Az Active Directory felhasználói fiókok fizikai entitásokat, például személyeket jelölnek. A felhasználói fiókokat egyes alkalmazások esetében dedikált szolgáltatásfiókként is használhatja.
A felhasználói fiókokat rendszerbiztonsági tagoknak is hívják. A rendszerbiztonsági tagok olyan címtárobjektumok, amelyekhez automatikusan vannak rendelve tartományi erőforrások elérésére használható biztonsági azonosítók (SID-ek). A felhasználói fiókok elsődleges feladatai:
-
A felhasználók identitásának hitelesítése.
A felhasználói fiókok révén a felhasználók olyan identitással jelentkezhetnek be számítógépekre és tartományokra, amelyet a tartomány képes hitelesíteni. A hálózatra bejelentkező minden felhasználónak saját egyedi felhasználói fiókkal és jelszóval kell rendelkeznie. A legnagyobb biztonság érdekében több felhasználó ne használja ugyanazt a fiókot.
-
A tartományi erőforrásokhoz való hozzáférés engedélyezése és letiltása.
Egy felhasználó hitelesítése után a rendszer engedélyezi vagy letiltja az egyes tartományi előforrások elérését ama explicit engedélyek alapján, amelyek az adott erőforrásra vonatkozóan a felhasználóhoz vannak rendelve.
Felhasználói fiókok
Az Active Directory felügyeleti központ Felhasználók tárolója három beépített felhasználói fiókot tartalmaz: Rendszergazda, Vendég és Segítségnyújtó. Ezek a beépített felhasználói fiókok automatikusan jönnek létre a tartomány létrehozásakor.
Mindegyik beépített fiók jogok és engedélyek különböző kombinációját tartalmazza. A Rendszergazda fiók jogai és engedélyei a legkiterjedtebbek a tartományon belül. A Vendég fiók korlátozott jogokkal és engedélyekkel bír. A következő táblázat ismerteti a Windows Server 2008 R2 operációs rendszert futtató tartományvezérlőkön lévő alapértelmezett felhasználói fiókokat.
Alapértelmezett felhasználói fiók | Leírás | ||||
---|---|---|---|---|---|
Rendszergazda |
A Rendszergazda fiók teljes hozzáférést biztosít a tartományon. Szükség szerint felhasználói engedélyeket és hozzáférés-szabályozási engedélyeket rendelhet a tartomány felhasználóihoz. Javasoljuk, hogy ezt a fiókot csak rendszergazdai hitelesítő adatokat igénylő feladatokhoz használja. Ajánlott ezt a fiókot erős jelszóval ellátni. A Rendszergazda fiók a következő Active Directory-csoportok alapértelmezett tagja: Rendszergazdák, Tartományi rendszergazdák, Vállalati rendszergazdák, Csoportházirend-létrehozó tulajdonosok és Sémagazdák. A Rendszergazda fiók soha nem törölhető és nem távolítható el a Rendszergazdák csoportból, de átnevezhető és letiltható. Mivel a Rendszergazda fiók a Windows több verziójában megtalálható, a fiók átnevezésével vagy letiltásával a rosszindulatú felhasználók nehezebben férhetnek hozzá ahhoz. A Rendszergazda fiók az első létrejövő fiók, amikor az Active Directory tartományi szolgáltatások telepítővarázslójával új tartományt hoz létre.
| ||||
Vendég |
A tartományon valódi fiókkal nem rendelkező személyek használhatják a Vendég fiókot. A letiltott (de nem törölt) fiókkal rendelkező felhasználók is használhatják a Vendég fiókot. A Vendég fiókhoz nem kell jelszó. A Vendég fiók részére ugyanolyan jogok és engedélyek állíthatók be, mint bármely másik fiók esetében. Alapértelmezés szerint a Vendég fiók a beépített Vendégek csoport és a Tartományi vendégek globális csoport tagja, mely utóbbival a felhasználók egy tartományra jelentkezhetnek be. Alapértelmezés szerint a Vendég fiók le van tiltva, és ezt nem is ajánlott megváltoztatni. | ||||
Segítségnyújtó (Távsegítség-munkamenettel telepítve) |
A Segítségnyújtó fiók a Távsegítség-munkamenet létrehozásának elsődleges fiókja. Ez a fiók automatikusan jön létre Távsegítség-munkamenet kérésekor. Korlátozott hozzáférést biztosít a számítógéphez. A Segítségnyújtó fiókot a Távoli asztal súgó-munkamenetének kezelője szolgáltatás kezeli. A rendszer automatikusan törli ezt a fiókot, ha nincs várakozó távsegítségkérés. |
A felhasználói fiókok védelmének biztosítása
Ha a beépített fiókok jogait és engedélyeit egy hálózati rendszergazda nem módosítja, rosszindulatú felhasználók (vagy szolgáltatások) illetéktelenül bejelentkezhetnek egy tartományra a Rendszergazda vagy a Vendég fiókkal. Ezen fiókok biztonsága érdekében érdemes lehet átnevezni vagy letiltani őket. Mivel a biztonsági azonosító változatlan marad, az átnevezett felhasználói fiókok megőrzik minden más tulajdonságukat, így a leírásukat, a jelszavukat, a csoporttagságukat, felhasználói profiljaikat, fiókadataikat és bármely hozzájuk rendelt engedélyt és felhasználói jogosultságot.
A felhasználóhitelesítés és -engedélyezés előnyeinek kihasználásához az Active Directory felügyeleti központ használatával hozzon létre külön felhasználói fiókot a hálózat mindegyik felhasználója számára. Ezután mindegyik felhasználói fiókot (beleértve a Rendszergazda és a Vendég fiókot is) rendelje egy csoporthoz a fiókhoz rendelt engedélyek vezérléséhez. Azáltal, hogy a hálózat szempontjából megfelelő fiókokat és csoportokat tart fenn, biztosíthatja, hogy azonosítani tudja a hálózatra bejelentkező felhasználókat, és hogy azok csak az engedélyezett erőforrásokat érhetik el.
Erős jelszavak megkövetelésével és fiókzárolási házirend felállításával segíthet megvédeni a tartományt a támadóktól. Az erős jelszavak csökkentik a jelszavak intelligens kikövetkeztetésének és a szótáras támadásoknak a veszélyét. A fiókzárolási házirend csökkenti annak esélyét, hogy egy támadó egymást követő bejelentkezési kísérletekkel törjön be a tartományra. Fiókzárolási házirenddel meghatározható, hogy hány sikertelen bejelentkezési kísérlet után tiltsa le a rendszer a felhasználói fiókot.
InetOrgPerson fiókok
Az Active Directory tartományi szolgáltatások (AD DS) támogatja az InetOrgPerson objektumosztályt és az ahhoz társított attribútumokat (ezek leírása a 2798-as számú RFC-dokumentumban található). Az InetOrgPerson objektumosztály számos, nem a Microsoft által készített, az LDAP protokollon és az X.500 technológiákon alapuló címtárszolgáltatásban használatos a vállalatokban található személyek képviseletére.
Az InetOrgPerson osztály támogatásával hatékonyabbá válik az áttelepítés más LDAP-könyvtárakból az AD DS szolgáltatásba. Az InetOrgPerson objektumok a user osztályból erednek. Működhetnek rendszerbiztonsági tagként ugyanúgy, mint a user osztályból származó objektumok. Az inetOrgPerson felhasználói fiókok létrehozásáról az Új felhasználói fiók létrehozása című témakörben talál információt.
Ha a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2, akkor az InetOrgPerson és a felhasználói objektumok esetében beállíthatja érvényes jelszóként a userPassword attribútumot és a unicodePwd attribútumot is.