A felhasználói fiókok ismertetése

Az Active Directory felügyeleti központ Felhasználók tárolója három beépített felhasználói fiókot tartalmaz: Rendszergazda, Vendég és Segítségnyújtó. Ezek a beépített felhasználói fiókok automatikusan jönnek létre a tartomány létrehozásakor.

Mindegyik beépített fiók jogok és engedélyek különböző kombinációját tartalmazza. A Rendszergazda fiók jogai és engedélyei a legkiterjedtebbek a tartományon belül. A Vendég fiók korlátozott jogokkal és engedélyekkel bír. A következő táblázat ismerteti a Windows Server 2008 R2 operációs rendszert futtató tartományvezérlőkön lévő alapértelmezett felhasználói fiókokat.

Alapértelmezett felhasználói fiók	Leírás
Rendszergazda	A Rendszergazda fiók teljes hozzáférést biztosít a tartományon. Szükség szerint felhasználói engedélyeket és hozzáférés-szabályozási engedélyeket rendelhet a tartomány felhasználóihoz. Javasoljuk, hogy ezt a fiókot csak rendszergazdai hitelesítő adatokat igénylő feladatokhoz használja. Ajánlott ezt a fiókot erős jelszóval ellátni. A Rendszergazda fiók a következő Active Directory-csoportok alapértelmezett tagja: Rendszergazdák, Tartományi rendszergazdák, Vállalati rendszergazdák, Csoportházirend-létrehozó tulajdonosok és Sémagazdák. A Rendszergazda fiók soha nem törölhető és nem távolítható el a Rendszergazdák csoportból, de átnevezhető és letiltható. Mivel a Rendszergazda fiók a Windows több verziójában megtalálható, a fiók átnevezésével vagy letiltásával a rosszindulatú felhasználók nehezebben férhetnek hozzá ahhoz. A Rendszergazda fiók az első létrejövő fiók, amikor az Active Directory tartományi szolgáltatások telepítővarázslójával új tartományt hoz létre. Fontos! Amikor a Rendszergazda fiók le van tiltva, tartományvezérlő csökkentett módban történő eléréséhez továbbra is használható.
Vendég	A tartományon valódi fiókkal nem rendelkező személyek használhatják a Vendég fiókot. A letiltott (de nem törölt) fiókkal rendelkező felhasználók is használhatják a Vendég fiókot. A Vendég fiókhoz nem kell jelszó. A Vendég fiók részére ugyanolyan jogok és engedélyek állíthatók be, mint bármely másik fiók esetében. Alapértelmezés szerint a Vendég fiók a beépített Vendégek csoport és a Tartományi vendégek globális csoport tagja, mely utóbbival a felhasználók egy tartományra jelentkezhetnek be. Alapértelmezés szerint a Vendég fiók le van tiltva, és ezt nem is ajánlott megváltoztatni.
Segítségnyújtó (Távsegítség-munkamenettel telepítve)	A Segítségnyújtó fiók a Távsegítség-munkamenet létrehozásának elsődleges fiókja. Ez a fiók automatikusan jön létre Távsegítség-munkamenet kérésekor. Korlátozott hozzáférést biztosít a számítógéphez. A Segítségnyújtó fiókot a Távoli asztal súgó-munkamenetének kezelője szolgáltatás kezeli. A rendszer automatikusan törli ezt a fiókot, ha nincs várakozó távsegítségkérés.

Ha a beépített fiókok jogait és engedélyeit egy hálózati rendszergazda nem módosítja, rosszindulatú felhasználók (vagy szolgáltatások) illetéktelenül bejelentkezhetnek egy tartományra a Rendszergazda vagy a Vendég fiókkal. Ezen fiókok biztonsága érdekében érdemes lehet átnevezni vagy letiltani őket. Mivel a biztonsági azonosító változatlan marad, az átnevezett felhasználói fiókok megőrzik minden más tulajdonságukat, így a leírásukat, a jelszavukat, a csoporttagságukat, felhasználói profiljaikat, fiókadataikat és bármely hozzájuk rendelt engedélyt és felhasználói jogosultságot.

A felhasználóhitelesítés és -engedélyezés előnyeinek kihasználásához az Active Directory felügyeleti központ használatával hozzon létre külön felhasználói fiókot a hálózat mindegyik felhasználója számára. Ezután mindegyik felhasználói fiókot (beleértve a Rendszergazda és a Vendég fiókot is) rendelje egy csoporthoz a fiókhoz rendelt engedélyek vezérléséhez. Azáltal, hogy a hálózat szempontjából megfelelő fiókokat és csoportokat tart fenn, biztosíthatja, hogy azonosítani tudja a hálózatra bejelentkező felhasználókat, és hogy azok csak az engedélyezett erőforrásokat érhetik el.

Erős jelszavak megkövetelésével és fiókzárolási házirend felállításával segíthet megvédeni a tartományt a támadóktól. Az erős jelszavak csökkentik a jelszavak intelligens kikövetkeztetésének és a szótáras támadásoknak a veszélyét. A fiókzárolási házirend csökkenti annak esélyét, hogy egy támadó egymást követő bejelentkezési kísérletekkel törjön be a tartományra. Fiókzárolási házirenddel meghatározható, hogy hány sikertelen bejelentkezési kísérlet után tiltsa le a rendszer a felhasználói fiókot.

Az Active Directory tartományi szolgáltatások (AD DS) támogatja az InetOrgPerson objektumosztályt és az ahhoz társított attribútumokat (ezek leírása a 2798-as számú RFC-dokumentumban található). Az InetOrgPerson objektumosztály számos, nem a Microsoft által készített, az LDAP protokollon és az X.500 technológiákon alapuló címtárszolgáltatásban használatos a vállalatokban található személyek képviseletére.

Az InetOrgPerson osztály támogatásával hatékonyabbá válik az áttelepítés más LDAP-könyvtárakból az AD DS szolgáltatásba. Az InetOrgPerson objektumok a user osztályból erednek. Működhetnek rendszerbiztonsági tagként ugyanúgy, mint a user osztályból származó objektumok. Az inetOrgPerson felhasználói fiókok létrehozásáról az Új felhasználói fiók létrehozása című témakörben talál információt.

Ha a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2, akkor az InetOrgPerson és a felhasználói objektumok esetében beállíthatja érvényes jelszóként a userPassword attribútumot és a unicodePwd attribútumot is.

• Felhasználók kezelése