Esporta (0) Stampa
Espandi tutto
2 di 5 hanno valutato il contenuto utile: - Valuta questo argomento

Account utente e account computer

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Account utente e account computer

Gli account utente e gli account computer di Active Directory rappresentano un entità fisica, ad esempio un computer o una persona. È inoltre possibile utilizzare gli account utente come account di servizi dedicati per alcune applicazioni.

Gli account utente e gli account computer, così come i gruppi, vengono definiti anche identità di protezione. Le identità di protezione sono oggetti directory a cui vengono assegnati automaticamente ID di protezione (SID) e che possono essere utilizzati per l'accesso alle risorse del dominio. Utilizzare un account utente o un account computer per le operazioni descritte di seguito.

  • Autenticare l'identità di un utente o di un computer.

    Un account utente consente a un utente di accedere a computer e domini con un'identità che può essere autenticata dal dominio. Per informazioni sull'autenticazione, vedere Controllo dell'accesso in Active Directory. Ciascun utente che accede alla rete deve disporre di un account utente e di una password univoci. Per una migliore protezione, è opportuno evitare la condivisione di un account da parte di più utenti.

  • Autorizzare o negare l'accesso alle risorse di dominio.

    Dopo che l'utente è stato autenticato, l'accesso alle risorse del dominio gli viene concesso o negato sulla base delle autorizzazioni esplicite assegnate all'utente per la risorsa. Per ulteriori informazioni, vedere Informazioni sulla protezione di Active Directory.

  • Amministrare altre identità di protezione.

    Active Directory crea nel dominio locale un oggetto identità di protezione esterna per rappresentare ciascuna identità di protezione del dominio trusted esterno. Per ulteriori informazioni sulle identità di protezione esterne, vedere Quando creare un trust esterno.

  • Controllare le operazioni eseguite utilizzando l'account utente o l'account computer.

    Il controllo consente di monitorare la protezione dell'account. Per ulteriori informazioni sul controllo, vedere Cenni preliminari sul controllo.

Account utente

Nel contenitore Users, che si trova in Utenti e computer di Active Directory, vengono visualizzati i tre account utente predefiniti: Administrator, Guest e HelpAssistant. Gli account utente predefiniti vengono creati automaticamente quando si crea il dominio.

Ogni account predefinito ha una diversa combinazione di diritti e autorizzazioni. L'account Administrator dispone delle autorizzazioni e dei diritti più estesi, mentre i diritti e le autorizzazioni dell'account Guest sono limitati. Nella tabella riportata di seguito sono descritti gli account utente predefiniti nei controller di dominio con sistema operativo Windows Server 2003.

 

Account utente predefinito Descrizione

Account Administrator

L'account Administrator dispone del controllo completo del dominio e, se necessario, può assegnare diritti utente e autorizzazioni per il controllo di accesso agli utenti del dominio. Questo account deve essere utilizzato solo per le operazioni che richiedono credenziali amministrative. Si consiglia di impostare una password complessa per questo account. Per ulteriori informazioni, vedere Strong passwords. Per ulteriori considerazioni sulla protezione di account con credenziali amministrative, vedere Procedure ottimali per Active Directory.

L'account Administrator è un membro predefinito dei gruppi Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners e Schema Admins in Active Directory. Questo account non può essere eliminato o rimosso dal gruppo Administrators, ma può essere rinominato o disabilitato. Poiché è noto che l'account Administrator esiste in molte versioni di Windows, la ridenominazione o la disabilitazione di questo account renderà più difficili i tentativi di accesso da parte di utenti non autorizzati. Per ulteriori informazioni sulla ridenominazione o la disabilitazione di un account utente, vedere Rinominare un account utente locale o Abilitare o disabilitare un account utente.

L'account Administrator è il primo account che viene creato quando si definisce un nuovo dominio utilizzando l'Installazione guidata di Active Directory.

  • Importante Anche se è stato disabilitato, l'account Administrator può ancora essere utilizzato per accedere a un controller di dominio mediante la modalità provvisoria.

Account Guest

L'account Guest viene utilizzato dagli utenti che non dispongono di un account effettivo nel dominio. Inoltre, può essere utilizzato dagli utenti il cui account è disabilitato, ma non eliminato. Per l'account Guest non è necessaria alcuna password.

È possibile impostare diritti e autorizzazioni per l'account Guest come per qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un membro del gruppo predefinito Guests e del gruppo globale Domain Guests, che consente a un utente di accedere a un dominio. Per impostazione predefinita è disabilitato e si consiglia di non abilitarlo.

Account HelpAssistant (installato con una sessione di Assistenza remota)

L'account principale utilizzato per stabilire una sessione di Assistenza remota. Viene creato automaticamente al momento della richiesta di una sessione di Assistenza remota e dispone di accesso limitato al computer. L'account HelpAssistant è gestito dal servizio Gestione sessione di assistenza mediante desktop remoto e viene eliminato automaticamente se non esistono richieste di Assistenza remota in sospeso. Per ulteriori informazioni su Assistenza remota, vedere la documentazione sull'amministrazione di Assistenza remota.

Protezione degli account utente

Se i diritti e le autorizzazioni degli account predefiniti non vengono modificati o disabilitati dall'amministratore di rete, possono essere utilizzati da un utente o servizio non autorizzato per accedere illegalmente a un dominio tramite l'identità Administrator o Guest. Per una efficace protezione di questi account, si consiglia di rinominarli o disabilitarli. Un account utente rinominato mantiene il proprio ID di protezione (SID) e conserva quindi tutte le altre proprietà, quali la descrizione, la password, le appartenenze ai gruppi, il profilo utente, le informazioni sull'account e tutte le autorizzazioni e i diritti utente assegnati.

Per garantire la protezione dell'autenticazione e dell'autorizzazione utente, creare un account utente distinto per ogni utente che farà parte della rete utilizzando Utenti e computer di Active Directory. Ciascun account utente, inclusi gli account Administrator e Guest, può essere quindi aggiunto a un gruppo per controllare i diritti e le autorizzazioni assegnate. L'utilizzo degli account e dei gruppi appropriati per la rete garantisce che gli utenti che accedono a una rete possano essere identificati e possano utilizzare solo le risorse consentite.

Per proteggere il dominio dall'accesso di utenti non autorizzati, è possibile utilizzare password complesse e implementare un criterio di blocco account. Le password complesse riducono il rischio di individuazione delle password mediante tentativi basati su ricerche nei dizionari e su informazioni personali dell'utente. Per ulteriori informazioni, vedere Strong passwords e Procedure ottimali relative alle password relativo alle password.

Un criterio di blocco account riduce la possibilità di attacchi al dominio basati su ripetuti tentativi di accesso da parte di un utente non autorizzato. Un criterio di blocco account, infatti, definisce il numero massimo di tentativi di accesso non riusciti prima che l'account utente venga disabilitato. Per ulteriori informazioni, vedere Applicare o modificare il criterio di blocco account.

Per ulteriori informazioni sulla protezione degli account utente, vedere Protezione di Active Directory.

Opzioni relative all'account

Per ciascun account utente di Active Directory vengono impostate determinate opzioni che definiscono il modo in cui viene autenticato sulla rete l'utente che effettua l'accesso con l'account stesso. È possibile utilizzare le seguenti opzioni per configurare le impostazioni della password e le informazioni di protezione per gli account utente:

 

Opzione dell'account Descrizione

Cambiamento obbligatorio password all'accesso successivo

Forza un utente a cambiare la password al successivo accesso alla rete. Utilizzare questa opzione per garantire che le password siano conosciute solamente dell'utente.

Cambiamento password non consentito

Impedisce a un utente di cambiare la password. Utilizzare questa opzione per mantenere il controllo di un account utente, ad esempio un account per un utente ospite oppure un account temporaneo.

Nessuna scadenza password

Evita che una password utente scada. Si consiglia di abilitare questa opzione e di utilizzare password complesse per gli account di servizio. Per ulteriori informazioni sulle password complesse, vedere Strong passwords.

Archivia password mediante crittografia reversibile

Consente agli utenti di accedere a una rete Windows da computer Apple. Se un utente non accede da un computer Apple, non utilizzare questa opzione. Per ulteriori informazioni, vedere Archivia password mediante crittografia reversibile.

Account disabilitato

Impedisce a un utente di eseguire l'accesso con l'account selezionato. Gli amministratori possono utilizzare gli account disabilitati come modelli per gli account utente comuni. Per ulteriori informazioni, vedere Abilitare o disabilitare un account utente.

Per l'accesso interattivo è necessaria una smart card

Richiede l'utilizzo di una smart card per l'accesso alla rete in modo interattivo. Al computer dell'utente deve essere collegato un lettore di smart card con un numero di identificazione personale (PIN) valido per la smart card. Quando si seleziona questa opzione, la password per l'account dell'utente viene automaticamente impostata su un valore casuale e complesso e viene attivata l'opzione Nessuna scadenza password dell'account. Per ulteriori informazioni sulle smart card, vedere Accesso a un computer con una smart card e Processo di autenticazione.

L'account è trusted per delega

Consente a un servizio eseguito con l'account di eseguire operazioni per conto di altri account utente nella rete. Un servizio in esecuzione con un account utente (denominato anche account di servizio) che è trusted per delega può rappresentare un client per accedere alle risorse sul computer in cui il servizio è in esecuzione o su altri computer. In un insieme di strutture impostato sul livello di funzionalità Windows Server 2003, questa opzione si trova nella scheda Delega ed è disponibile solo per gli account a cui sono stati assegnati nomi principali di servizio (SPN) impostati mediante il comando setspn in Strumenti di supporto di Windows. Si tratta di una funzionalità che comporta potenziali rischi di protezione ed è quindi necessario assegnarla con cautela. Per ulteriori informazioni, vedere Rendere un utente attendibile per la delega e Delega dell'autenticazione.

Questa opzione è disponibile solo nei controller di dominio con sistema operativo Windows Server 2003 in cui il livello della funzionalità di dominio è impostato su Windows 2000 misto o nativo. Nei controller di dominio con sistema operativo Windows Server 2003 in cui il livello di funzionalità di dominio è impostato su Windows Server 2003, la scheda Delega viene utilizzata per configurare le impostazioni di delega. La scheda Delega viene visualizzata solo per gli account a cui è stato assegnato un SPN. Per ulteriori informazioni sulla funzionalità del dominio, vedere Funzionalità del dominio e dell'insieme di strutture. Per ulteriori informazioni sulla configurazione della delega in un dominio Windows Server 2003, vedere Rendere un utente attendibile per la delega.

L'account è sensibile e non può essere delegato

Consente di controllare un account utente, ad esempio un account per un utente ospite oppure un account temporaneo. È possibile utilizzare questa opzione se l'account non può essere assegnato per delega da un altro account.

Utilizza crittografia DES per questo account

Fornisce il supporto per la crittografia DES (Data Encryption Standard). DES supporta più livelli di crittografia, inclusi MPPE Standard a 40 bit, MPPE Standard a 56 bit, MPPE Strong a 128 bit, IPSec DES a 40 bit, IPSec DES a 56 bit e IPSec Triple DES (3DES). Per ulteriori informazioni sulla crittografia DES, vedere Crittografia dei dati.

Non richiedere l'autenticazione preliminare Kerberos

Fornisce il supporto per implementazioni alternative del protocollo Kerberos. I controller di dominio con sistema operativo Windows 2000 o Windows Server 2003 possono utilizzare altri meccanismi per la sincronizzazione dell'orario. Poiché l'autenticazione preliminare fornisce una protezione aggiuntiva, prestare attenzione durante l'attivazione di questa opzione. Per ulteriori informazioni sull'autenticazione Kerberos, vedere Autenticazione Kerberos V5.

Account InetOrgPerson

Active Directory fornisce il supporto per la classe di oggetti InetOrgPerson e per i relativi attributi definiti nella RFC 2798. La classe di oggetti InetOrgPerson viene utilizzata in diversi servizi directory LDAP e X.500 non Microsoft per rappresentare le persone all'interno di un'organizzazione.

Il supporto di InetOrgPerson rende più efficienti le migrazioni da altre directory LDAP ad Active Directory. L'oggetto InetOrgPerson deriva dalla classe utente e può essere utilizzato come identità di protezione, analogamente alla classe utente. Per informazioni sulla creazione di un account utente inetOrgPerson, vedere Creare un nuovo account utente.

Quando il livello di funzionalità del dominio è impostato su Windows Server 2003, è possibile impostare l'attributo userPassword su InetOrgPerson e gli oggetti utente come password effettiva, esattamente come per l'attributo unicodePwd.

Account computer

Ogni computer con sistema operativo Windows NT, Windows 2000 o Windows XP oppure un server con sistema operativo Windows Server 2003 aggiunto a un dominio dispone di un account computer. Analogamente agli account utente, gli account computer offrono un metodo per autenticare e controllare l'accesso del computer alla rete e alle risorse di dominio. Ciascun account computer deve essere univoco.

Note Poiché i sistemi operativi Windows 95 e Windows 98 non dispongono di funzionalità di protezione avanzate, ai computer che utilizzano questi sistemi non vengono assegnati account computer.

È possibile aggiungere, disabilitare, ripristinare ed eliminare gli account utente e gli account computer mediante Utenti e computer di Active Directory. È inoltre possibile creare un account computer durante l'aggiunta di un computer a un dominio. Per ulteriori informazioni sugli account utente e sugli account computer, vedere Assegnazione dei nomi in Active Directory e Nomi di oggetto.

Quando il livello di funzionalità di dominio è impostato su Windows Server 2003, viene utilizzato un nuovo attributo lastLogonTimestamp per tenere traccia dell'ora dell'ultimo accesso di un account utente o computer. L'attributo viene replicato all'interno del dominio e fornisce informazioni importanti sulla cronologia relativa a un utente o a un computer.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.