Användarkonton i Active Directory representerar fysiska entiteter, som människor. Du kan även använda användarkonton som dedicerade tjänstkonton för en del program.
Användarkonton kallas ibland också för säkerhetsobjekt. Säkerhetsobjekt är katalogobjekt som automatiskt tilldelas säkerhets-ID:n, som kan användas för att få tillgång till domänresurser. Användarkonton används främst för att:
-
Autentisera en användares identitet.
Med hjälp av ett användarkonto kan en användare logga in på datorer och i domäner med en identitet som domänen kan autentisera. Alla användare som loggar in i nätverket bör ha sitt eget unika användarkonto och lösenord. Av säkerhetsskäl bör inte flera användare dela på ett konto.
-
Auktoriserar eller nekar tillgång till domänresurser.
Efter autentiseringen auktoriseras eller nekas användarens tillgång till domänresurser, baserat på de uttryckliga behörigheter som användaren har tilldelats för den resursen.
Användarkonton
I behållaren Användare i snapin-modulen Active Directory – användare och datorer visas de tre inbyggda användarkontona: Administratör, Gäst och Hjälpassistent. De här inbyggda användarkontona skapas automatiskt när du skapar domänen.
Vart och ett av de inbyggda kontona har olika rättighets- och behörighetskombinationer. Administratörskontot har de mest omfattande rättigheterna och behörigheterna i domänen, medan gästkontot har begränsade rättigheter och behörigheter. Följande tabell beskriver de olika standardkontona på domänkontrollanter med operativsystemet Windows Server® 2008 R2.
| Standardanvändarkonto | Beskrivning | ||||
|---|---|---|---|---|---|
|
Administratör |
Administratörskontot har full kontroll över domänen. Det kan användas för att tilldela användarrättigheter och åtkomstbehörigheter till domänanvändare när så behövs. Det här kontot bör bara användas för åtgärder som kräver administratörsautentiseringsuppgifter. Du bör använda ett starkt lösenord för det här kontot. Administratörskontot ingår som standard i följande Active Directory-grupper. Administratörer, Domänadministratörer, Företagsadministratörer, Skapare och ägare av grupprincip samt Schemaadministratörer. Administratörskontot kan inte tas bort från gruppen Administratörer, men det går att byta namn på det och inaktivera det. Eftersom det är allmänt känt att administratörskontot finns i många Windows-versioner kan du genom att byta namn på det eller inaktivera göra det svårare för illvilliga användare att få tillgång till det. Administratörskontot är det första kontot som skapas när du skapar en ny domän med hjälp av installationsguiden i Active Directory Domain Services.
| ||||
|
Gäst |
Personer som inte har något konto i en domän kan använda gästkontot. En användare vars konto är inaktiverat (men inte borttaget) kan också använda gästkontot. Det behövs inget lösenord till kontot. Du kan ange rättigheter och behörigheter för gästkonton på samma sätt som för andra användarkonton. Vanligtvis är gästkontot medlem i den inbyggda gruppen Gäster och den globala gruppen Domängäster, vilket innebär att användaren kan logga in i en domän. Gästkontot är inaktiverat som standard och bör också förbli inaktiverat. | ||||
|
Hjälpassistent (installeras vid en fjärrhjälpsession) |
Huvudkontot när en fjärrhjälpsession upprättas. Det här kontot skapas automatiskt när du begär fjärrhjälp. Det ger begränsad åtkomst till datorn. Kontot Hjälpassistent hanteras av tjänsten Remote Desktop Help Session Manager. Det här kontot tas automatiskt bort när det inte finns några väntande fjärrhjälpsessioner. |
Skydda användarkonton
Om behörigheterna och rättigheterna för inbyggda konton inte ändras eller inaktiveras av en nätverksadministratör kan de användas av en illvillig användare (eller tjänst) för att otillåtet logga in i en domän med hjälp av administratörs- eller gästkontot. En god säkerhetsrutin för att skydda de här kontona är att ge dem nya namn eller att inaktivera dem. Eftersom kontot behåller sitt säkerhets-ID, behåller ett namnändrat användarkonto alla andra egenskaper, t.ex. beskrivning, lösenord, gruppmedlemskap, användarprofil, kontoinformation och alla tilldelade behörigheter och rättigheter.
Om du vill kunna använda dig av fördelarna med autentiserade och auktoriserade användare, skapar du individuella användarkonton för alla användare som ska delta i nätverket med hjälp av Active Directory – användare och datorer. Därefter kan du lägga till alla användarkonton (inklusive administratörskontot och gästkontot) i en grupp som du sedan använder för att styra kontonas rättigheter och behörigheter. När du har de konton och grupper du behöver för ditt nätverk, kontrollerar du att kan identifiera de användare som loggar in i nätverket och att de bara får tillgång till de tillåtna resurserna.
Genom att kräva starka lösenord och att använda en princip för kontoutelåsning kan du försvara din domän från angripare. Starka lösenord minskar risken för intelligent lösenordsgissning och lösenordsattacker på lösenord. En kontoutelåsningsprincip minskar risken för att angripare tar sig in i domänen via upprepade inloggningsförsök. En kontoutelåsningsprincip anger hur många misslyckade inloggningsförsök som tillåts innan ett användarkonto inaktiveras.
Kontoalternativ
Samtliga användarkonton i Active Directory har ett antal kontoalternativ som avgör hur någon som loggar in med det specifika användarkontot ska autentiseras i nätverket. Med hjälp av alternativen i följande tabell kan du konfigurera lösenordsinställningar och säkerhetsspecifik information för användarkonton.
| Kontoalternativ | Beskrivning |
|---|---|
|
Användaren måste byta lösenord vid nästa inloggning |
Tvingar en användare att byta sitt lösenord nästa gång den användaren loggar in i nätverket. Aktivera det här alternativet om du vill försäkra dig om att det bara är användaren som känner till lösenordet. |
|
Användaren kan inte byta lösenord |
Hindrar en användare från att ändra sitt lösenord. Aktivera det här alternativet om du vill behålla kontrollen över ett användarkonto, som till exempel gästkontot eller ett temporärt konto. |
|
Lösenord upphör aldrig att gälla |
Innebär att en användares lösenord aldrig upphör att gälla. Vi rekommenderar att du aktiverar det här alternativet för tjänstkonton och använder starka lösenord. |
|
Lagra lösenord med omvändbar kryptering |
Tillåter en användare att logga in i ett Windows-nätverk från Apple-datorer. Om den här användaren inte loggar in från en Apple-dator bör du inte aktivera det här alternativet. |
|
Kontot är inaktivt |
Hindrar en användare från att logga in med det markerade kontot. Många administratörer använder inaktiverade konton som mallar för vanliga användarkonton. |
|
Ett smartkort krävs för interaktiv inloggning |
Innebär att användaren måste ha ett smartkort för att kunna logga in i nätverket interaktivt. Användaren måste dessutom ha en smartkortsläsare ansluten till datorn och en giltig PIN-kod för smartkortet. När det här alternativet är aktiverat, anges automatiskt ett slumpartat och komplext lösenord för användarkontot och kontoalternativet Lösenordet upphör aldrig att gälla aktiveras. |
|
Kontot är betrott för delegering |
Tillåter en tjänst som körs under det här kontot att utföra åtgärder för andra konton i nätverket. En tjänst som körs under ett användarkonto (kallas även för ett tjänstkonto) som är betrott för delegering kan uppträda som en klient för att få tillgång till resurser på den dator där tjänsten körs eller på andra datorer. I en skog med funktionalitetsnivån Windows Server 2008 R2 är det här alternativet tillgängligt på fliken Delegering. Det är endast tillgängligt för konton som har tilldelats SPN-namn, som anges med setspn-kommandot i Windows Server 2008 R2. (Öppna kommandotolken och skriv setspn.) Det här är ur säkerhetssynpunkt en känslig kapacitet, tilldela den med omsorg. Det här alternativet är endast tillgängligt på domänkontrollanter med Windows Server 2008 R2 där domänens funktionalitetsnivå är Windows® 2000 blandat eller Windows 2000 enhetligt. På domänkontrollanter med Windows Server 2008 och Windows Server 2008 R2, där skogsfunktionsnivån i Windows Server 2008 eller Windows Server 2008 R2 används som domänens funktionsnivå, kan du konfigurera delegationsinställningarna med hjälp av fliken Delegering i egenskapsdialogrutan för en användare. Fliken Delegering visas bara för konton som har tilldelats ett SPN-namn. |
|
Kontot är känsligt och kan inte delegeras |
Det här alternativet kan du använda om kontot, till exempel gästkontot eller ett temporärt konto, inte får tilldelas för delegering av ett annat konto. |
|
Använd DES-krypteringstyper för det här kontot |
Ger stöd för DES (Data Encryption Standard). DES har stöd för flera krypteringsnivåer, inklusive MPPE Standard (Microsoft Point-to-Point Encryption) (40 bitar), MPPE Standard (56 bitar), MPPE Strong (128 bitar), IPsec – 40-bitars DES (Internet Protocol security), IPsec – 56-bitars DES och IPsec 3DES (Triple DES). |
|
Kräv inte Kerberos-förautentisering |
Ger stöd för alternativa implementeringar av Kerberos-protokollet. Använd det här alternativet med försiktighet, eftersom Kerberos-förautentisering ger ytterligare säkerhet och kräver tidssynkronisering mellan klienten och servern. |
InetOrgPerson-konton
Active Directory Domain Services (AD DS) ger stöd för objektklassen InetOrgPerson och dess associerade attribut, enligt definitionen i RFC 2798 (Request for Comments). Objektklassen InetOrgPerson används för att representera människor i en organisation i flera LDAP- (Lightweight Directory Access Protocol) och X.500-katalogtjänster från andra leverantörer än Microsoft.
Stöd för InetOrgPerson gör migrering från andra LDAP-kataloger till AD DS effektivare. InetOrgPerson-objektet är härlett från user-klassen. Precis som user-klassen kan det fungera som ett säkerhetsobjekt. Mer information om hur du skapar ett inetOrgPerson-användarkonto finns i Skapa ett nytt användarkonto.
När domänens funktionalitetsnivå är Windows Server 2008 eller Windows Server 2008 R2 kan du ange att attributet userPassword ska användas som lösenord för InetOrgPerson och användarobjekt, precis som du kan göra med attributet unicodePwd.