows Server 2008 R2.

Учетная запись пользователя по умолчанию	Описание
Администратор	Учетная запись «Администратор» обладает полным доступом к управлению доменом. Она позволяет необходимым образом назначать права пользователей и разрешения на доступ пользователям домена. Используйте эту учетную запись только для задач, выполнение которых требует учетных данных администратора. Рекомендуется установить для этой учетной записи надежный пароль. Учетная запись «Администратор» по умолчанию является членом следующих групп Active Directory: «Администраторы», «Администраторы домена», «Администраторы предприятия», «Владельцы-создатели групповой политики» и «Администраторы схемы». Учетная запись «Администратор» не может быть удалена или перемещена из группы «Администраторы», но ее можно переименовать или отключить. Поскольку известно, что учетная запись «Администратор» существует во многих версиях операционной системы Windows, ее переименование или отключение затруднит для злоумышленников доступ к ней. Учетная запись «Администратор» - первая учетная запись, которая создается при создании нового домена с помощью мастера установки доменных служб Active Directory. Важно! После своего отключения учетная запись «Администратор» все еще может быть использована для получения доступа к контроллеру домена в безопасном режиме.
Гость	Люди, у которых нет фактической учетной записи в домене, могут воспользоваться учетной записью «Гость». Пользователь, учетная запись которого отключена (но не удалена), также может использовать учетную запись «Гость». Учетная запись «Гость» не требует пароля. Учетной записи «Гость» можно предоставлять права и разрешения, как и любой другой учетной записи. По умолчанию она входит во встроенную группу «Гости» и глобальную группу «Гости домена», что разрешает пользователю войти в домен. По умолчанию учетная запись «Гость» отключена, и включать ее не рекомендуется.
«Помощник» (устанавливается с сеансом удаленного помощника)	Учетная запись «Помощник» - это основная учетная запись для установки сеанса удаленного помощника. Эта учетная запись автоматически создается при запросе сеанса удаленного помощника. Ей предоставляется ограниченный доступ к компьютеру. Учетной записью «Помощник» управляет служба диспетчера сеанса справки для удаленного рабочего стола. Эта учетная запись автоматически удаляется, если нет отложенных запросов сеанса удаленного помощника.

Если сетевой администратор не изменяет права и разрешения встроенных учетных записей, то злоумышленник (пользователь или служба) может использовать их для незаконного входа в домен от имени учетной записи «Администратор» или «Гость». Рекомендуется защищать эти учетные записи, переименовывая или отключая их. Поскольку идентификаторы безопасности учетных записей сохраняются, то переименованная учетная запись сохраняет все свои остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, данные учетной записи, а также все назначенные разрешения и права пользователя.

Для получения таких преимуществ безопасности, как проверка подлинности и авторизация пользователей, используйте оснастку «Центр администрирования Active Directory», чтобы создать для каждого пользователя сети отдельную учетную запись. Затем можно добавить каждую учетную запись пользователя (включая учетные записи «Администратор» и «Гость») в группу для управления правами и разрешениями, назначаемыми этим учетным записям. Использование учетных записей и групп, соответствующих конкретной сети, обеспечивает возможность идентификации пользователей, которые входят в сеть, и предоставления им доступа только к разрешенным ресурсам.

Защитить домен от злоумышленников можно с помощью принудительного использования надежных паролей и применения политики блокировки учетных записей. Надежные пароли снижают риск угадывания пароля и словарных атак. Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен с помощью повторяющихся попыток входа. Политика блокировки учетных записей определяет число неудачных попыток входа до блокировки учетной записи пользователя.

Доменные службы Active Directory (AD DS) поддерживают класс объектов InetOrgPerson и связанные с ним атрибуты в соответствии с документом RFC 2798. Класс объектов InetOrgPerson используется в некоторых службах каталогов сторонних производителей (не Майкрософт) на основе протоколов LDAP и X.500 для представления людей в организации.

Поддержка InetOrgPerson повышает эффективность перехода с других каталогов LDAP на доменные службы Active Directory. Объект InetOrgPerson является производным от класса user (пользователь). Он может работать в качестве субъекта безопасности так же, как и объект класса user. Сведения о создании учетной записи пользователя inetOrgPerson см. в разделе Создание учетной записи пользователя.

Если домен работает в режиме Windows Server 2008 или Windows Server 2008 R2, то можно задать атрибут userPassword объекта InetOrgPerson и других объектов-пользователей в качестве действующего пароля (также, как и атрибут unicodePwd, использующийся для этих же целей).

• Управление пользователями