Active Directory kullanıcı hesapları kişiler gibi fiziksel varlıkları temsil eder. Kullanıcı hesaplarını, bazı uygulamalar için ayrılmış hizmet hesapları olarak da kullanabilirsiniz.
Kullanıcı hesaplarına güvenlik sorumluları da denir. Güvenlik sorumluları, etki alanı kaynaklarına erişmek için kullanılabilecek, otomatik olarak güvenlik tanımlayıcıları (SID) atanan dizin nesneleridir. Bir kullanıcı hesabı öncelikle:
-
Bir kullanıcının kimliğini doğrular.
Kullanıcı hesabı kullanıcının, etki alanının doğrulayabileceği bir kimlikle bilgisayarlarda ve etki alanlarında oturum açmasına olanak sağlar. Ağda oturum açan her kullanıcının kendine ait benzersiz bir kullanıcı hesabı ve parolası olması gerekir. Güvenliği en üst düzeyde tutmak için, bir hesabı birden fazla kullanıcının paylaşmasını önleyin.
-
Etki alanı kaynaklarına erişim yetkisi verir veya reddeder.
Bir kullanıcının kimlik doğrulaması yapıldıktan sonra, kaynaklarla ilgili olarak bu kullanıcıya atanan kesin izinlere bağlı olarak kullanıcıya etki alanı kaynaklarına erişme yetkisi verilir veya reddedilir.
Kullanıcı hesapları
Active Directory Kullanıcıları ve Bilgisayarları ek bileşenindeki Kullanıcılar kapsayıcısı, üç yerleşik kullanıcı hesabını görüntüler: Administrator, Guest ve HelpAssistant. Bu yerleşik kullanıcı hesapları, etki alanını oluşturduğunuzda otomatik olarak oluşturulur.
Yerleşik hesapların her biri farklı hak ve izinlere sahiptir. Administrator hesabı etki alanı üzerinde en kapsamlı hak ve izinlere sahipken, Guest hesabının sınırlı hak ve izinleri vardır. Aşağıdaki tabloda, Windows Server® 2008 R2 işletim sistemini çalıştıran etki alanı denetleyicilerindeki varsayılan her bir kullanıcı hesabı açıklanmıştır.
| Varsayılan kullanıcı hesabı | Açıklama | ||||
|---|---|---|---|---|---|
|
Administrator |
Administrator hesabının etki alanı üzerinde tam denetimi vardır. Etki alanı kullanıcılarına gerektiği şekilde kullanıcı hakları ve erişim denetimi izinleri atayabilir. Bu hesabı yalnızca yönetici kimlik bilgileri gerektiren görevler için kullanın. Bu hesabı güçlü bir parolayla ayarlamanız önerilir. Administrator hesabı varsayılan olarak aşağıdaki Active Directory gruplarının üyesidir. Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners ve Schema Admins. Administrator (Yönetici) hesabı, Administrators grubundan silinemez veya kaldırılamaz, ancak yeniden adlandırılabilir veya devre dışı bırakılabilir. Administrator hesabının Windows'un pek çok sürümünde bulunduğu bilindiğinden, bu hesabı yeniden adlandırmak veya devre dışı bırakmak, kötü amaçlı kullanıcıların bu hesaba erişmelerini güçleştirir. Administrator hesabı, Active Directory Etki Alanı Hizmetleri Yükleme Sihirbazı ile yeni bir etki alanı ayarladığınızda oluşturulan ilk hesaptır.
| ||||
|
Guest |
Etki alanında gerçek hesabı olmayan kişiler Guest (Konuk) hesabını kullanabilir. Hesabı devre dışı bırakılmış, ancak silinmemiş olan kullanıcılar da Guest hesabını kullanabilir. Guest hesabı parola gerektirmez. Guest hesabının haklarını ve izinlerini herhangi bir kullanıcı hesabında olduğu gibi ayarlayabilirsiniz. Varsayılan olarak Guest hesabı, bir kullanıcının etki alanında oturum açmasına olanak veren, yerleşik Guests grubunun ve Domain Guests grubunun bir üyesidir. Guest hesabı varsayılan olarak devre dışı bırakılır ve devre dışı olarak kalması önerilir. | ||||
|
HelpAssistant (Uzaktan Yardım oturumuyla yüklenir) |
Uzaktan Yardım oturumu oluşturmak için birincil hesaptır. Uzaktan Yardım oturumu isteğinde bulunduğunuzda bu hesap otomatik olarak oluşturulur. Bilgisayara sınırlı erişimi vardır. HelpAssistant hesabı, Uzak Masaüstü Yardımı Oturum Yöneticisi hizmeti tarafından yönetilir. Bekleyen Uzaktan Yardım isteği yoksa bu hesap otomatik olarak silinir. |
Kullanıcı hesaplarının güvenliğini sağlama
Yerleşik olan hesap hakları ve izinleri bir ağ yöneticisi tarafından değiştirilmez veya devre dışı bırakılmazsa, bunla kötü amaçlı bir kullanıcı (veya hizmet) tarafından bir etki alanında Administrator hesabını veya Guest hesabını kullanarak oturum açmak için kullanılabilir. Bu hesapları korumak için iyi bir yol, hesapları yeniden adlandırmak veya devre dışı bırakmaktır. Yeniden adlandırılan bir kullanıcı hesabının SID'si aynı kalacağı için, hesabın parola, grup üyelikleri, kullanıcı profili, hesap bilgileri ve atanmış izinler ve kullanıcı hakları gibi diğer tüm özellikleri korunur.
Kullanıcı kimlik doğrulamasının ve yetkilendirmesinin güvenlik avantajlarından yararlanmak için, ağınıza katılacak her kullanıcı için bağımsız bir kullanıcı hesabı oluşturmak üzere Active Directory Kullanıcıları ve Bilgisayarları'nı kullanın. Böylece, hesaba atanan hak ve izinleri denetim altına almak için her kullanıcı hesabını (Administrator hesabı ve Guest hesabı dahil) bir gruba ekleyebilirsiniz. Ağınız için uygun hesaplarınız ve gruplarınız olursa, ağınızda oturum açan kullanıcıları tanıyacağınızdan ve bunların yalnızca izin verilen kaynaklara erişeceğinden emin olursunuz.
Güçlü parolalar isteyerek ve bir hesap kilitleme ilkesi uygulayarak etki alanınızın saldırılara karşı savunulmasına yardımcı olabilirsiniz. Güçlü parolalar akıllı parola tahmini ve parolalar üzerinde sözlük saldırıları riskini azaltır. Hesap kilitleme ilkesi, bir saldırganın art arda gerçekleştirdiği oturum açma denemeleriyle etki alanınızın güvenliğini tehlikeye atma olasılığını azaltır. Hesap kilitleme ilkesi, devre dışı bırakılmadan önce bir kullanıcı hesabında kaç kez başarısız oturum açma denemesine izin verileceğini belirler.
Hesap seçenekleri
Her Active Directory kullanıcı hesabının, bu hesabı kullanarak oturum açan kişinin ağda kimlik doğrulamasının nasıl yapılacağını belirleyen birtakım hesap seçenekleri vardır. Kullanıcı hesaplarıyla ilgili olarak parola ayarlarını ve güvenlik bilgilerini yapılandırmak için aşağıdaki tabloda yer alan seçenekleri kullanabilirsiniz.
| Hesap seçeneği | Açıklama |
|---|---|
|
Kullanıcı bir sonraki oturumda parola değiştirmeli |
Kullanıcıyı ağda sonraki oturum açmasında parolasını değiştirmeye zorlar. Kullanıcının parolayı bilen tek kişi olacağından emin olmak istediğinizde bu seçeneği etkinleştirin. |
|
Kullanıcı parolayı değiştiremez |
Kullanıcının parolasını değiştirmesini engeller. Guest hesabı veya geçici hesap gibi bir kullanıcı hesabı üzerinde denetimi korumak istediğinizde bu seçeneği etkinleştirin. |
|
Parola her zaman geçerli |
Kullanıcı parolasının zaman aşımına uğramasını önler. Hizmet hesaplarında bu seçeneği etkin olması ve güçlü parolalar kullanılması önerilir. |
|
Parolaları, ters çevrilebilir şifreleme kullanarak depola |
Kullanıcının Apple bilgisayarlardan bir Windows ağında oturum açmasına olanak sağlar. Apple bilgisayardan oturum açan kullanıcı yoksa bu seçeneği etkinleştirmeyin. |
|
Hesap devre dışı |
Kullanıcının seçili hesapla oturum açmasını önler. Pek çok yönetici devre dışı bırakılmış hesapları genel kullanıcı hesapları için şablon olarak kullanır. |
|
Etkileşimli oturum açma için akıllı kart gereklidir |
Bir kullanıcının ağda etkileşimli olarak oturum açması için akıllı kart kullanmasını gerektirir. Kullanıcının ayrıca, bilgisayarına bağlı bir akıllı kart okuyucusu ve akıllı kart için geçerli bir kişisel kimlik numarası (PIN) olması da gerekir. Bu seçenek etkin olduğunda, kullanıcı hesabının parolası otomatik olarak rasgele ve karmaşık bir değere ayarlanır ve Parola her zaman geçerli olsun hesap seçeneği etkinleştirilir. |
|
Hesap, temsilci seçme için güvenilir |
Bu hesap altında çalışan bir hizmetin ağda başka kullanıcı hesaplarının yerine işlem yapmasına olanak sağlar. Temsil için güvenilen bir kullanıcı hesabı altında çalışan bir hizmet (başka bir deyişle bir hizmet hesabı), çalışmakta olduğu bilgisayardaki kaynaklara ve diğer bilgisayarlardaki kaynaklara erişmek için bir istemcinin yerine geçebilir. Windows Server 2008 R2 işlev düzeyine atanan bir ormanda, bu seçenek Temsilci sekmesinde bulunur. Yalnızca, Windows Server 2008 R2 içinde setspn komutuyla ayarlandığı şekilde, hizmet asıl adları (SPN) atanan hesaplar için kullanılabilir. (Bir komut penceresi açıp setspn yazın.) Bu güvenlik açısından duyarlı bir özelliktir; atarken dikkatli olun. Bu seçenek yalnızca, etki alanı işlevinin Windows 2000 karma veya Windows 2000 yerel olarak ayarlandığı, Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerinde kullanılabilir. Etki alanı işlev düzeyinin Windows Server 2008 veya Windows Server 2008 R2 orman işlev düzeyine ayarlandığı, Windows Server 2008 ve Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerinde, temsil ayarlarını yapılandırmak için kullanıcı özellikleri iletişim kutusundaki Temsil sekmesini kullanın. Temsilci sekmesi yalnızca, atanmış SPN'si olan hesaplar için görüntülenir. |
|
Hesap duyarlıdır ve devredilemez |
Hesap, örneğin Guest veya geçici hesap başka bir hesap tarafından temsilci olarak atanamıyorsa bu seçeneği kullanabilirsiniz. |
|
Bu hesap için DES şifreleme türlerini kullan |
Veri Şifreleme Standardı (DES) desteği sağlar. DES; Microsoft Noktadan Noktaya Şifreleme (MPPE) Standart (40 bit), MPPE Standart (56 bit), MPPE Güçlü (128 bit), Internet Protokolü güvenliği (IPsec) DES (40 bit), IPsec 56 bit DES ve IPsec Üçlü DES (3DES) dahil olmak üzere birden fazla düzeyde şifrelemeyi destekler. |
|
Kerberos önceden kimlik doğrulama gerekmiyor |
Kerberos protokolünün alternatif uygulamaları için destek sağlar. Ancak, Kerberos önceden kimlik doğrulaması ek güvenlik sağladığı ve istemci ile sunucu arasında eşitleme gerektirdiği için, bu seçeneği etkinleştirirken dikkatli olun. |
InetOrgPerson hesapları
Active Directory Etki Alanı Hizmetleri (AD DS) Açıklama İsteği (RFC) 2798'de tanımladığı şekilde InetOrgPerson nesne sınıfı ve ilişkili öznitelikleri için destek sağlar. InetOrgPerson nesne sınıfı bir kuruluştaki kişileri göstermek üzere Microsoft dışı birkaç Basit Dizin Erişim Protokolü (LDAP) ve X.500 dizin hizmetlerinde kullanılır.
InetOrgPerson desteği diğer LDAP dizinlerinden AD DS'ye aktarımı daha verimli hale getirir. InetOrgPerson nesnesi kullanıcı sınıfından türetilir. Kullanıcı sınıfı gibi, güvenlik sorumlusu görevi görebilir. inetOrgPerson kullanıcı hesabı oluşturma konusunda daha fazla bilgi için bkz. Yeni Kullanıcı Hesabı Oluşturma.
Etki alanı işlev düzeyi Windows Server 2008 veya Windows Server 2008 R2 olarak ayarlandığında, InetOrgPerson ve kullanıcı nesnelerinde userPassword özniteliğini, unicodePwd özniteliğinde olduğu kadar etkili bir parola olarak ayarlayabilirsiniz.