Active Directory 使用者帳戶代表實際的實體,例如人員。您也可以將使用者帳戶做為某些應用程式的專用服務帳戶。

使用者帳戶也稱為安全性主體。安全性主體為自動指派安全性識別碼 (SID) 的目錄物件,可用以存取網域資源。使用者帳戶主要可以:

  • 驗證使用者的身分。

    使用者帳戶可讓使用者以網域可驗證的身分登入電腦與網域。每位登入網路的使用者均應具有專屬的唯一使用者帳戶與密碼。若要獲致最高的安全性,請避免讓多名使用者共用一個帳戶。

  • 授予或拒絕網域資源的存取權。

    使用者經過驗證後,則會根據指派給該使用者的明確資源權限授予或拒絕網域資源的存取權。

使用者帳戶

Active Directory 管理中心內的 Users 容器包含三個內建的使用者帳戶:Administrator、Guest 與 HelpAssistant。當您建立網域時,即會自動建立這些內建使用者帳戶。

每個內建帳戶均有不同的權利與權限組合。Administrator 帳戶具有網域的最大權利與權限。而 Guest 帳戶的權利與權限則受到限制。下表描述執行 Windows Server 2008 R2 之網域控制站上的每個預設使用者帳戶。

預設使用者帳戶 描述

Administrator

Administrator 帳戶具有完整的網域控制權。它可在必要時指派使用者權限與存取控制權限給網域使用者。此帳戶僅應使用於需要系統管理認證的工作。建議您使用強式密碼設定此帳戶。

Administrator 帳戶是下列 Active Directory 群組的預設成員:Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners 與 Schema Admins。

您無法從 Administrators 群組中刪除或移除 Administrator 帳戶,但是可以將它重新命名或停用。由於許多版本的 Windows 中都有 Administrator 帳戶存在,所以重新命名或停用此帳戶可以增加惡意使用者嘗試取得其存取權的難度。

Administrator 帳戶是您以 [Active Directory 網域服務安裝精靈] 設定新網域時所建立的第一個帳戶。

重要

當 Administrator 帳戶停用時,仍然可透過安全模式使用該帳戶取得網域控制站的存取權。

Guest

在網域中沒有實際帳戶的人,可以使用 Guest 帳戶。帳戶被停用 (但未刪除) 的使用者也可以使用 Guest 帳戶。Guest 帳戶不需要密碼。

您可以為 Guest 帳戶設定權利及權限 (就像任何使用者帳戶一樣)。根據預設值,Guest 帳戶是內建 Guests 群組與 Domain Guests 全域群組的成員,可允許使用者登入網域。Guest 帳戶預設為停用,建議將它保持為停用。

HelpAssistant (在 [遠端協助] 工作階段中安裝)

HelpAssistant 帳戶是建立 [遠端協助] 工作階段的主要帳戶。這個帳戶會在要求 [遠端協助] 工作階段時自動建立。它對電腦具有有限的存取權。遠端桌面說明工作階段管理員服務可管理 HelpAssistant 帳戶。如果沒有擱置的 [遠端協助] 要求,則會自動刪除這個帳戶。

保護使用者帳戶

如果網路系統管理員未修改內建帳戶的權利與權限,惡意使用者 (或服務) 就可以使用它們以利用 Administrator 帳戶或 Guest 帳戶非法登入網域。將這些帳戶重新命名或停用,是保護其安全性的理想做法。因為它會保留 SID,所以重新命名的使用者帳戶會保留其他所有內容,例如描述、密碼、群組成員資格、使用者設定檔、帳戶資訊,以及任何指派的權限與使用者權限。

若要保有使用者驗證與授權的安全性優點,請使用 Active Directory 管理中心為要加入您網路的每位使用者建立個別的使用者帳戶。接著,您可以將每個使用者帳戶 (包括 Administrator 帳戶與 Guest 帳戶) 新增至群組,以控制指派給該帳戶的權利與權限。當您具有適用於網路的帳戶與群組時,您必須確定您可以識別登入網路的使用者,且他們只能存取已允許的資源。

您可以要求使用強式密碼並執行帳戶鎖定原則,以協助防止您的網域遭受攻擊。強式密碼可降低密碼遭到智慧型密碼猜測與字典攻擊的風險。帳戶鎖定原則可減少攻擊者透過重複登入嘗試以破壞您的網域的可能性。帳戶鎖定原則可決定使用者帳戶在遭到停用之前所能執行的失敗登入嘗試次數。

InetOrgPerson 帳戶

Active Directory 網域服務 (AD DS) 支援 InetOrgPerson 物件類別及其相關屬性 (如要求建議 (RFC) 2798 所定義)。InetOrgPerson 物件類別可用於數種非 Microsoft 的輕量型目錄存取通訊協定 (LDAP) 與 X.500 目錄服務中,以代表組織中的人員。

InetOrgPerson 的支援可讓從其他 LDAP 目錄移轉到 AD DS 的作業更有效率。InetOrgPerson 物件衍生自 user 類別。它可以與 user 類別的物件一樣當作安全性主體使用。如需建立 inetOrgPerson 使用者帳戶的相關資訊,請參閱建立新的使用者帳戶

當網域功能等級設定為 Windows Server 2008 或 Windows Server 2008 R2 時,您可以將 InetOrgPerson 上的 userPassword 屬性與使用者物件設為有效密碼,如同您對 unicodePwd 屬性所做的設定。

其他參考資料