Uživatelské účty služby Active Directory představují fyzické entity, například osoby. Uživatelské účty je také možné použít jako vyhrazené účty služby pro některé aplikace.
Uživatelské účty jsou také označovány jako objekty zabezpečení. Objekty zabezpečení jsou objekty adresáře s automaticky přiřazenými identifikátory zabezpečení (SID), které lze použít k získání přístupu k prostředkům v doméně. Primární funkce uživatelského účtu:
-
Ověřuje identitu uživatele.
Uživatelský účet umožňuje uživateli přihlásit se k počítačům a doménám s identitou, kterou je možné v doméně ověřit. Každý uživatel, který se přihlásí do sítě, by měl mít vlastní jedinečný uživatelský účet a heslo. Za účelem maximalizace zabezpečení zabraňte tomu, aby více uživatelů sdílelo jeden účet.
-
Uděluje nebo zamítá přístup k prostředkům v doméně.
Po ověření je uživateli udělen nebo zamítnut přístup k prostředkům v doméně na základě výslovných oprávnění, která jsou přiřazena tomuto uživateli pro daný prostředek.
Uživatelské účty
Kontejner Users v Centru správy služby Active Directory obsahuje tři předdefinované uživatelské účty: Administrator, Guest a HelpAssistant. Tyto předdefinované uživatelské účty jsou vytvořeny automaticky při vytvoření domény.
Každý předdefinovaný účet má jinou kombinaci práv a oprávnění. Účet Administrator má nejrozsáhlejší práva a oprávnění v doméně. Účet Guest má omezená práva a oprávnění. V následující tabulce jsou popsány jednotlivé výchozí uživatelské účty v řadičích domény se systémem Windows Server 2008 R2.
| Výchozí uživatelský účet | Popis | ||||
|---|---|---|---|---|---|
|
Administrator |
Účet Administrator umožňuje plně ovládat doménu. Uživatel s tímto účtem může podle potřeby přidělovat práva a oprávnění k řízení přístupu uživatelům domény. Tento účet používejte pouze pro úkoly, které vyžadují pověření správce. Doporučujeme, aby byl tento účet nastaven se silným heslem. Účet Administrator je výchozí člen následujících skupin služby Active Directory: Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners a Schema Admins. Tento účet nelze ze skupiny Administrators odstranit ani odebrat, ale může být přejmenován nebo zakázán. Je známo, že účet Administrator existuje v mnoha verzích systému Windows, proto by přejmenování nebo zakázání účtu mohlo uživatelům se zlými úmysly ztížit získání přístupu. Účet Administrator je první účet, který je vytvořen při vytvoření nové domény pomocí Průvodce instalací služby Active Directory Domain Services.
| ||||
|
Guest |
Uživatelé, kteří nemají účet v doméně, mohou používat účet Guest. Tento účet může použít také uživatel, jehož účet je zakázán (nikoli však odstraněn). Účet Guest nevyžaduje heslo. U účtu Guest lze nastavit stejná práva a oprávnění jako u jiných uživatelských účtů. Ve výchozím nastavení je účet Guest členem předdefinované skupiny Guests a globální skupiny Domain Guests, které umožňují uživateli přihlásit se do domény. Ve výchozím nastavení je účet Guest zakázaný a doporučujeme tento stav neměnit. | ||||
|
HelpAssistant (nainstalovaný společně s relací programu Vzdálená pomoc) |
Účet HelpAssistant je primární účet pro vytvoření relace programu Vzdálená pomoc. Tento účet je vytvořen automaticky tehdy, když je požadována relace programu Vzdálená pomoc. Účet má omezený přístup k počítači. Účet HelpAssistant je spravován službou Správce relací nápovědy vzdálené plochy. Tento účet je automaticky odstraněn, jestliže nejsou přítomny žádné nevyřízené požadavky na vzdálenou pomoc. |
Zabezpečení uživatelských účtů
Pokud nejsou práva a oprávnění předdefinovaných účtů upravena nebo zakázána správcem sítě, mohou být zneužita uživatelem (nebo službou) se zlými úmysly k nelegálnímu přihlášení do domény pomocí účtu Administrator nebo Guest. Doporučeným postupem pro zabezpečení je tyto účty přejmenovat nebo zakázat. Vzhledem k tomu, že zůstává zachováno ID zabezpečení (SID), zůstávají beze změny i další vlastnosti přejmenovaného uživatelského účtu, například popis, heslo, členství ve skupinách, profil uživatele, informace o účtu a všechna přiřazená oprávnění a uživatelská práva.
Chcete-li využít výhody zabezpečení vyplývající z ověření a autorizace uživatele, použijte k vytvoření jednotlivých uživatelských účtů pro každého uživatele, který bude připojen v síti, Centrum správy služby Active Directory. Potom je možné přidat jednotlivé uživatelské účty (včetně účtu Administrator a Guest) do skupiny a řídit práva a oprávnění, která jsou k účtu přiřazena. Pokud jste vytvořili účty a skupiny odpovídající používané síti, je tím zajištěno, že můžete identifikovat uživatele, kteří se přihlásí do sítě, a zajistit, aby měli přístup pouze k povoleným prostředkům.
Můžete také podpořit obranu domény před útočníky tím, že budete požadovat silná hesla a zavedete zásady uzamčení účtu. Silná hesla snižují riziko uhodnutí hesla a slovníkových útoků na hesla. Zásady uzamčení účtu snižují možnost napadení útočníkem pokoušejícím se proniknout do domény opakováním pokusů o přihlášení. Zásady uzamčení účtu určují, kolik neúspěšných pokusů o přihlášení může uživatelský účet provést před jeho zakázáním.
Účty InetOrgPerson
Služba Active Directory Domain Services (AD DS) zajišťuje podporu pro třídu objektu InetOrgPerson a souvisejících atributů tak, jak je definováno v dokumentu RFC (Request for Comments) 2798. Třída objektu InetOrgPerson se používá pro některé adresářové služby, které nebyly vyvinuty společností Microsoft, pro protokol LDAP (Lightweight Directory Access Protocol) a pro adresářové služby X.500 a představuje uživatele v organizaci.
Podpora třídy objektu InetOrgPerson zefektivňuje migraci z ostatních adresářů protokolu LDAP do služby AD DS. Objekt InetOrgPerson je odvozen od třídy user. Je možné jej použít jako objekt zabezpečení, stejně jako objekty třídy user. Informace o vytvoření uživatelského účtu inetOrgPerson naleznete v tématu Vytvoření nového uživatelského účtu.
Pokud je úroveň funkčnosti domény nastavena na možnost Windows Server 2008 nebo Windows Server 2008 R2, je možné nastavit atribut userPassword na hodnotu InetOrgPerson a uživatelské objekty jako účinná hesla stejně jako v případě atributu unicodePwd.