Active Directory kullanıcı hesapları kişiler gibi fiziksel varlıkları temsil eder. Bu hesapları, bazı uygulamalar için ayrılmış hizmet hesapları olarak da kullanabilirsiniz.

Kullanıcı hesaplarına güvenlik sorumluları da denir. Güvenlik sorumluları, etki alanı kaynaklarına erişmek için kullanılabilecek, otomatik olarak güvenlik tanımlayıcıları (SID) atanan dizin nesneleridir. Bir kullanıcı hesabı öncelikle:

  • Bir kullanıcının kimliğini doğrular.

    Kullanıcı hesabı kullanıcının, etki alanının doğrulayabileceği bir kimlikle bilgisayarlarda ve etki alanlarında oturum açmasına olanak sağlar. Ağda oturum açan her kullanıcının kendine ait benzersiz bir kullanıcı hesabı ve parolası olması gerekir. Güvenliği en üst düzeyde tutmak için, bir hesabı birden fazla kullanıcının paylaşmasını önleyin.

  • Etki alanı kaynaklarına erişim yetkisi verir veya reddeder.

    Bir kullanıcının kimlik doğrulaması yapıldıktan sonra, kaynaklarla ilgili olarak bu kullanıcıya atanan kesin izinlere bağlı olarak kullanıcıya etki alanı kaynaklarına erişme yetkisi verilir veya reddedilir.

Kullanıcı hesapları

Active Directory Yönetim Merkezi'ndeki Kullanıcılar kapsayıcısı üç yerleşik kullanıcı hesabı içerir: Administrator, Guest ve HelpAssistant. Bu yerleşik kullanıcı hesapları, etki alanını oluşturduğunuzda otomatik olarak oluşturulur.

Yerleşik hesapların her biri farklı hak ve izin birleşimlerine sahiptir. Administrator hesabı etki alanı üzerinde en kapsamlı hak ve izinlere sahiptir. Guest hesabının hak ve izinleri sınırlıdır. Aşağıdaki tabloda, Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerindeki varsayılan her bir kullanıcı hesabı açıklanmıştır.

Varsayılan kullanıcı hesabı Açıklama

Administrator

Administrator hesabının etki alanı üzerinde tam denetimi vardır. Etki alanı kullanıcılarına gerektiği şekilde kullanıcı hakları ve erişim denetimi izinleri atayabilir. Bu hesabı yalnızca yönetici kimlik bilgileri gerektiren görevler için kullanın. Bu hesabı güçlü bir parolayla oluşturmanız önerilir.

Administrator hesabı varsayılan olarak şu Active Directory gruplarının üyesidir: Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners ve Schema Admins.

Administrator hesabı, hiçbir zaman Administrators grubundan silinemez veya kaldırılamaz, ancak yeniden adlandırılabilir veya devre dışı bırakılabilir. Administrator hesabının Windows'un pek çok sürümünde bulunduğu bilindiğinden, bu hesabı yeniden adlandırmak veya devre dışı bırakmak, kötü amaçlı kullanıcıların bu hesaba erişmelerini güçleştirir.

Administrator hesabı, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı ile yeni bir etki alanı ayarladığınızda oluşturulan ilk hesaptır.

Önemli

Administrator hesabı devre dışı bırakılsa da, Güvenli Mod ile bir etki alanı denetleyicisine erişmek için kullanılabilir.

Guest

Etki alanında gerçek hesabı olmayan kişiler Guest hesabını kullanabilir. Hesabı devre dışı bırakılmış, ancak silinmemiş olan kullanıcılar da Guest hesabını kullanabilir. Guest hesabı parola gerektirmez.

Guest hesabının haklarını ve izinlerini herhangi bir kullanıcı hesabında olduğu gibi ayarlayabilirsiniz. Varsayılan olarak Guest hesabı, bir kullanıcının etki alanında oturum açmasına olanak veren, yerleşik Guests grubunun ve Domain Guests grubunun bir üyesidir. Guest hesabı varsayılan olarak devre dışı bırakılır ve devre dışı olarak kalması önerilir.

HelpAssistant (Uzaktan Yardım oturumuyla yüklenir)

HelpAssistant hesabı Uzaktan Yardım oturumu oluşturmak için birincil hesaptır. Uzaktan Yardım oturumu isteğinde bulunulduğunda bu hesap otomatik olarak oluşturulur. Bilgisayara sınırlı erişimi vardır. HelpAssistant hesabını Uzak Masaüstü Yardımı Oturum Yöneticisi hizmeti yönetir. Bekleyen Uzaktan Yardım isteği yoksa bu hesap otomatik olarak silinir.

Kullanıcı hesaplarının güvenliğini sağlama

Ağ yöneticisi yerleşik hesapların hak ve izinlerini değiştirmezse, kötü amaçlı bir kullanıcı (veya hizmet) bir etki alanında Administrator veya Guest hesabını kullanarak yetkisiz bir oturum açmak için bu hesapları kullanılabilir. Bu hesapları korumak için iyi güvenlik uygulaması, hesapları yeniden adlandırmak veya devre dışı bırakmaktır. Yeniden adlandırılan bir kullanıcı hesabının SID'si aynı kalacağı için, hesabın açıklama, parola, grup üyelikleri, kullanıcı profili, hesap bilgileri ve atanmış izinler ve kullanıcı hakları gibi diğer tüm özellikleri korunur.

Kullanıcı kimlik doğrulamasının ve yetkilendirmesinin güvenlik avantajlarından yararlanmak için, ağınıza katılacak her kullanıcı için bağımsız bir kullanıcı hesabı oluşturmak üzere Active Directory Yönetim Merkezi'ni kullanın. Böylece, hesaba atanan hak ve izinleri denetim altına almak için her kullanıcı hesabını (Administrator hesabı ve Guest hesabı dahil) bir gruba ekleyebilirsiniz. Ağınız için uygun hesaplarınız ve gruplarınız olursa, ağınızda oturum açan kullanıcıları tanıyacağınızdan ve bunların yalnızca izin verilen kaynaklara erişeceğinden emin olursunuz.

Güçlü parolalar isteyerek ve bir hesap kilitleme ilkesi uygulayarak etki alanınızın saldırılara karşı savunulmasına yardımcı olabilirsiniz. Güçlü parolalar akıllı parola tahmini ve parolalar üzerinde sözlük saldırıları riskini azaltır. Hesap kilitleme ilkesi, bir saldırganın art arda gerçekleştirdiği oturum açma denemeleriyle etki alanınızın güvenliğini tehlikeye atma olasılığını azaltır. Hesap kilitleme ilkesi, devre dışı bırakılmadan önce bir kullanıcı hesabında kaç kez başarısız oturum açma denemesine izin verileceğini belirler.

InetOrgPerson hesapları

Active Directory Etki Alanı Hizmetleri (AD DS) Açıklama İsteği (RFC) 2798'de tanımladığı şekilde InetOrgPerson nesne sınıfı ve ilişkili öznitelikleri için destek sağlar. InetOrgPerson nesne sınıfı bir kuruluştaki kişileri göstermek üzere Microsoft dışı bazı Basit Dizin Erişimi Protokolü (LDAP) ve X.500 dizin hizmetlerinde kullanılır.

InetOrgPerson desteği diğer LDAP dizinlerinden AD DS'ye aktarımı daha verimli hale getirir. InetOrgPerson nesnesi kullanıcı sınıfından türetilir. Kullanıcı sınıfına ait bir nesne gibi, güvenlik sorumlusu görevi görebilir. inetOrgPerson kullanıcı hesabı oluşturma hakkında bilgi için, bkz. Yeni Kullanıcı Hesabı Oluşturma.

Etki alanı işlev düzeyi Windows Server 2008 veya Windows Server 2008 R2 olarak ayarlandığında, InetOrgPerson ve kullanıcı nesnelerinde userPassword özniteliğini, aynı unicodePwd özniteliğinde yapabildiğiniz gibi, etkili bir parola olarak ayarlayabilirsiniz.

Ek başvurular


İçindekiler