Gli account utente di Active Directory rappresentano entità fisiche, come le persone. È inoltre possibile utilizzare gli account utente come account di servizio dedicati per alcune applicazioni.
Gli account utente sono inoltre noti come entità di sicurezza, ovvero oggetti di directory a cui vengono assegnati automaticamente identificatori di sicurezza (SID) e utilizzabili per l'accesso alle risorse di dominio. Le funzioni principali di un account utente sono le seguenti:
-
Autenticazione dell'identità di un utente.
Un account utente consente a un utente di accedere a computer e domini con un'identità autenticabile dal dominio. Per ogni utente che accede alla rete deve esistere un account utente univoco con relativa password. Per ottenere la massima sicurezza, è consigliabile evitare che più utenti condividano lo stesso account.
-
Autorizzazione o negazione dell'accesso alle risorse di dominio.
Dopo l'autenticazione, all'utente viene concesso o negato l'accesso alle risorse di dominio in base alle autorizzazioni esplicite assegnate a tale utente per ogni risorsa.
Account utente
Nel contenitore Utenti dello snap-in Utenti e computer di Active Directory vengono visualizzati i tre account utente predefiniti Administrator, Guest e HelpAssistant. Questi account utente predefiniti vengono creati automaticamente quando si crea il dominio.
A ogni account utente predefinito è assegnata una diversa combinazione di diritti e autorizzazioni. L'account Administrator dispone del gruppo più esteso di diritti e autorizzazioni per il dominio, mentre l'account Guest dispone di diritti e autorizzazioni limitati. Nella tabella seguente vengono descritti gli account utente predefiniti disponibili nei controller di dominio che eseguono il sistema operativo Windows Server® 2008 R2.
Account utente predefinito | Descrizione | ||||
---|---|---|---|---|---|
Administrator |
L'account Administrator dispone del controllo completo del dominio e può assegnare diritti utente e autorizzazioni di controllo di accesso agli utenti del dominio, in base alle specifiche esigenze. Questo account deve essere utilizzato solo per le attività che richiedono credenziali amministrative. È consigliabile configurare l'account con una password complessa. L'account Administrator è un membro predefinito dei gruppi di Active Directory seguenti: Administrators, Domain Admins, Enterprise Admins, Proprietari autori criteri di gruppo e Schema Admins. L'account Administrator non può essere mai eliminato o rimosso dal gruppo Administrators, ma può essere rinominato o disabilitato. Poiché è noto che l'account Administrator esiste in molte versioni di Windows, la ridenominazione o la disabilitazione di questo account renderà più difficili i tentativi di accesso degli utenti non autorizzati. L'account Administrator è il primo account creato quando si configura un nuovo dominio tramite l'Installazione guidata Servizi di dominio Active Directory.
| ||||
Guest |
Gli utenti che non dispongono di un account specifico nel dominio possono utilizzare l'account Guest. L'account Guest può essere utilizzato anche dagli utenti per i quali è stato disabilitato, ma non eliminato, l'account utente. L'account Guest non richiede una password. È possibile impostare diritti e autorizzazioni per l'account Guest come per qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un membro del gruppo predefinito Guests e del gruppo globale Domain Guests che consente a un utente di accedere a un dominio. L'account Guest è disabilitato per impostazione predefinita ed è consigliabile non abilitarlo. | ||||
HelpAssistant (installato con una sessione di Assistenza remota) |
Account principale per l'attivazione di una sessione di Assistenza remota. Questo account viene creato automaticamente quando si richiede una sessione di Assistenza remota e dispone di accesso limitato al computer. L'account HelpAssistant viene gestito dal servizio Gestione sessione di assistenza mediante desktop remoto e viene eliminato automaticamente se non sono presenti richieste di Assistenza remota in sospeso. |
Proteggere gli account utente
Se i diritti e le autorizzazioni per gli account predefiniti non vengono modificati o disabilitati da un amministratore di rete, potrebbero essere utilizzati da un utente (o un servizio) per finalità dannose allo scopo di ottenere l'accesso non autorizzato a un dominio tramite l'account Administrator o Guest. Per proteggere questi account è buona norma rinominarli o disabilitarli. Un account utente rinominato mantiene il proprio SID e conserva quindi tutte le altre proprietà, quali la descrizione, la password, le appartenenze ai gruppi, il profilo utente, le informazioni sull'account e tutte le autorizzazioni e i diritti utente assegnati.
Per ottenere i vantaggi a livello di sicurezza offerti dall'autenticazione e dalle autorizzazioni per gli utenti, è consigliabile utilizzare Utenti e computer di Active Directory per creare un singolo account utente per ogni utente che partecipa alla rete. Sarà quindi possibile aggiungere ogni account utente, inclusi gli account Administrator e Guest, a un gruppo per controllare i diritti e le autorizzazioni assegnate all'account. La configurazione degli account e dei gruppi appropriati per la rete consente di garantire la possibilità di identificare gli utenti che accedono alla rete e di assicurarsi che possano accedere solo alle risorse consentite.
È possibile proteggere il dominio da attacchi richiedendo password complesse e implementando un criterio di blocco account. Le password complesse riducono i rischi di attacchi con dizionario o altri sistemi intelligenti per indovinare le password. Un criterio di blocco account consente di ridurre le probabilità che un pirata informatico riesca a violare il dominio attraverso ripetuti tentativi di accesso. Con un criterio di blocco account è infatti possibile stabilire il numero di tentativi di accesso non riusciti consentiti per un account utente prima che venga disabilitato.
Opzioni per gli account
Per ogni account utente di Active Directory è possibile configurare numerose opzioni che consentono di stabilire la modalità di autenticazione in rete per ogni utente che utilizza un particolare account. È possibile utilizzare le opzioni nella tabella seguente per configurare le impostazioni relative alla password e le informazioni specifiche della sicurezza per gli account utente.
Opzione | Descrizione |
---|---|
Cambiamento obbligatorio password all'accesso successivo |
Impone il cambiamento della password in occasione del successivo accesso dell'utente alla rete. Selezionare questa opzione per assicurarsi che l'utente sia l'unica persona a conoscenza della password. |
Cambiamento password non consentito |
Impedisce a un utente di cambiare la sua password. Selezionare questa opzione se si desidera mantenere il controllo su un account utente, come nel caso dell'account Guest o di un account temporaneo. |
Nessuna scadenza password |
Non imposta alcuna scadenza per una password utente. È consigliabile selezionare questa opzione e utilizzare password complesse per gli account di servizio. |
Archivia password mediante crittografia reversibile |
Consente a un utente di accedere a una rete di Windows da computer Apple. Non selezionare questa opzione per utenti che non eseguono l'accesso da un computer Apple. |
Account disabilitato |
Impedisce a un utente di eseguire l'accesso con l'account selezionato. Molti amministratori utilizzano account disabilitati come modelli per gli account utente comuni. |
Per l'accesso interattivo occorre una smart card |
Richiede l'utilizzo di una smart card per l'accesso interattivo alla rete. L'utente dovrà inoltre disporre di un lettore di smart card collegato al computer e di un PIN valido per la smart card. Se si seleziona questa opzione, la password per l'account utente viene impostata automaticamente su un valore casuale e complesso e viene impostata l'opzione Nessuna scadenza password. |
L'account è trusted per delega |
Consente a un servizio eseguito con questo account di eseguire operazioni per conto di altri account utente nella rete. Un servizio in esecuzione con un account utente (noto anche come account di servizio) trusted per delega può rappresentare un client per ottenere l'accesso a risorse nel computer in cui è in esecuzione il servizio o a risorse in altri computer. In una foresta impostata sul livello di funzionalità Windows Server 2008 R2 questa opzione è disponibile nella scheda Delega. L'opzione è disponibile solo per gli account a cui sono stati assegnati nomi principali di servizio (SPN), impostati con il comando setspn in Windows Server 2008 R2 Aprire una finestra del prompt dei comandi e quindi digitare setspn. Questa funzionalità influisce sulla sicurezza ed è pertanto consigliabile assegnarla con cautela. Questa opzione è disponibile solo nei controller di dominio che eseguono Windows Server 2008 R2 in cui il livello di funzionalità del dominio è impostato su Windows 2000 misto o Windows 2000 originale. Nei controller di dominio che eseguono Windows Server 2008 e Windows Server 2008 R2 in cui il livello di funzionalità del dominio è impostato sul livello di funzionalità della foresta Windows Server 2008 o Windows Server 2008 R2 utilizzare la scheda Delega della finestra di dialogo delle proprietà dell'utente per configurare le impostazioni di delega. La scheda Delega viene visualizzata solo per gli account a cui è assegnato un SPN. |
L'account è sensibile e non può essere delegato |
È possibile utilizzare questa opzione nei casi in cui un account, ad esempio l'account Guest o un account temporaneo, non può essere assegnato per delega da un altro account. |
Utilizza crittografia DES per questo account |
Attiva il supporto della crittografia DES (Data Encryption Standard). DES supporta vari livelli di crittografia, tra i quali Microsoft Point-to-Point Encryption (MPPE) standard a 40 bit, MPPE standard a 56 bit, MPPE avanzata a 128 bit, IPSec a 40 bit DES, IPSec a 56 bit DES e IPSec Triple DES (3DES). |
Non richiedere l'autenticazione preliminare Kerberos |
Attiva il supporto per implementazioni alternative del protocollo Kerberos. Selezionare questa opzione con cautela, tuttavia, perché l'autenticazione preliminare Kerberos implementa un livello di sicurezza aggiuntivo e richiede la sincronizzazione dell'ora tra il client e il server. |
Account InetOrgPerson
Servizi di dominio Active Directory supporta la classe di oggetti InetOrgPerson e gli attributi associati, in base a quanto specificato nel documento RFC (Request for Comments) 2798. La classe di oggetti InetOrgPerson è utilizzata in vari servizi di directory non Microsoft LDAP (Lightweight Directory Access Protocol) e X.500 per rappresentare le persone in un'organizzazione.
Il supporto della classe InetOrgPerson consente di rendere più efficiente la migrazione da altre directory LDAP a Servizi di dominio Active Directory. L'oggetto InetOrgPerson deriva dalla classe user e può essere utilizzato come entità di sicurezza proprio come la classe user. Per informazioni sulla creazione di un account utente InetOrgPerson, vedere Creare un nuovo account utente.
Se il livello di funzionalità del dominio è impostato su Windows Server 2008 o Windows Server 2008 R2, è possibile impostare l'attributo userPassword per InetOrgPerson e gli oggetti utente come password effettiva, come nel caso dell'attributo unicodePwd.