Active Directory 使用者帳戶代表實際的實體,例如人員。您也可以將使用者帳戶做為某些應用程式的專用服務帳戶。
使用者帳戶也稱為安全性主體。安全性主體為自動指派安全性識別碼 (SID) 的目錄物件,可用以存取網域資源。使用者帳戶主要可以:
-
驗證使用者的身分。
使用者帳戶可讓使用者以網域可驗證的身分登入電腦與網域。每位登入網路的使用者均應具有專屬的唯一使用者帳戶與密碼。若要獲致最高的安全性,請避免讓多名使用者共用一個帳戶。
-
授予或拒絕網域資源的存取權。
使用者經過驗證後,則會根據指派給該使用者的明確資源權限授予或拒絕網域資源的存取權。
使用者帳戶
[Active Directory 使用者和電腦] 嵌入式管理單元中的 Users 容器會顯示三個內建的使用者帳戶:Administrator、Guest 與 HelpAssistant。當您建立網域時,即會自動建立這些內建使用者帳戶。
每個內建帳戶均有不同的權利與權限組合。Administrator 帳戶在網域中具有最廣泛的權利與權限,而 Guest 帳戶的權利與權限則受到限制。下表描述執行 Windows Server® 2008 R2 作業系統之網域控制站上的每個預設使用者帳戶。
| 預設使用者帳戶 | 描述 | ||||
|---|---|---|---|---|---|
|
Administrator |
Administrator 帳戶具有完整的網域控制權。它可在必要時指派使用者權限與存取控制權限給網域使用者。此帳戶僅應使用於需要系統管理認證的工作。建議您使用強式密碼設定此帳戶。 Administrator 帳戶是下列 Active Directory 群組的預設成員:Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners 與 Schema Admins。您無法從 Administrators 群組中刪除或移除 Administrator 帳戶,但是可以將它重新命名或停用。由於許多版本的 Windows 中都有 Administrator 帳戶存在,所以重新命名或停用此帳戶可以增加惡意使用者嘗試取得其存取權的難度。 Administrator 帳戶是您以 [Active Directory 網域服務安裝精靈] 設定新網域時所建立的第一個帳戶。
| ||||
|
Guest |
在網域中沒有實際帳戶的人,可以使用 Guest 帳戶。帳戶被停用 (但未刪除) 的使用者也可以使用 Guest 帳戶。Guest 帳戶不需要密碼。 您可以為 Guest 帳戶設定權利及權限 (就像任何使用者帳戶一樣)。根據預設值,Guest 帳戶是內建 Guests 群組與 Domain Guests 全域群組的成員,可允許使用者登入網域。Guest 帳戶預設為停用,建議將它保持為停用。 | ||||
|
HelpAssistant (在 [遠端協助] 工作階段中安裝) |
建立 [遠端協助] 工作階段的主要帳戶。此帳戶會在您要求 [遠端協助] 工作階段時自動建立。它對電腦具有有限的存取權。HelpAssistant 帳戶由「遠端桌面說明工作階段管理員」服務所管理。如果沒有擱置的遠端協助要求,則會自動刪除此帳戶。 |
保護使用者帳戶
如果網路系統管理員未修改或停用內建帳戶的權利與權限,惡意使用者 (或服務) 即可能利用這些權利與權限,以 Administrator 帳戶或 Guest 帳戶非法登入網域。將這些帳戶重新命名或停用,是保護其安全性的理想做法。因為它會保留 SID,所以重新命名的使用者帳戶會保留其他所有內容,例如描述、密碼、群組成員資格、使用者設定檔、帳戶資訊,以及任何指派的權限與使用者權限。
若要保有使用者驗證與授權的安全性優點,請使用 [Active Directory 使用者和電腦],為即將加入您的網路的每位使用者建立個別的使用者帳戶。接著,您可以將每個使用者帳戶 (包括 Administrator 帳戶與 Guest 帳戶) 新增至群組,以控制指派給該帳戶的權利與權限。當您具有適用於網路的帳戶與群組時,您必須確定您可以識別登入網路的使用者,且他們只能存取已允許的資源。
您可以要求使用強式密碼並執行帳戶鎖定原則,以協助防止您的網域遭受攻擊。強式密碼可降低密碼遭到智慧型密碼猜測與字典攻擊的風險。帳戶鎖定原則可減少攻擊者透過重複登入嘗試以破壞您的網域的可能性。帳戶鎖定原則可決定使用者帳戶在遭到停用之前所能執行的失敗登入嘗試次數。
帳戶選項
每個 Active Directory 使用者帳戶均有多種帳戶選項,可決定以該特定使用者帳戶登入的人在網路上的驗證方式。您可以使用下表中的選項,為使用者帳戶設定密碼設定與安全性特定資訊。
| 帳戶選項 | 描述 |
|---|---|
|
使用者必須在下次登入時變更密碼 |
強制使用者在下次登入網路時變更其密碼。如果要確保該使用者是唯一知道密碼的人,請啟用此選項。 |
|
使用者不能變更密碼 |
讓使用者無法變更其密碼。如果要維護對使用者帳戶 (如 Guest 帳戶或暫時帳戶) 的控制權,請啟用此選項。 |
|
密碼永久有效 |
讓使用者密碼不會過期。建議您對服務帳戶啟用此選項,並使用強式密碼。 |
|
使用可還原的加密來存放密碼 |
讓使用者能夠從 Apple 電腦登入 Windows 網路。如果使用者不是從 Apple 電腦登入,請不要啟用此選項。 |
|
帳戶已停用 |
讓使用者無法以選取的帳戶登入。有許多系統管理員會以停用的帳戶做為一般使用者帳戶的範本。 |
|
互動式登入必須使用智慧卡 |
使用者必須具備智慧卡,才可透過互動方式登入網路。使用者也必須將智慧卡讀取裝置連接到電腦,且智慧卡必須具備有效的個人識別碼 (PIN)。啟用此選項時,使用者帳戶的密碼會自動設為隨機而複雜的值,並且會設定 [密碼永久有效] 帳戶選項。 |
|
帳戶受信任可以委派 |
允許在此帳戶下執行的服務代表網路上的其他使用者帳戶執行操作。在受信任可以委派的使用者帳戶 (亦稱為服務帳戶) 下執行的服務,可模擬用戶端,對服務執行所在之電腦的資源或其他電腦的資源取得存取權。在設為 Windows Server 2008 R2 功能等級的樹系中,此選項位於 [委派] 索引標籤上。此選項僅適用於已指派服務主要名稱 (SPN) 的帳戶,如 Windows Server 2008 R2 中的 setspn 命令所設定。(開啟命令視窗,然後輸入 setspn。)此功能牽涉到安全性,指派時請多加留意。 此選項僅適用於執行 Windows Server 2008 R2,且將其網域功能設為 Windows(R) 2000 混合或 Windows 2000 原生的網域控制站。在執行 Windows Server 2008 和 Windows Server 2008 R2,且將其網域功能等級設為 Windows Server 2008 或 Windows Server 2008 R2 樹系功能等級的網域控制站上,請使用使用者內容對話方塊中的 [委派] 索引標籤設定委派設定。[委派] 索引標籤只會針對具有指派 SPN 的帳戶顯示。 |
|
這是機密帳戶,無法委派 |
如果帳戶 (例如 Guest 帳戶或暫時帳戶) 無法由其他帳戶指派以進行委派,您可以使用此選項。 |
|
這個帳戶需要使用 DES 加密類型 |
提供資料加密標準 (DES) 的支援。DES 支援多種層級的加密,包括 Microsoft 點對點加密 (MPPE) 標準 (40 位元)、MPPE 標準 (56 位元)、MPPE 增強式 (128 位元)、網際網路通訊協定安全性 (IPsec) DES (40 位元)、IPsec 56 位元 DES 與 IPsec 三重 DES (3DES) |
|
不需要 Kerberos 預先驗證 |
提供 Kerberos 通訊協定的替代執行方式的支援。但是,啟用此選項時請多加留意,因為 Kerberos 預先驗證會提供其他安全性,且用戶端與伺服器之間的時間必須同步。 |
InetOrgPerson 帳戶
Active Directory 網域服務 (AD DS) 提供 InetOrgPerson 物件類別及其相關屬性的支援,如要求建議 (RFC) 2798 中所定義。InetOrgPerson 物件類別可用於數種非 Microsoft 的輕量型目錄存取通訊協定 (LDAP) 與 X.500 目錄服務中,以代表組織中的人員。
InetOrgPerson 的支援可讓其他 LDAP 目錄遷移為 AD DS 的作業更有效率。InetOrgPerson 物件衍生自 User 類別。它可和 User 類別一樣當作安全性主體使用。如需建立 inetOrgPerson 使用者帳戶的相關資訊,請參閱建立新的使用者帳戶。
當網域功能等級設定為 Windows Server 2008 或 Windows Server 2008 R2 時,您可以將 InetOrgPerson 上的 userPassword 屬性與使用者物件設為有效密碼,如同您對 unicodePwd 屬性所做的設定。