Konta użytkowników usługi Active Directory reprezentują jednostki fizyczne, takie jak osoby. Mogą również pełnić funkcję dedykowanych kont usług dla niektórych aplikacji.

Konta użytkowników są także nazywane podmiotami zabezpieczeń. Podmioty zabezpieczeń to obiekty katalogu, którym są automatycznie przypisywane identyfikatory zabezpieczeń (SID) umożliwiające uzyskanie dostępu do zasobów domeny. Główne funkcje konta użytkownika:

  • Uwierzytelnianie tożsamości użytkownika.

    Konto użytkownika umożliwia logowanie się na komputerach oraz logowanie się do domen przy użyciu tożsamości, która może być uwierzytelniona przez domenę. Każdy użytkownik logujący się do sieci powinien mieć własne, unikatowe konto użytkownika oraz hasło. Aby zapewnić maksymalne bezpieczeństwo, należy unikać sytuacji, w których wielu użytkowników korzysta z jednego konta.

  • Przyznawanie lub odmawianie dostępu do zasobów domeny.

    Po uwierzytelnieniu użytkownika jest mu przyznawany dostęp do zasobów domeny (lub następuje odmowa dostępu) na postawie jawnych uprawnień przypisanych temu użytkownikowi dla danych zasobów.

Konta użytkowników

Kontener Użytkownicy, który znajduje się w Centrum administracyjnym usługi Active Directory, zawiera trzy wbudowane konta użytkowników: Administrator, Gość i Pomocnik. Te wbudowane konta użytkowników są tworzone automatycznie podczas tworzenia domeny.

Każde konto wbudowane ma inną kombinację praw i uprawnień. Konto Administrator ma najszersze prawa i uprawnienia w domenie. W przypadku konta Gość prawa i uprawnienia są ograniczone. W poniższej tabeli opisano wszystkie domyślne konta użytkowników na kontrolerach domeny z systemem operacyjnym Windows Server 2008 R2.

Domyślne konto użytkownika Opis

Administrator

Konto Administrator zapewnia pełną kontrolę nad domeną. W razie potrzeby umożliwia przypisywanie użytkownikom domeny praw użytkownika oraz uprawnień kontroli dostępu. Tego konta należy używać tylko do wykonywania zadań wymagających poświadczeń administracyjnych. W przypadku tego konta zaleca się używanie silnego hasła.

Konto Administrator jest domyślnym elementem członkowskim następujących grup usługi Active Directory: Administratorzy, Administratorzy domeny, Administratorzy przedsiębiorstwa, Twórcy-właściciele zasad grupy i Administratorzy schematu.

Konta Administrator nie można usunąć z grupy Administratorzy, ale można zmienić jego nazwę lub je wyłączyć. Ponieważ wiadomo, że konto Administrator istnieje w wielu wersjach systemu Windows, zmiana nazwy konta lub jego wyłączenie utrudni złośliwym użytkownikom uzyskanie do niego dostępu.

Konto Administrator jest pierwszym kontem tworzonym podczas konfigurowania nowej domeny za pomocą Kreatora instalacji Usług domenowych w usłudze Active Directory.

Ważne

Nawet jeśli konto Administrator jest wyłączone, nadal można go użyć w celu uzyskania dostępu do kontrolera domeny w trybie awaryjnym.

Gość

Osoby, które nie mają własnego konta w domenie, mogą używać konta Gość. Użytkownik, którego konto zostało wyłączone (ale nie usunięte), również może używać konta Gość. Konto Gość nie wymaga hasła.

Prawa i uprawnienia dotyczące konta Gość można ustawiać tak samo jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest elementem członkowskim grupy wbudowanej Goście oraz grupy globalnej Goście domeny, dzięki czemu użytkownik może zalogować się do domeny. Konto Gość jest domyślnie wyłączone i zaleca się, aby pozostało wyłączone.

Pomocnik (instalowane podczas ustanawiania sesji Pomocy zdalnej)

Konto Pomocnik jest podstawowym kontem służącym do ustanawiania sesji Pomocy zdalnej. To konto jest tworzone automatycznie w momencie wysłania żądania sesji Pomocy zdalnej. Ma ono ograniczony dostęp do komputera. Do zarządzania kontem Pomocnik służy usługa Menedżer sesji pomocy pulpitu zdalnego. W przypadku braku oczekujących żądań sesji Pomocy zdalnej to konto jest automatycznie usuwane.

Zabezpieczanie kont użytkowników

Jeśli administrator sieci nie zmodyfikował praw i uprawnień kont wbudowanych, mogą one zostać użyte przez złośliwego użytkownika (lub usługę) w celu niedozwolonego zalogowania się do domeny za pomocą konta Administrator lub konta Gość. Dobrym sposobem zapewnienia ochrony tych kont jest zmiana nazw kont lub ich wyłączenie. W przypadku zmiany nazwy konto użytkownika zachowuje identyfikator zabezpieczeń SID i w związku z tym także wszystkie pozostałe właściwości, takie jak opis, hasło, członkostwa grup, profil użytkownika, informacje o koncie oraz wszystkie przypisane uprawnienia i prawa użytkownika.

Aby skorzystać z zalet zabezpieczeń oferowanych przez funkcje uwierzytelniania i autoryzacji użytkowników, należy za pomocą Centrum administracyjnego usługi Active Directory utworzyć indywidualne konto dla każdego użytkownika, który należy do sieci. Poszczególne konta użytkowników (w tym konto Administrator i konto Gość) można wtedy dodać do grupy, aby kontrolować przypisane do nich prawa i uprawnienia. Zastosowanie kont i grup odpowiednich dla danej sieci gwarantuje możliwość identyfikowania użytkowników logujących się do sieci oraz uzyskiwania przez nich dostępu tylko do dozwolonych zasobów.

Wymóg silnych haseł oraz implementacja zasad blokady kont pomaga chronić domenę przed atakami. Silne hasła zmniejszają ryzyko złamania hasła metodą inteligentnego zgadywania lub ataków słownikowych. Zasady blokady kont zmniejszają prawdopodobieństwo złamania zabezpieczeń domeny przez powtarzające się próby logowania. Zasady blokady kont określają liczbę nieudanych prób zalogowania się przy użyciu konta użytkownika, które są dozwolone, zanim konto zostanie zablokowane.

Konta InetOrgPerson

Usługi domenowe w usłudze Active Directory (Active Directory Domain Services, AD DS) zapewniają obsługę klasy obiektów InetOrgPerson oraz skojarzonych z nią atrybutów, zgodnie z opisem w dokumencie RFC 2798. Klasa obiektów InetOrgPerson jest używana do reprezentowania osób w organizacji w niektórych usługach katalogowych protokołu LDAP (Lightweight Directory Access Protocol) i X.500 firm innych niż Microsoft.

Dzięki obsłudze klasy obiektów InetOrgPerson migracja z innych katalogów LDAP do usług AD DS jest wydajniejsza. Obiekt InetOrgPerson wywodzi się z klasy user. Może funkcjonować jako podmiot zabezpieczeń, tak samo jak dowolny obiekt klasy user. Aby uzyskać informacje dotyczące tworzenia konta użytkownika InetOrgPerson, zobacz temat Tworzenie nowego konta użytkownika.

Jeśli poziomem funkcjonalności domeny jest poziom systemu Windows Server 2008 lub Windows Server 2008 R2, można ustawić atrybut userPassword jako hasło obowiązujące dla obiektów InetOrgPerson i obiektów użytkownika (podobnie jak atrybut unicodePwd).

Dodatkowe informacje


Spis treści