Учетные записи пользователей Active Directory представляют физические объекты, например людей. Учетные записи пользователей можно также использовать в качестве выделенных учетных записей служб для некоторых приложений.
Учетные записи пользователей также называются субъектами безопасности. Субъекты безопасности - это объекты службы каталогов, которым автоматически назначаются идентификаторы безопасности (SID); их можно использовать для доступа к доменным ресурсам. Учетная запись пользователя:
-
Удостоверяет личность пользователя
Учетная запись пользователя позволяет ему входить на компьютеры и в домены с теми данными, подлинность которых может проверить домен. Каждый пользователь, который входит в сеть, должен иметь собственные уникальные учетную запись и пароль. В целях повышения безопасности избегайте использования одной учетной записи несколькими пользователями.
-
Разрешает или запрещает доступ к ресурсам домена
По завершении проверки подлинности пользователя ему предоставляется доступ к доменным ресурсам или отказывается в нем на основании явных разрешений, которые назначены этому пользователю на данном ресурсе.
Учетные записи пользователей
Контейнер «Пользователи» в оснастке «Active Directory - пользователи и компьютеры» отображает три встроенных учетных записи пользователей: «Администратор», «Гость» и «Помощник». Эти встроенные учетные записи пользователей автоматически создаются при создании домена.
Каждая встроенная учетная запись имеет различную комбинацию прав и разрешений. Учетная запись «Администратор» имеет самые широкие права в домене, в то время как «Гость» обладает ограниченными правами. Следующая таблица описывает каждую учетную запись пользователя на контроллерах домена, работающего под управлением операционной системы Windows Server® 2008 R2.
Встроенная учетная запись пользователя | Описание | ||||
---|---|---|---|---|---|
Администратор |
Учетная запись «Администратор» имеет полный доступ в домене. С этой учетной записью можно необходимым образом назначать права пользователей и разрешения доступа пользователям домена. Используйте эту учетную запись только для задач, выполнение которых требует учетных данных администратора. Рекомендуется установить для этой учетной записи надежный пароль. Учетная запись «Администратор» по умолчанию является членом следующих групп Active Directory: «Администраторы», «Администраторы домена», «Администраторы предприятия», «Владельцы-создатели групповой политики» и «Администраторы схемы». Она не может быть удалена или перемещена из группы «Администраторы», но ее можно переименовать или отключить. Поскольку известно, что учетная запись «Администратор» существует во многих версиях операционной системы Windows, то ее переименование или отключение затруднит злоумышленникам получение к ней доступа. Учетная запись «Администратор» - первая учетная запись, которая создается при настройке нового домена с помощью мастера установки доменных служб Active Directory.
| ||||
Гость |
Люди, у которых нет настоящей учетной записи в домене, могут воспользоваться учетной записью «Гость». Пользователь, учетная запись которого отключена (но не удалена), также может использовать учетную запись «Гость». Учетная запись гостя не требует пароля. Учетной записи гостя можно предоставлять права и разрешения, как и любой другой учетной записи. По умолчанию она входит во встроенную группу «Гости» и глобальную группу «Гости домена», что разрешает пользователю войти в домен. По умолчанию учетная запись гостя отключена, и включать ее не рекомендуется. | ||||
Помощник (устанавливается с сеансом удаленного помощника) |
Основная учетная запись для установки сеанса удаленного помощника. Эта учетная запись автоматически создается при запросе сеанса удаленного помощника. Она имеет ограниченный доступ к компьютеру. Учетная запись «Помощник» управляется службой диспетчера сеанса справки для удаленного рабочего стола. Эта учетная запись автоматически удаляется, если нет отложенных запросов сеанса удаленного помощника. |
Безопасность учетных записей пользователей
Если права и разрешения встроенной учетной записи не изменены или не отменены администратором сети, они могут быть использованы злонамеренным пользователем (или службой) для неправомерного входа в домен с использованием учетной записи администратора или гостя. Рекомендуется защищать эти учетные записи, переименовывая или отключая их. Поскольку SID учетных записей сохраняются, переименованная учетная запись сохраняет все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, данные учетной записи, а также все разрешения и права пользователя.
Для получения таких преимуществ безопасности, как проверка подлинности и авторизация пользователей, используйте оснастку «Active Directory - пользователи и компьютеры», чтобы создать для каждого пользователя сети отдельную учетную запись. Затем можно добавить каждую учетную запись пользователя (включая учетные записи «Администратор» и «Гость») в группу для управления назначаемыми соответствующей учетной записи правами и разрешениями. Когда имеются подходящие для сети учетные записи и группы, обеспечивается идентификация пользователей, которые входят в сеть, и предоставление им доступа только к разрешенным ресурсам.
Домен можно защитить от злоумышленников с помощью принудительного использования сложных паролей и применения политики блокировки учетных записей. Сложные пароли снижают риск угадывания пароля и словарных атак. Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторяющихся попыток. Политика блокировки учетных записей определяет число неудачных попыток входа до блокировки соответствующей учетной записи.
Параметры учетной записи
Каждый пользователь Active Directory имеет ряд параметров учетной записи, которые определяют, как вход с использованием данной учетной записи проходит проверку подлинности в сети. Параметры из приведенной ниже таблицы можно использовать для настройки пароля и информации по безопасности учетных записей пользователей.
Параметр учетной записи | Описание |
---|---|
Требовать смену пароля при следующем входе в систему |
Принуждает пользователя сменить пароль при следующем входе в сеть. Включите этот параметр, чтобы пользователь был единственным, кто знает пароль. |
Запретить смену пароля пользователем |
Предотвращает смену пароля пользователем. Включите этот параметр, если требуется контролировать учетную запись пользователя, например запись гостя или временную учетную запись. |
Срок действия пароля не ограничен |
Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр для учетных записей служб и использовать надежные пароли. |
Хранение паролей с использованием обратимого шифрования |
Позволяет пользователю входить в сеть Windows с компьютеров Apple. Если пользователь не входит с компьютера Apple, не включайте этот параметр. |
Отключить учетную запись |
Предотвращает вход пользователя с выбранной учетной записью. Многие администраторы используют отключенные учетные записи в качестве шаблонов. |
Для интерактивного входа в сеть нужна смарт-карта |
Требует наличия у пользователя смарт-карты для интерактивного входа в сеть. Этот пользователь также должен иметь подключенный к компьютеру считыватель смарт-карт и действительный персональный идентификационный номер (ПИН-код) смарт-карты. Когда этот параметр включен, пароль учетной записи пользователя автоматически устанавливается случайным, задается надежное значение и устанавливается параметр учетной записи Срок действия пароля не ограничен. |
Учетная запись доверена для делегирования |
Позволяет работающей под данной учетной записью службе выполнять операции от имени других учетных записей пользователей в сети. Служба, которая работает под учетной записью пользователя (так называемая учетная запись службы) и доверена для делегирования, может представлять клиента, чтобы получить доступ к ресурсам на компьютере, на котором она работает, или к ресурсам на других компьютерах. В лесу, в котором задан режим работы Windows Server 2008 R2, этот параметр находится на вкладке Делегирование. Он доступен только для учетных записей, которым были назначены имена служб-участников (SPN), задаваемые командой setspn в Windows Server 2008 R2. (Откройте окно командной строки и введите setspn.) Эта функция затрагивает безопасность, назначайте ее с осторожностью. Этот параметр доступен только на контроллерах домена, работающих под управлением Windows Server 2008 R2, где установлен смешанный режим работы Windows® 2000 или основной режим Windows 2000. На контроллерах домена под управлением Windows Server 2008 и Windows Server 2008 R2, где установлен режим работы домена леса Windows Server 2008 или режим работы леса Windows Server 2008 R2, используйте вкладку Делегирование в диалоговом окне свойств пользователя для настройки параметров делегирования. Вкладка Делегирование отображается только для учетных записей, которым назначен SPN. |
Учетная запись важна и не может быть делегирована |
Этот параметр можно использовать, если учетная запись, например учетная запись гостя или временная учетная запись, не может быть назначена для делегирования другой учетной записью. |
Использовать тип шифрования DES для этой учетной записи |
Обеспечивает поддержку алгоритма шифрования DES. DES поддерживает несколько уровней шифрования, включая следующие алгоритмы: MPPE Standard (40 бит), MPPE Standard (56 бит), MPPE Strong (128 бит), IPsec DES (40 бит), IPsec DES (56 бит) и IPsec с тройным DES. |
Без предварительной проверки подлинности Kerberos |
Поддерживает альтернативное применение протокола Kerberos. Однако применяйте этот параметр с осторожностью, так как предварительная проверка подлинности Kerberos повышает безопасность и требует синхронизации времени между клиентом и сервером. |
Учетные записи InetOrgPerson
Доменные службы Active Directory поддерживают класс объектов InetOrgPerson и связанные с ним атрибуты в соответствии с определениями RFC 2798. Класс объектов InetOrgPerson используется в нескольких службах каталогов сторонних производителей (не Майкрософт) на основе протокола LDAP и X.500 для представления людей в организации.
Поддержка InetOrgPerson делает переход с других каталогов LDAP на доменные службы Active Directory эффективнее. Объект InetOrgPerson получен из класса пользователь. Он может работать в качестве субъекта безопасности так же, как и класс пользователь. Сведения о создании учетной записи пользователя inetOrgPerson см. в разделе Создание учетной записи пользователя.
Когда задан режим работы домена Windows Server 2008 или Windows Server 2008 R2, можно задать атрибут userPassword объекта InetOrgPerson и других объектов-пользователей в качестве эффективного пароля так же, как и с помощью атрибута unicodePwd.