Active Directory 用户帐户代表物理实体,如人员。还可以将用户帐户用作某些应用程序的专用服务帐户。
用户帐户也称为安全主体。安全主体是指自动为其分配安全标识符 (SID) 的目录对象,这些对象可用于访问域资源。用户帐户主要用于:
-
验证用户的身份。
使用用户帐户,用户可以使用能够通过域身份验证的身份登录到计算机或域。每个登录到网络的用户都应该有自己唯一的用户帐户和密码。为了在最大程度上保证安全,请避免多个用户共享一个帐户。
-
授权或拒绝对域资源的访问。
在验证用户身份之后,基于为该用户分配的针对资源的显式权限授权或拒绝用户对域资源的访问。
用户帐户
Active Directory 用户和计算机管理单元中的“用户”容器显示了三种内置用户帐户:Administrator、Guest 和 HelpAssistant。这些内置用户帐户是在创建域时自动创建的。
每个内置帐户都有不同的权限组合。Administrator 帐户在域内有最全面的权限,而 Guest 帐户则具有有限的权限。下表描述了运行 Windows Server(R) 2008 R2 操作系统的域控制器上的所有默认用户帐户。
| 默认用户帐户 | 描述 | ||||
|---|---|---|---|---|---|
|
Administrator |
Administrator 帐户具有域的完全控制权限。它可以根据需要将用户权利和访问控制权限分配给域用户。此帐户仅用于需要管理凭据的任务。建议您使用强密码来设置此帐户。 Administrator 帐户是下列 Active Directory 组的默认成员:Administrators、Domain Admins、Enterprise Admins、组策略创建者所有者组和 Schema Admins。永远也不可以从管理员组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 Administrator 帐户存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户更难于访问该帐户。 Administrator 帐户是通过“Active Directory 域服务安装向导”设置新域时创建的第一个帐户。
| ||||
|
Guest |
在域中没有实际帐户的人员可以使用 Guest 帐户。如果已禁用某用户的帐户(但尚未删除),则该用户还可以使用 Guest 帐户。Guest 帐户不需要密码。 可以像任何用户帐户一样设置 Guest 帐户的权限。默认情况下,Guest 帐户是内置“来宾”组和“域来宾”全局组的成员,这允许用户登录到域上。默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。 | ||||
|
HelpAssistant(与远程协助会话一起安装) |
用于建立远程协助会话的主帐户。此帐户是在请求远程协助会话时自动创建的。它具有对计算机的有限访问权限。通过“远程桌面帮助会话管理器”服务对 HelpAssistant 帐户进行管理。如果没有挂起的远程协助请求,则会自动删除此帐户。 |
保护用户帐户的安全
如果网络管理员没有修改或禁用内置帐户的权限,恶意用户(或服务)就会使用这些权限通过 Administrator 帐户或 Guest 帐户非法登录到域上。保护这些帐户的一种较好的安全操作是重名命或禁用它们。由于重命名的用户帐户会保留其 SID,因此也会保留其他所有属性,如说明、密码、组成员身份、用户配置文件、帐户信息以及任何已分配的权限和用户权利。
若要获取用户身份验证和授权的安全优势,请使用 Active Directory 用户和计算机为所有将加入网络的用户创建单独的用户帐户。然后可以将各个用户帐户(包括 Administrator 帐户和 Guest 帐户)添加到组以控制分配给该帐户的权限。如果具有适合于您的网络的帐户和组,请确保可以识别登录到您的网络上的用户以及只能访问允许资源的用户。
通过要求强密码和实施帐户锁定策略,您可以帮助域抵御攻击。强密码会减少对密码的智能密码猜测和字典攻击的危险。帐户锁定策略会减少攻击者通过重复登录企图危及您所在域的安全的可能性。帐户锁定策略将确定用户帐户在禁用之前尝试登录的失败次数。
帐户选项
每个 Active Directory 用户帐户都有许多帐户选项,这些选项将确定如何对使用该特定用户帐户登录网络的人员进行身份验证。您可以使用下表中的选项为用户帐户配置密码设置和安全特定信息。
| 帐户选项 | 描述 |
|---|---|
|
用户下次登录时须更改密码 |
强制用户在下次登录网络时更改自己的密码。要确保该用户是知道密码的唯一人选时启用此选项。 |
|
用户不能更改密码 |
防止用户更改自己的密码。要对用户帐户(如 Guest 帐户或临时帐户)保持控制时启用此选项。 |
|
密码永不过期 |
防止用户的密码过期。建议服务帐户启用此选项并使用强密码。 |
|
用可还原的加密来储存密码 |
允许用户从 Apple 计算机登录到 Windows 网络。如果用户没有从 Apple 计算机登录,则不要启用此选项。 |
|
帐户已禁用 |
防止用户使用选定的帐户进行登录。很多管理员使用已禁用的帐户作为公用用户帐户的模板。 |
|
交互式登录必须使用智能卡 |
要求用户拥有智能卡才能以交互方式登录到网络。用户还必须具有连接到计算机的智能卡读卡器以及智能卡的有效个人标识号 (PIN)。启用此选项时,会自动将用户帐户的密码设置为随机而复杂的值,并设置“密码永不过期”帐户选项。 |
|
帐户可以委派其他帐户 |
允许在此帐户下运行的服务代表网络上的其他用户帐户执行操作。如果某项服务在可以委派其他帐户的用户帐户(也称服务帐户)下运行,则可以模拟客户端访问正在运行该服务的计算机上的资源或其他计算机上的资源。在设置为 Windows Server 2008 R2 功能级别的林中,此选项位于“委派”选项卡。根据 Windows Server 2008 R2 中 setspn 命令的设置,此选项只能用于已分配了服务主体名称 (SPN) 的帐户。(打开命令窗口,然后键入 setspn)。这是一个安全敏感的功能;请慎重分配该功能。 此选项只能用于运行 Windows Server 2008 R2 且域功能设置为 Windows(R) 2000 混合模式或 Windows 2000 纯模式的域控制器。在运行 Windows Server 2008 和 Windows Server 2008 R2 且域功能级别设置为 Windows Server 2008 或 Windows Server 2008 R2 林功能级别的域控制器上,使用用户属性对话框中的“委派”选项卡来配置委派设置。“委派”选项卡仅在已分配了 SPN 的帐户中显示。 |
|
敏感帐户,不能被委派 |
如果无法将帐户(例如 Guest 或临时帐户)分配给其他帐户进行委派,则可以使用此选项。 |
|
此帐户需要使用 DES 加密类型 |
提供对数据加密标准 (DES) 的支持。DES 支持多个加密级别,包括 Microsoft 点对点加密 (MPPE) 标准(40 位)、MPPE 标准(56 位)、MPPE 强密码(128 位)、Internet 协议安全 (IPsec) DES(40 位)、IPsec 56 位 DES 和 IPsec 三重 DES (3DES) |
|
不要求 Kerberos 预身份验证 |
提供对 Kerberos 协议备用实现的支持。但在启用此选项时请保持慎重,因为 Kerberos 预身份验证提供了其他安全性,并要求客户端和服务器之间的时间同步。 |
InetOrgPerson 帐户
Active Directory 域服务 (AD DS) 为征求意见文档 (RFC) 2798 中定义的 InetOrgPerson 对象类及其关联属性提供支持。InetOrgPerson 对象类在多个非 Microsoft、轻型目录访问协议 (LDAP) 和 X.500 目录服务中用来代表组织中的人员。
对 InetOrgPerson 的支持使其他 LDAP 目录到 AD DS 的迁移更加有效。InetOrgPerson 对象由“用户”类派生而来。它像“用户”类一样可以用作安全主体。有关创建 inetOrgPerson 用户帐户的信息,请参阅新建用户帐户。
将域功能级别设置为 Windows Server 2008 或 Windows Server 2008 R2 时,可以将 InetOrgPerson 和用户对象上的 userPassword 属性设置为有效密码,正如处理 unicodePwd 属性一样。