Användarkonton i Active Directory representerar fysiska entiteter, som människor. Du kan även använda dem som dedicerade tjänstkonton för vissa program.
Användarkonton kallas ibland också för säkerhetsobjekt. Säkerhetsobjekt är katalogobjekt som automatiskt tilldelas säkerhets-ID:n, som kan användas för att få tillgång till domänresurser. Användarkonton används främst för att:
-
Autentisera en användares identitet.
Med hjälp av ett användarkonto kan en användare logga in på datorer och i domäner med en identitet som domänen kan autentisera. Alla användare som loggar in i nätverket bör ha sitt eget unika användarkonto och lösenord. Av säkerhetsskäl bör inte flera användare dela på ett konto.
-
Auktoriserar eller nekar tillgång till domänresurser.
Efter autentiseringen auktoriseras eller nekas användarens tillgång till domänresurser, baserat på de uttryckliga behörigheter som användaren har tilldelats för den resursen.
Användarkonton
I behållaren Användare i Active Directory Administrationscenter finns de tre inbyggda användarkontona: Administratör, Gäst och Hjälpassistent. De här inbyggda användarkontona skapas automatiskt när du skapar domänen.
Vart och ett av de inbyggda kontona har olika rättighets- och behörighetskombinationer. Administratörskontot har de mest omfattande rättigheterna och behörigheterna i domänen. Gästkontot har begränsade rättigheter och behörigheter. Följande tabell beskriver de olika standardkontona på domänkontrollanter som kör Windows Server 2008 R2.
| Standardanvändarkonto | Beskrivning | ||||
|---|---|---|---|---|---|
|
Administratör |
Administratörskontot har full kontroll över domänen. Det kan användas för att tilldela användarrättigheter och åtkomstbehörigheter till domänanvändare när så behövs. Det här kontot bör bara användas för åtgärder som kräver administratörsautentiseringsuppgifter. Du bör använda ett starkt lösenord för det här kontot. Administratörskontot ingår som standard i följande Active Directory-grupper. Administratörer, Domänadministratörer, Företagsadministratörer, Skapare och ägare av grupprincip samt Schemaadministratörer. Administratörskontot kan inte tas bort från gruppen Administratörer, men det går att byta namn på det och inaktivera det. Eftersom det är allmänt känt att administratörskontot finns i många Windows-versioner kan du genom att byta namn på det eller inaktivera göra det svårare för illvilliga användare att få tillgång till det. Administratörskontot är det första kontot som skapas när du skapar en ny domän med hjälp av installationsguiden i Active Directory Domain Services.
| ||||
|
Gäst |
Personer som inte har något konto i en domän kan använda gästkontot. En användare vars konto är inaktiverat (men inte borttaget) kan också använda gästkontot. Det behövs inget lösenord till kontot. Du kan ange rättigheter och behörigheter för gästkonton på samma sätt som för andra användarkonton. Vanligtvis är gästkontot medlem i den inbyggda gruppen Gäster och den globala gruppen Domängäster, vilket innebär att användaren kan logga in i en domän. Gästkontot är inaktiverat som standard och bör också förbli inaktiverat. | ||||
|
Hjälpassistent (installeras vid en fjärrhjälpsession) |
Kontot Hjälpassistent är huvudkontot för upprättande av en fjärrhjälpsession. Det här kontot skapas automatiskt när en fjärrhjälpssession begärs. Det ger begränsad åtkomst till datorn. Kontot Hjälpassistent hanteras av tjänsten Remote Desktop Help Session Manager. Det här kontot tas automatiskt bort när det inte finns några väntande fjärrhjälpsessioner. |
Skydda användarkonton
Om nätverksadministratören inte ändrar behörigheter och rättigheter för de inbyggda kontona, kan en obehörig användare (eller tjänst) använda dem för att logga in på en domän med hjälp av administratörs- eller gästkontot. En god säkerhetsrutin för att skydda de här kontona är att ge dem nya namn eller att inaktivera dem. Eftersom kontot behåller sitt säkerhets-ID, behåller ett namnändrat användarkonto alla andra egenskaper, t.ex. beskrivning, lösenord, gruppmedlemskap, användarprofil, kontoinformation och alla tilldelade behörigheter och rättigheter.
Om du vill kunna använda dig av fördelarna med autentiserade och auktoriserade användare, skapar du individuella användarkonton för alla användare som ska delta i nätverket med hjälp av Active Directory Administrationscenter. Därefter kan du lägga till alla användarkonton (inklusive administratörskontot och gästkontot) i en grupp som du sedan använder för att styra kontonas rättigheter och behörigheter. När du har de konton och grupper du behöver för ditt nätverk, kontrollerar du att kan identifiera de användare som loggar in i nätverket och att de bara får tillgång till de tillåtna resurserna.
Genom att kräva starka lösenord och att använda en princip för kontoutelåsning kan du försvara din domän från angripare. Starka lösenord minskar risken för intelligent lösenordsgissning och lösenordsattacker på lösenord. En kontoutelåsningsprincip minskar risken för att angripare tar sig in i domänen via upprepade inloggningsförsök. En kontoutelåsningsprincip anger hur många misslyckade inloggningsförsök som tillåts innan ett användarkonto inaktiveras.
InetOrgPerson-konton
Active Directory Domain Services (AD DS) ger stöd för objektklassen InetOrgPerson och dess associerade attribut, enligt definitionen i RFC 2798 (Request for Comments). Objektklassen InetOrgPerson används för att representera människor i en organisation i flera LDAP- (Lightweight Directory Access Protocol) och X.500-katalogtjänster från andra leverantörer än Microsoft.
Stöd för InetOrgPerson gör migrering från andra LDAP-kataloger till AD DS effektivare. Ett InetOrgPerson-objekt har härletts från user-klassen. Precis som ett objekt från user-klassen, kan det fungera som ett säkerhetsobjekt. Mer information om hur du skapar ett inetOrgPerson-användarkonto finns i Skapa ett nytt användarkonto.
När domänens funktionalitetsnivå är Windows Server 2008 eller Windows Server 2008 R2 kan du ange att attributet userPassword ska användas som lösenord för InetOrgPerson och användarobjekt, precis som du kan göra med attributet unicodePwd.