Az Active Directory felhasználói fiókok fizikai identitásokat, például személyeket jelölnek. A felhasználói fiókokat néhány alkalmazás esetében dedikált szolgáltatásfiókként is használhatja.
A felhasználói fiókokat rendszerbiztonsági tagoknak is hívják. A rendszerbiztonsági tagok olyan címtárobjektumok, amelyekhez automatikusan vannak rendelve tartományi erőforrások elérésére használható biztonsági azonosítók (SID-ek). A felhasználói fiókok elsődleges feladatai:
-
A felhasználók identitásának hitelesítése.
A felhasználói fiókokkal a felhasználók olyan identitással jelentkezhetnek be számítógépekre és tartományokra, amelyeket a tartomány képes hitelesíteni. A hálózatra bejelentkező minden felhasználónak saját egyedi felhasználói fiókkal és jelszóval kell rendelkeznie. A legnagyobb biztonság érdekében több felhasználó ne használja ugyanazt a fiókot.
-
A tartományi erőforrások elérését engedélyezi vagy tiltja le.
Egy felhasználó hitelesítése után a rendszer engedélyezi vagy letiltja a tartományi előforrások elérését a felhasználó számára az erőforráshoz rendelt explicit engedélyek alapján.
Felhasználói fiókok
Az Active Directory - felhasználók és számítógépek beépülő modul Felhasználók tárolója megjeleníti a három beépített felhasználói fiókot: Rendszergazda, Vendég és Segítségnyújtó. Ezek a beépített felhasználói fiókok automatikusan jönnek létre a tartomány létrehozásakor.
Mindegyik beépített fiók jogok és engedélyek különböző kombinációját tartalmazza. A Rendszergazda fiók jogai és engedélyei a legkiterjedtebbek a tartományon belül, míg a Vendég fiók korlátozott jogokkal és engedélyekkel bír. A következő táblázat ismerteti a Windows Server® 2008 R2 operációs rendszert futtató tartományvezérlőkön lévő alapértelmezett felhasználói fiókokat.
Alapértelmezett felhasználói fiók | Leírás | ||||
---|---|---|---|---|---|
Rendszergazda |
A Rendszergazda fiók teljes hozzáférést biztosít a tartományon. Szükség szerint felhasználói engedélyeket és hozzáférés-szabályozási engedélyeket rendelhet a tartomány felhasználóihoz. Ezt a fiókot csak rendszergazdai hitelesítő adatokat igénylő feladatokhoz használja. Ajánlott ezt a fiókot erős jelszóval ellátni. A Rendszergazda fiók a következő Active Directory-csoportok alapértelmezett tagja: Rendszergazdák, Tartományi rendszergazdák, Vállalati rendszergazdák, Csoportházirend-létrehozó tulajdonosok és Sémagazdák. A Rendszergazda fiók soha nem törölhető és nem távolítható el a Rendszergazdák csoportból, de átnevezhető és letiltható. Mivel a Rendszergazda fiók a Windows több verziójában megtalálható, a fiók átnevezésével vagy letiltásával a rosszindulatú felhasználók nehezebben férhetnek hozzá ahhoz. A Rendszergazda fiók az első létrejövő fiók, amikor az Active Directory tartományi szolgáltatások telepítési varázslójával új tartományt hoz létre.
| ||||
Vendég |
A tartományon valódi fiókkal nem rendelkező személyek használhatják a Vendég fiókot. A letiltott (de nem törölt) fiókkal rendelkező felhasználók is használhatják a Vendég fiókot. A Vendég fiókhoz nem kell jelszó. A Vendég fiók részére ugyanolyan jogok és engedélyek állíthatók be, mint bármely másik fiók esetében. Alapértelmezés szerint a Vendég fiók a beépített Vendég csoport és Tartományi vendégek globális csoport tagja, amellyel a felhasználók egy tartományra jelentkezhetnek be. Alapértelmezés szerint a Vendég fiók le van tiltva, és ezt nem is ajánlott megváltoztatni. | ||||
Segítségnyújtó (Távsegítség-munkamenettel telepítve) |
A Távsegítség-munkamenet létrehozásának elsődleges fiókja. Ez a fiók automatikusan jön létre Távsegítség-munkamenet kérésekor. Korlátozott hozzáférést biztosít a számítógéphez. A Segítségnyújtó fiókot a Távoli asztal súgó-munkamenetének kezelője szolgáltatás kezeli. A rendszer automatikusan törli ezt a fiókot, ha nem várakozik távsegítségre vonatkozó kérés. |
Felhasználói fiókok biztosítása
Ha a beépített fiók jogait és engedélyeit egy hálózati rendszergazda nem módosítja vagy tiltja le, rosszindulatú felhasználók (vagy szolgáltatások) illegálisan bejelentkezhetnek egy tartományra a Rendszergazda vagy a Vendég fiókkal. Ezen fiókok biztonsága érdekében átnevezheti vagy letilthatja őket. Mivel a biztonsági azonosító megmarad, az átnevezett felhasználói fiókok megőrzik összes más tulajdonságukat, például a leírásukat, a jelszavukat, a csoporttagságukat, a felhasználói profilokat, a fiókinformációkat és bármely hozzárendelt engedélyt és felhasználói jogosultságot.
A felhasználói hitelesítés és felhatalmazás előnyeinek kihasználásához az Active Directory – felhasználók és számítógépek modullal hozzon létre egy-egy felhasználói fiókot a hálózat összes felhasználója számára. Ezután mindegyik felhasználói fiókot (beleértve a Rendszergazda és a Vendég fiókot is) rendelje egy csoporthoz a fiókhoz rendelt engedélyek vezérléséhez. Ha a hálózat szempontjából megfelelő fiókokkal és csoportokkal rendelkezik, biztosítja, hogy azonosítani tudja a hálózatra bejelentkező felhasználókat, és hogy azok csak az engedélyezett erőforrásokat érhetik el.
Erős jelszavak megkövetelésével és fiókzárolási házirend felállításával segíthet megvédeni a tartományt a támadóktól. Az erős jelszavak csökkentik a jelszavak intelligens kikövetkeztetésének és a szótáras támadásoknak a veszélyét. A fiókzárolási házirend csökkenti annak esélyét, hogy egy támadó egymást követő bejelentkezési kísérletekkel törjön be a tartományra. A fiókzárolási házirend meghatározza, hány sikertelen bejelentkezési kísérlet után tiltja le a rendszer a felhasználói fiókot.
Fiókbeállítások
Mindegyik Active Directory-felhasználóifiók rendelkezik néhány fiókbeállítással, amelyek az adott felhasználói fiókkal bejelentkező felhasználó hitelesítésének módját határozzák meg a hálózaton. A következő táblázatban szereplő beállításokkal konfigurálhatja a felhasználói fiókok jelszóbeállításait és biztonsággal kapcsolatos adatait.
Fiókbeállítás | Leírás |
---|---|
A következő bejelentkezéskor meg kell változtatni a jelszót |
A felhasználót a jelszó módosítására kényszeríti a hálózatra történő következő bejelentkezéskor. Engedélyezze ezt a beállítást, ha biztosítani kívánja, hogy csak a felhasználó ismerje a jelszót. |
A jelszót nem lehet megváltoztatni |
Megakadályozza, hogy a felhasználók módosítsák a jelszavukat. Engedélyezze ezt a beállítást, ha meg kívánja őrizni a felhasználói fiókok (például a Vendég fiók vagy az ideiglenes fiókok) feletti vezérlést. |
A jelszó soha nem jár le |
Meggátolja, hogy a felhasználói jelszavak lejárjanak. Ajánlott, hogy a szolgáltatásfiókoknál ez a beállítás engedélyezve legyen, és azok erős jelszavakat használjanak. |
A jelszavak tárolása visszafejthető titkosítással |
Engedélyezésével a felhasználók Apple-számítógépekről jelentkezhetnek be egy Windows-hálózatra. Ha a felhasználó nem Apple-számítógépről jelentkezik be, ne engedélyezze ezt a beállítást. |
A fiók le van tiltva |
Megakadályozza, hogy egy felhasználó a kijelölt fiókkal jelentkezzen be. Sok rendszergazda használ letiltott fiókot az általános felhasználói fiókok sablonjaként. |
Az interaktív bejelentkezéshez intelligens kártya szükséges |
Engedélyezésével csak intelligens kártyával rendelkező felhasználók jelentkezhetnek be a hálózatra interaktívan. A felhasználó számítógépéhez egy intelligenskártya-olvasót kell csatlakoztatni, és a felhasználónak rendelkeznie kell az intelligens kártyához egy érvényes személyes azonosítószámmal (PIN-kód). Ha engedélyezi ezt a beállítást, a felhasználói fiók jelszavát a rendszer automatikusan beállítja egy véletlenszerű és összetett értékre, és engedélyezi A jelszó soha nem jár le fiókbeállítást. |
A fiók megbízható delegálásra |
Lehetővé teszi, hogy egy, a jelen fiók alatt futó szolgáltatás a hálózaton lévő más felhasználói fiókokat megszemélyesítve végezzen műveleteket. A delegálásra megbízott felhasználói fiók (más néven szolgáltatásfiók) alatt futó szolgáltatás megszemélyesíthet ügyfeleket a szolgáltatást futtató számítógépen vagy más számítógépeken lévő erőforrások elérése során. A Windows Server 2008 R2 működési szintre állított erdőben ez a beállítás a Delegálás lapon szerepel. Csak egyszerű szolgáltatásnévvel (SPN) rendelkező (a Windows Server 2008 R2 rendszerben a setspn paranccsal beállított) fiókokon érhető el. (Nyisson meg egy parancsablakot, majd írja be a setspn kifejezést.) Ez biztonsági szempontból kényes lehetőség, ezért körültekintően használja. Ez a beállítás csak a Windows Server 2008 R2 rendszert futtató tartományvezérlőkön érhető el, ahol a tartomány működési szintje Windows® 2000 - vegyes vagy Windows 2000 - natív. A Windows Server 2008 és a Windows Server 2008 R2 rendszert futtató tartományvezérlőkön, ahol a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2 erdő működési szint, a felhasználói tulajdonságokat tartalmazó párbeszédpanel Delegálás lapján konfigurálhatja a delegálás beállításait. A Delegálás lap csak SPN-névvel rendelkező fiókoknál jelenik meg. |
A fiók bizalmas és nem delegálható |
Akkor használja ezt a beállítást, ha a fiók (például a Vendég vagy egy ideiglenes fiók) nem delegálható egy másik fiókhoz. |
DES titkosítástípusok használata a fiókhoz |
Támogatás a Data Encryption Standard (DES) titkosítástípushoz. A DES a titkosítás több szintjét támogatja, beleértve a Microsoft Point-to-Point (MPPE) szabványos 40 bites, az MPPE szabványos 56 bites, az MPPE erős 128 bites, az IP-biztonság (IPsec) DES 40 bites, az IPsec 56 bites DES és az IPsec 3DES titkosítást is. |
Nincs szükség Kerberos-előhitelesítésre |
A Kerberos protokoll alternatív implementációinak támogatása. Körültekintően engedélyezze ezt a beállítást, mert a Kerberos-előhitelesítés további biztonságot nyújt, és időszinkronizálást igényel az ügyfél és a kiszolgáló között. |
InetOrgPerson fiókok
Az Active Directory tartományi szolgáltatások (AD DS) támogatják az InetOrgPerson objektumosztályt és annak társított attribútumait (ezek leírása a 2798 számú RFC-dokumentumban található). Az InetOrgPerson objektumosztály számos, nem a Microsoft által készített, az LDAP protokollon és az X.500 technológiákon alapuló címtárszolgáltatásban használatos a vállalatokban található személyek ábrázolására.
Az InetOrgPerson támogatásával hatékonyabbá válik az áttelepítés más LDAP-könyvtárakból egy AD DS-tárba. Az InetOrgPerson objektum a felhasználói osztályból ered. Ugyanúgy szerepelhet rendszerbiztonsági tagként, mint a felhasználói osztály. Az inetOrgPerson felhasználói fiókok létrehozásáról információt az Új felhasználói fiók létrehozása című témakörben talál.
Ha a tartomány működési szintje Windows Server 2008 vagy Windows Server 2008 R2, akkor az InetOrgPerson és a felhasználói objektumok esetében beállíthatja érvényes jelszóként a userPassword attribútumot és a unicodePwd attribútumot is.