Active Directory-Benutzerkonten stellen physikalische Einheiten (beispielsweise Personen) dar. Sie können Benutzerkonten für einige Anwendungen auch als dedizierte Dienstkonten verwenden.

Benutzerkonten werden auch als Sicherheitsprinzipale bezeichnet. Bei Sicherheitsprinzipalen handelt es sich um Verzeichnisobjekte, denen automatisch Sicherheits-IDs (SIDs) zugewiesen werden, die für den Zugriff auf Domänenressourcen verwendet werden können. Mit einem Benutzerkonto werden vorwiegend folgende Aufgaben ausgeführt:

  • Authentifizierung der Identität von Benutzern

    Mithilfe eines Benutzerkontos können sich Benutzer an Computern und Domänen mit einer Identität anmelden, die von der Domäne authentifiziert werden kann. Jeder Benutzer, der sich im Netzwerk anmeldet, muss über ein eigenes, eindeutiges Benutzerkonto und Kennwort verfügen. Für eine maximale Sicherheit sollte vermieden werden, dass mehrere Benutzer ein Konto gemeinsam verwenden.

  • Zulassen bzw. Verweigern des Zugriffs auf Domänenressourcen

    Nachdem ein Benutzer authentifiziert wurde, wird ihm anhand der expliziten Berechtigungen, die diesem Benutzer für die Ressource zugewiesen werden, der Zugriff auf Domänenressourcen bewilligt oder verweigert.

Benutzerkonten

Der Container Benutzer im Active Directory-Verwaltungscenter enthält die folgenden drei vordefinierten Benutzerkonten: Administrator, Gast und Hilfeassistent. Diese vordefinierten Benutzerkonten werden automatisch erstellt, wenn Sie die Domäne erstellen.

Jedes vordefinierte Konto weist eine andere Kombination aus Rechten und Berechtigungen auf. Das Administratorkonto verfügt über die umfangreichsten Rechte und Berechtigungen für die Domäne. Das Gastkonto besitzt eingeschränkte Rechte und Berechtigungen. In der folgenden Tabelle werden die einzelnen Standardbenutzerkonten für Domänencontroller unter Windows Server 2008 R2 beschrieben.

Standardbenutzerkonto Beschreibung

Administrator

Das Administratorkonto verfügt über Vollzugriff auf die Domäne. Über dieses Konto können Domänenbenutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zugewiesen werden. Verwenden Sie dieses Konto nur für Aufgaben, für die Administratorberechtigungen erforderlich sind. Sie sollten dieses Konto mit einem sicheren Kennwort einrichten.

Das Administratorkonto ist Standardmitglied der folgenden Active Directory-Gruppen: Administratoren, Domänen-Admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer und Schema-Admins.

Das Administratorkonto kann in keinem Fall gelöscht oder aus der Gruppe Administratoren entfernt werden, es kann jedoch umbenannt oder deaktiviert werden. Da bekannt ist, dass das Administratorkonto in zahlreichen Versionen von Windows vorhanden ist, werden Zugriffsversuche von böswilligen Benutzern durch Umbenennen bzw. Deaktivieren dieses Kontos erschwert.

Das Administratorkonto ist das erste Konto, das beim Einrichten einer neuen Domäne mithilfe des Assistenten zum Installieren von Active Directory-Domänendiensten erstellt wird.

Wichtig

Auch wenn das Administratorkonto deaktiviert wird, kann es dennoch für den Zugriff auf einen Domänencontroller im abgesicherten Modus verwendet werden.

Gast

Personen, die kein Konto in der Domäne besitzen, können das Gastkonto verwenden. Benutzer, deren Konto deaktiviert (jedoch nicht gelöscht) ist, können ebenfalls das Gastkonto verwenden. Für das Gastkonto ist kein Kennwort erforderlich.

Sie können die Rechte und Berechtigungen für das Gastkonto wie für jedes andere Benutzerkonto festlegen. Standardmäßig ist das Gastkonto Mitglied der vordefinierten Gruppe Gäste sowie der globalen Gruppe Domänen-Gäste. Somit können sich die Benutzer an einer Domäne anmelden. Das Gastkonto ist standardmäßig deaktiviert, und es empfiehlt sich, das Konto deaktiviert zu lassen.

Hilfeassistent (wird mit einer Remoteunterstützungssitzung installiert)

Das Hilfeassistentkonto ist das primäre Konto zum Einrichten einer Remoteunterstützungssitzung. Dieses Konto wird automatisch erstellt, wenn eine Remoteunterstützungssitzung angefordert wird. Es verfügt über eingeschränkten Zugriff auf den Computer. Das Hilfeassistentkonto wird durch den Dienst des Sitzungs-Managers für Remotedesktophilfe verwaltet. Dieses Konto wird automatisch gelöscht, wenn keine Remoteunterstützungsanforderungen mehr ausstehen.

Sichern von Benutzerkonten

Wenn die Rechte und Berechtigungen vordefinierter Konten nicht durch einen Netzwerkadministrator geändert werden, können sie von einem böswilligen Benutzer (oder Dienst) verwendet werden, um sich mithilfe des Administratorkontos oder des Gastkontos unzulässig an einer Domäne anzumelden. Eine bewährte Sicherheitsmaßnahme zum Schutz dieser Konten besteht darin, sie umzubenennen oder zu deaktivieren. Da ein umbenanntes Benutzerkonto seine SID beibehält, behält es auch alle weiteren Eigenschaften bei (beispielsweise die Beschreibung, das Kennwort, Gruppenmitgliedschaften, das Benutzerprofil, Kontoinformationen sowie alle zugewiesenen Berechtigungen und Benutzerrechte).

Wenn Sie die Sicherheitsvorteile der Benutzerauthentifizierung und -autorisierung nutzen möchten, verwenden Sie das Active Directory-Verwaltungscenter, um ein einzelnes Benutzerkonto für jeden Benutzer zu erstellen, der Ihr Netzwerk verwendet. Sie können dann einer Gruppe die einzelnen Benutzerkonten hinzufügen (einschließlich des Administratorkontos und des Gastkontos), um die dem Konto zugewiesenen Rechte und Berechtigungen zu steuern. Wenn Sie über Konten und Gruppen verfügen, die für Ihr Netzwerk geeignet sind, stellen Sie sicher, dass Sie die Benutzer identifizieren können, die sich in Ihrem Netzwerk anmelden, und dass sie nur Zugriff auf die zugelassenen Ressourcen haben.

Sie können Ihre Domäne vor Angriffen schützen, indem Sie sichere Kennwörter erforderlich machen und Kontosperrungsrichtlinien implementieren. Mit sicheren Kennwörtern wird die Gefahr der intelligenten Kennwortermittlung und der Wörterbuchangriffe auf Kennwörter verringert. Mit Kontosperrungsrichtlinien wird die Gefahr verringert, dass die Domäne durch wiederholte Anmeldeversuche eines Angreifers gefährdet wird. Mit Kontosperrungsrichtlinien wird bestimmt, wie viele erfolglose Anmeldeversuche für ein Benutzerkonto ausgeführt werden können, bevor es deaktiviert wird.

InetOrgPerson-Konten

Die Active Directory-Domänendienste (AD DS) stellen Unterstützung für die InetOrgPerson-Objektklasse und die entsprechenden Attribute bereit, die in RFC 2798 (Request for Comments) definiert sind. Die InetOrgPerson-Objektklasse wird in verschiedenen Nicht-Microsoft-, LDAP- (Lightweight Directory Access-Protokoll) und X.500-Verzeichnisdiensten zum Darstellen von Personen in einer Organisation verwendet.

Durch die Unterstützung von InetOrgPerson wird die Migration aus anderen LDAP-Verzeichnissen zu den Active Directory-Domänendiensten effizienter. Ein InetOrgPerson-Objekt wird aus der user-Klasse abgeleitet. Es kann genau wie ein Objekt aus der user-Klasse als Sicherheitsprinzipal fungieren. Weitere Informationen zum Erstellen eines inetOrgPerson-Benutzerkontos finden Sie unter Erstellen eines neuen Benutzerkontos.

Wenn die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 festgelegt ist, können Sie das userPassword-Attribut für InetOrgPerson und Benutzerobjekte als effektives Kennwort festlegen. Genauso können Sie das unicodePwd-Attribut festlegen.

Weitere Verweise


Inhaltsverzeichnis