Active Directory-gebruikersaccounts representeren fysieke entiteiten, zoals mensen. U kunt gebruikersaccounts ook als specifieke serviceaccounts voor sommige toepassingen gebruiken.

Gebruikersaccounts worden ook wel beveiligings-principals genoemd. Beveiligings-principals zijn directory-objecten die automatisch SID's (security identifiers) krijgen toegewezen, die gebruikt kunnen worden voor toegang tot domeinbronnen. Een gebruikersaccount wordt als volgt gebruikt:

  • Verificatie van de identiteit van een gebruiker

    Met behulp van een gebruikersaccount kan een gebruiker zich bij computers en domeinen aanmelden met een identiteit die het domein kan verifiëren. Iedere gebruiker die zich bij het netwerk aanmeldt, moet zijn of haar eigen, unieke gebruikersaccount en wachtwoord hebben. Voor optimale beveiliging kunt u het beste voorkomen dat meerdere gebruikers een account delen.

  • Toegang tot domeinbronnen verlenen of weigeren

    Nadat een gebruiker is geverifieerd, wordt hem of haar toegang tot domeinbronnen verleend of geweigerd op basis van de expliciete machtigingen die aan die gebruiker voor de bron zijn toegewezen.

Gebruikersaccounts

De container Gebruikers in het Beheerderscentrum voor Active Directory bevat drie ingebouwde gebruikersaccounts: Administrator, Gast en HelpAssistant. Deze ingebouwde gebruikersaccounts worden automatisch gemaakt wanneer u het domein maakt.

Elk ingebouwd account heeft een andere combinatie van rechten en machtigingen. Het account Administrator heeft de uitgebreidste rechten en machtigingen voor het domein. Het account Gast heeft beperkte rechten en machtigingen. In de volgende tabel wordt elk standaardgebruikersaccount op domeincontrollers met Windows Server 2008 R2 beschreven.

Standaardgebruikersaccount Omschrijving

Administrator

Het Administrator-account heeft volledig beheer over het domein. Het account kan gebruikersrechten en toegangsmachtigingen waar vereist aan domeingebruikers toewijzen. Dit account is alleen bestemd voor taken waarvoor administratorreferenties vereist zijn. Het is aan te bevelen om dit account met een sterk wachtwoord in te stellen.

Het Administrator-account is een standaardlid van de volgende Active Directory-groepen: Administrators, Domeinadministrators, Ondernemingsadministrators, Maker Eigenaar Groepsbeleid en Schema-administrators.

Het account Administrator kan nooit uit de groep Administrators worden verwijderd, maar u kunt de naam van het account wel wijzigen of het account uitschakelen. Aangezien het Administrator-account in vele Windows-versies voorkomt, krijgen kwaadwillende gebruikers moeilijker toegang tot het account als u dit account een nieuwe naam geeft of het account uitschakelt.

Het Administrator-account wordt als eerste account gemaakt wanneer u een nieuw domein instelt met behulp van de installatiewizard Active Directory Domain Services.

Belangrijk

Zelfs als het Administrator-account is uitgeschakeld, kunt u met dit account nog steeds toegang tot een domeincontroller krijgen door de optie Veilige modus te kiezen.

Gast

Gebruikers die geen echt account in het domein hebben, kunnen het Gast-account gebruiken. Gebruikers van wie het account is uitgeschakeld (maar niet verwijderd), kunnen ook gebruikmaken van het Gast-account. Voor het gebruik van het Gast-account is geen wachtwoord vereist.

De rechten en machtigingen voor het account Gast kunt u op dezelfde manier instellen als voor gewone gebruikersaccounts. Standaard is het gastaccount lid van de ingebouwde groep Gasten en de globale groep Domeingasten, waardoor een gebruiker zich bij een domein kan aanmelden. Het gastaccount is standaard uitgeschakeld, en het is raadzaam dit account niet in te schakelen.

HelpAssistant (geïnstalleerd bij een Hulp op Afstand-sessie)

Het account HelpAssistant is het belangrijkste account voor het starten van een Hulp op afstand-sessie. Dit account wordt automatisch gemaakt wanneer u een Hulp op afstand-sessie aanvraagt, en biedt beperkte toegang tot de computer. Het account HelpAssistant wordt beheerd door de service Helpsessiebeheer voor Extern bureaublad. Dit account wordt automatisch verwijderd als er geen aanvragen voor Hulp op afstand in behandeling zijn.

Gebruikersaccounts beveiligen

Als een netwerkbeheer de rechten en machtigingen van ingebouwde accounts niet wijzigt, kan een kwaadwillende gebruiker of service zich met die rechten en machtigingen via het Administrator- of Gast-account bij een domein aanmelden. Een goede manier om deze accounts te beveiligen is ze een nieuwe naam te geven of ze uit te schakelen. Aangezien de beveiligings-id (SID) van het account met de gewijzigde naam ongewijzigd blijft, behoudt het gebruikersaccount alle andere eigenschappen, zoals beschrijving, wachtwoord, groepslidmaatschappen, gebruikersprofiel, accountgegevens en eventuele toegewezen machtigingen en gebruikersrechten.

Teneinde de beveiligingsvoordelen van gebruikersverificatie en -autorisatie te benutten, maakt u via het Beheerderscentrum voor Active Directory een individueel gebruikersaccount voor iedere gebruiker die zich bij uw netwerk zal aanmelden. U kunt elk gebruikersaccount, inclusief het Administrator- en Gast-account, vervolgens aan een groep toevoegen om de rechten en machtigingen te bepalen die aan het account worden toegewezen. Wanneer u de juiste accounts en groepen voor uw netwerk hebt gemaakt, zorgt u ervoor dat u gebruikers die zich bij uw netwerk aanmelden, kunt identificeren, en dat ze alleen toegang tot de toegestane bronnen hebben.

U kunt uw domein tegen aanvallen beschermen door sterke wachtwoorden te vereisen en een accountvergrendelingsbeleid te implementeren. Sterke wachtwoorden verminderen het risico op het intelligent raden naar wachtwoorden en woordenlijstaanvallen op wachtwoorden. Een accountvergrendelingsbeleid verkleint de mogelijkheid dat een indringer uw domein in gevaar brengt door herhaalde aanmeldingspogingen. Een dergelijk beleid bepaalt hoeveel mislukte aanmeldingspogingen bij een gebruikersaccount zijn toegestaan voordat het account wordt uitgeschakeld.

InetOrgPerson-accounts

AD DS (Active Directory Domain Services) biedt ondersteuning voor de InetOrgPerson-objectklasse en de bijbehorende kenmerken die in Request for Comments (RFC) 2798 zijn gedefinieerd. De InetOrgPerson-objectklasse wordt in verschillende niet-Microsoft-, LDAP- (Lightweight Directory Access Protocol) en X.500-directoryservices gebruikt om medewerkers in een organisatie te vertegenwoordigen.

Ondersteuning voor InetOrgPerson zorgt voor een efficiëntere migratie van andere LDAP-directory's naar AD DS. Het InetOrgPerson-object wordt opgehaald uit de user-klasse, en kan net als een object uit de user-klasse als een beveiligings-principal fungeren. Zie Nieuwe gebruikersaccounts maken voor meer informatie als u een inetOrgPerson-gebruikersaccount wilt maken.

Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2008 of Windows Server 2008 R2, kunt u het kenmerk userPassword op InetOrgPerson instellen en gebruikersobjecten instellen als het effectieve wachtwoord, net als met het kenmerk unicodePwd.

Aanvullende naslaginformatie


Inhoudsopgave