Active Directory 用户帐户代表物理实体,如人员。还可以将它们用作某些应用程序的专用服务帐户。
用户帐户也称为安全主体。安全主体是指自动为其分配安全标识符 (SID) 的目录对象,这些对象可用于访问域资源。用户帐户主要用于:
-
验证用户的身份。
使用用户帐户,用户可以使用能够通过域身份验证的身份登录到计算机或域。每个登录到网络的用户都应该有自己唯一的用户帐户和密码。为了在最大程度上保证安全,请避免多个用户共享一个帐户。
-
授权或拒绝对域资源的访问。
在验证用户身份之后,基于为该用户分配的针对资源的显式权限授权或拒绝用户对域资源的访问。
用户帐户
Active Directory 管理中心中的 Users 容器包含三种内置用户帐户:Administrator、Guest 和 HelpAssistant。这些内置用户帐户是在创建域时自动创建的。
每个内置帐户都有不同的权限组合。Administrator 帐户在域内有最全面的权限。Guest 帐户具有有限的权限。下表描述了运行 Windows Server 2008 R2 的域控制器上的所有默认用户帐户。
默认用户帐户 | 描述 | ||||
---|---|---|---|---|---|
Administrator |
Administrator 帐户具有域的完全控制权限。它可以根据需要将用户权利和访问控制权限分配给域用户。此帐户仅用于需要管理凭据的任务。建议您使用强密码来设置此帐户。 Administrator 帐户是下列 Active Directory 组的默认成员:管理员、Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 Schema Admins。 永远也不可以从管理员组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 Administrator 帐户存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户更难于访问该帐户。 Administrator 帐户是通过“Active Directory 域服务安装向导”设置新域时创建的第一个帐户。
| ||||
Guest |
在域中没有实际帐户的人员可以使用 Guest 帐户。如果已禁用某用户的帐户(但尚未删除),则该用户还可以使用 Guest 帐户。Guest 帐户不需要密码。 可以像任何用户帐户一样设置 Guest 帐户的权限。默认情况下,Guest 帐户是内置 Guests 组和 Domain Guests 全局组的成员,这允许用户登录到域上。默认情况下禁用 Guest 帐户,并且建议将其保持禁用状态。 | ||||
HelpAssistant(与远程协助会话一起安装) |
HelpAssistant 帐户是用于建立远程协助会话的主帐户。此帐户是在请求远程协助会话时自动创建的。它具有对计算机的有限访问权限。通过“远程桌面帮助会话管理器”服务对 HelpAssistant 帐户进行管理。如果没有挂起的远程协助请求,则会自动删除此帐户。 |
保护用户帐户的安全
如果网络管理员没有修改内置帐户的权限,恶意用户(或服务)就会使用这些权限通过 Administrator 帐户或 Guest 帐户非法登录到域上。保护这些帐户的一种较好的安全操作是重名命或禁用它们。由于重命名的用户帐户会保留其 SID,因此也会保留其他所有属性,如说明、密码、组成员身份、用户配置文件、帐户信息以及任何已分配的权限和用户权利。
若要获取用户身份验证和授权的安全优势,请使用 Active Directory 管理中心为所有将加入网络的用户创建单独的用户帐户。然后可以将各个用户帐户(包括 Administrator 帐户和 Guest 帐户)添加到组以控制分配给该帐户的权限。如果具有适合于您的网络的帐户和组,请确保可以识别登录到您的网络上的用户以及只能访问允许资源的用户。
通过要求强密码和实施帐户锁定策略,您可以帮助域抵御攻击。强密码会减少对密码的智能密码猜测和字典攻击的危险。帐户锁定策略会减少攻击者通过重复登录企图危及您所在域的安全的可能性。帐户锁定策略将确定用户帐户在禁用之前尝试登录的失败次数。
InetOrgPerson 帐户
Active Directory 域服务 (AD DS) 为征求意见文档 (RFC) 2798 中定义的 InetOrgPerson 对象类及其关联属性提供支持。InetOrgPerson 对象类在多个非 Microsoft、轻型目录访问协议 (LDAP) 和 X.500 目录服务中用来代表组织中的人员。
对 InetOrgPerson 的支持使其他 LDAP 目录到 AD DS 的迁移更加有效。InetOrgPerson 对象由 user 类派生而来。它像 user 类中的对象一样可以用作安全主体。有关创建 inetOrgPerson 用户帐户的信息,请参阅新建用户帐户。
将域功能级别设置为 Windows Server 2008 或 Windows Server 2008 R2 时,可以将 InetOrgPerson 和用户对象上的 userPassword 属性设置为有效密码,正如处理 unicodePwd 属性一样。