Exporteren (0) Afdrukken
Alles uitvouwen

Gebruikers- en computeraccounts

Gebruikers- en computeraccounts

Active Directory-gebruikersaccounts en -computeraccounts vertegenwoordigen feitelijke computers en personen. Gebruikersaccounts kunnen voor bepaalde toepassingen ook worden gebruikt als serviceaccounts.

Gebruikersaccounts en computeraccounts worden (evenals groepen) beveiligings-principals genoemd. Beveiligings-principals zijn mapobjecten waaraan automatisch beveiligings-id's (SID's) worden toegewezen, die kunnen worden gebruikt voor het verkrijgen van toegang tot domeinbronnen. Een gebruikers- of computeraccount heeft de volgende functies:

  • De identiteit van een gebruiker of computer verifiëren.
    Met een gebruikersaccount kan een gebruiker zich aanmelden bij computers en domeinen met een identiteit die kan worden geverifieerd door het domein. Zie Toegangsbeheer in Active Directory voor meer informatie over verificatie. Elke gebruiker die zich aanmeldt bij het netwerk, moet over een unieke gebruikersaccount met wachtwoord beschikken. U kunt de beveiliging optimaliseren door te voorkomen dat meerdere gebruikers één account delen.
  • Machtiging verlenen of weigeren voor toegang tot domeinbronnen.
    Nadat de gebruiker is geverifieerd, kan deze al dan niet gebruikmaken van domeinbronnen op basis van de expliciete machtigingen die aan deze gebruiker zijn toegewezen voor de desbetreffende bronnen. Zie Beveiligingsinformatie voor Active Directory voor meer informatie.
  • Andere beveiligings-principals beheren.
    Active Directory maakt een afwijkende beveiligings-principal in het lokale domein voor elke beveiligings-principal uit een vertrouwd extern domein. Zie Wanneer u een verkorte vertrouwensrelatie maakt voor meer informatie over afwijkende beveiligings-principals.
  • Acties controleren die met de accounts voor gebruikers of computers worden uitgevoerd.
    Door middel van controle kunt u de veiligheid van accounts in de gaten houden. Zie Controle - overzicht voor meer informatie over controle.

Gebruikersaccounts

In de container Users in Active Directory: gebruikers en computers worden de drie ingebouwde gebruikersaccounts weergegeven: Administrator, Gast en HelpAssistant. Deze ingebouwde gebruikersaccounts worden automatisch gemaakt tijdens het maken van het domein.

Elke ingebouwde account heeft een andere combinatie van rechten en machtigingen. De account Administrator heeft de meest uitgebreide rechten en machtigingen voor het domein, terwijl de account Gast slechts over beperkte rechten en machtigingen beschikt. De onderstaande tabel bevat een beschrijving van alle standaardgebruikersaccounts op domeincontrollers waarop Windows Server 2003 wordt uitgevoerd.

 

Standaardgebruikersaccount Beschrijving

Account Administrator

Met de account Administrator hebt u volledig beheer over het domein en kunt u gebruikersrechten en machtigingen voor toegangsbeheer aan domeingebruikers toewijzen. Deze account is alleen bestemd voor taken waarvoor beheerdersreferenties zijn vereist. Het wordt nadrukkelijk aanbevolen om een sterk wachtwoord voor deze account in te stellen. Zie Sterke wachtwoorden voor meer informatie. Zie Aanbevolen procedures voor Active Directory voor meer veiligheidsoverwegingen met betrekking tot accounts met beheerdersreferenties.

De account Administrator is een standaardlid van de groepen Administrators, Domeinadministrators, Ondernemingsadministrators, Maker Eigenaar Groepsbeleid en Schemabeheerders in Active Directory. De account Administrator kan nooit uit de groep Administrators worden verwijderd, maar u kunt de naam van de account wel wijzigen of de account uitschakelen. Omdat de account Administrator op vrijwel alle Windows-versies voorkomt, kunt u er op deze manier voor zorgen dat het voor kwaadwillende gebruikers moeilijker wordt om toegang tot de account te krijgen. Zie De naam van een lokale gebruikersaccount wijzigen en Een gebruikersaccount in- of uitschakelen voor meer informatie over het wijzigen van de naam of het uitschakelen van een gebruikersaccount.

De account Administrator is de eerste account die wordt gemaakt wanneer u een nieuw domein instelt met de wizard Active Directory installeren.

  • Belangrijk Als de account Administrator is uitgeschakeld, kunt u nog steeds toegang tot een domeincontroller krijgen door de optie Veilige modus te kiezen.

Account Gast

De account Gast wordt gebruikt door mensen die geen eigen account hebben in het domein. Gebruikers van wie de account is uitgeschakeld (maar niet verwijderd), kunnen ook gebruikmaken van de account Gast. Voor het gebruik van de account Gast is geen wachtwoord vereist.

De rechten en machtigingen voor de account Gast kunt u op dezelfde manier instellen als voor gewone gebruikersaccounts. De account Gast maakt standaard deel uit van de ingebouwde groep Gasten en de globale groep Domeingasten. Met de accounts in deze laatste groep kan een gebruiker zich aanmelden bij een domein. De account Gast is standaard uitgeschakeld en u wordt aangeraden deze account niet in te schakelen.

De account HelpAssistant (wordt geïnstalleerd bij een sessie van Hulp op afstand)

Dit is de primaire account waarmee een sessie van Hulp op afstand tot stand wordt gebracht. Deze account wordt automatisch gemaakt wanneer u Hulp op afstand aanvraagt en biedt beperkte toegang tot de computer. De account HelpAssistant wordt beheerd door de service Helpsessiebeheer voor Extern bureaublad en wordt automatisch verwijderd als er geen aanvragen voor Hulp op afstand in behandeling zijn. Zie Hulp op afstand beheren voor meer informatie over dit onderwerp.

Gebruikersaccounts beveiligen

Als de ingebouwde rechten en machtigingen niet door een netwerkbeheerder worden gewijzigd of uitgeschakeld, kunnen ze door kwaadwillende gebruikers (of services) worden gebruikt om zich met de identiteit Administrator of Gast aan te melden bij het domein. Om veiligheidsredenen verdient het aanbeveling de naam van deze accounts te wijzigen of deze accounts uit te schakelen. Aangezien de beveiligings-id (SID) van de account met de gewijzigde naam ongewijzigd blijft, behoudt de gebruikersaccount alle andere eigenschappen, zoals beschrijving, wachtwoord,groepslidmaatschappen, gebruikersprofiel, accountgegevens en eventuele toegewezen machtigingen en gebruikersrechten.

Beveiliging van gebruikersverificatie en machtiging werkt alleen wanneer u voor alle netwerkgebruikers een afzonderlijke gebruikersaccount maakt in Active Directory: gebruikers en computers. U kunt elke gebruikersaccount (met inbegrip van de accounts Administrator en Gast) toevoegen aan een groep om de rechten en machtigingen te beheren die aan de account zijn toegewezen. Als u accounts en groepen definieert die passen bij de opzet van het netwerk, zorgt u dat gebruikers die zich aanmelden bij het netwerk worden geïdentificeerd en alleen toegang hebben tot de bronnen waarvoor ze een machtiging hebben.

U kunt uw domein beschermen tegen indringers door het gebruik van sterke wachtwoorden verplicht te stellen en een accountvergrendelingsbeleid te implementeren. Sterke wachtwoorden beperken het risico van slim raadwerk en woordenboekaanvallen op wachtwoorden. Zie Sterke wachtwoorden en Wachtwoorden - aanbevolen procedures voor wachtwoorden voor meer informatie.

Een accountvergrendelingsbeleid verkleint de mogelijkheid dat een indringer uw domein in gevaar brengt door herhaalde aanmeldingspogingen. Dit komt doordat in een accountvergrendelingsbeleid wordt vastgesteld na hoeveel mislukte aanmeldingspogingen een gebruikersaccount wordt uitgeschakeld. Zie Accountvergrendelingsbeleid toepassen of aanpassen voor meer informatie.

Zie Active Directory beveiligen voor meer informatie over het beveiligen van gebruikersaccounts.

Opties voor accounts

Voor elke Active Directory-gebruikersaccount kunt u een aantal accountopties instellen. Met deze opties bepaalt u hoe de persoon die zich met die gebruikersaccount aanmeldt, wordt geverifieerd in het netwerk. Met de volgende opties kunt u wachtwoordinstellingen configureren en beveiligingsspecifieke informatie voor gebruikersaccounts configureren:

 

Accountoptie Omschrijving

Gebruiker moet wachtwoord bij volgende aanmelding wijzigen

Hiermee wordt een gebruiker gedwongen het wachtwoord te wijzigen de eerstvolgende keer wanneer hij of zij zich bij het netwerk aanmeldt. Gebruik deze optie als u er zeker van wilt zijn dat alleen de gebruiker dit wachtwoord weet.

Gebruiker kan wachtwoord niet wijzigen

Hiermee voorkomt u dat de gebruiker zijn of haar wachtwoord wijzigt. Gebruik deze optie wanneer u de controle wilt behouden over een gebruikersaccount, bijvoorbeeld voor een gastaccount of tijdelijk account.

Wachtwoord verloopt nooit

Hiermee voorkomt u dat een gebruikerswachtwoord verloopt. Het wordt aanbevolen deze optie in te schakelen voor serviceaccounts en hiervoor sterke wachtwoorden te gebruiken. Zie Sterke wachtwoorden voor meer informatie over sterke wachtwoorden.

Wachtwoorden opslaan met omkeerbare codering

Hiermee kan een gebruiker zich vanaf een Apple-computer aanmelden bij een Windows-netwerk. Als een gebruiker zich niet aanmeldt vanaf een Apple-computer, moet deze optie niet worden gebruikt. Zie Wachtwoorden opslaan met omkeerbare codering voor meer informatie.

Account is uitgeschakeld

Hiermee voorkomt u dat gebruikers zich aanmelden met de geselecteerde account. Veel beheerders gebruiken uitgeschakelde accounts als sjabloon voor veelvoorkomende gebruikersaccounts. Zie Een gebruikersaccount in- of uitschakelen voor meer informatie.

Voor interactief aanmelden is een smartcard vereist

Hierbij moet een gebruiker over een smartcard beschikken voor interactief aanmelden bij het netwerk. De gebruiker moet ook een smartcardlezer op de computer hebben aangesloten en over een geldige pincode voor de smartcard beschikken. Als deze optie is geselecteerd, wordt het wachtwoord voor de gebruikersaccount automatisch ingesteld op een willekeurige en complexe waarde en wordt de accountoptie Wachtwoord verloopt nooit ingesteld. Zie U bij een computer aanmelden met een smartcard enVerificatieproces voor meer informatie over smartcards.

Account wordt vertrouwd voor overdracht

Hiermee kan een service die wordt uitgevoerd onder deze account bewerkingen uitvoeren namens andere gebruikersaccounts in het netwerk. Een service die wordt uitgevoerd onder een gebruikersaccount (ook wel een serviceaccount genoemd) en die wordt vertrouwd voor overdracht kan een client imiteren om toegang te krijgen tot bronnen op de computer waarop de service wordt uitgevoerd of op andere computers. In een forest dat is ingesteld op het functionaliteitsniveau voor Windows Server 2003 is deze instelling te vinden op het tabblad Overdracht. De instelling is alleen beschikbaar voor accounts waaraan SPN's (Service Principal Names) zijn toegewezen, die zijn ingesteld met de opdracht setspn van de Windows-ondersteuningsprogramma's. Dit is een optie die van invloed kan zijn op de beveiliging en die daarom met zorg moet worden toegewezen. Zie Toestaan dat een gebruiker wordt vertrouwd voor overdracht en Verificatie overdragen voor meer informatie.

Deze optie is alleen beschikbaar op domeincontrollers met Windows Server 2003 waarbij de domeinfunctionaliteit is ingesteld op Windows 2000 gemengde modus of Windows 2000 native modus. Op domeincontrollers met Windows Server 2003 waarbij het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2003, wordt het tabblad Overdracht gebruikt voor het configureren van overdrachtinstellingen. Het tabblad Overdracht wordt alleen weergegeven voor accounts waaraan een SPN is toegewezen. Zie Domein- en forest-functionaliteit voor meer informatie over domeinfunctionaliteit. Zie Toestaan dat een gebruiker wordt vertrouwd voor overdracht voor meer informatie over het configureren van overdracht in een Windows Server 2003-domein.

De account is vertrouwelijk en kan niet worden overgedragen

Met deze optie kunt u de controle behouden over een gebruikersaccount, bijvoorbeeld voor een gastaccount of tijdelijk account. Deze optie kan worden gebruikt als aan deze account geen overdracht kan worden toegewezen door een andere account.

DES-coderingstypen gebruiken voor deze account

Biedt ondersteuning voor DES (Data Encryption Standard). DES ondersteunt meerdere coderingsniveaus, met inbegrip van MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit), IPSec DES (40-bit), IPSec 56-bit DES en IPSec Triple DES (3DES). Zie Gegevenscodering voor meer informatie over DES-codering.

Vooraf-verificatie voor Kerberos niet vereist

Biedt ondersteuning voor alternatieve implementaties van het Kerberos-protocol. Domeincontrollers met Windows 2000 of Windows Server 2003 kunnen andere mechanismen gebruiken voor het synchroniseren van de tijd. Omdat vooraf verifiëren extra veiligheid biedt, moet u zorgvuldig omgaan met deze optie. Zie Kerberos V5-verificatie voor meer informatie over Kerberos.

InetOrgPerson-accounts

Active Directory biedt ondersteuning voor de objectklasse InetOrgPerson en de bijbehorende kenmerken die zijn gedefinieerd in RFC 2798. De objectklasse InetOrgPerson wordt gebruikt in verschillende LDAP- en X.500-directory-services van andere leveranciers dan Microsoft ter aanduiding van personen binnen een organisatie.

Ondersteuning voor InetOrgPerson maakt migraties van andere LDAP-directory's naar Active Directory efficiënter. Het object InetOrgPerson is afgeleid van de gebruikersklasse en kan net als de gebruikersklasse worden gebruikt als beveiligings-principal. Zie Nieuwe gebruikersaccounts maken voor informatie over het maken van een InetOrgPerson-gebruikersaccount.

Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2003, kunt u het kenmerk userPassword voor InetOrgPerson en gebruikersobjecten instellen als wachtwoord, net als bij het kenmerk unicodePwd.

Computeraccounts

Elke computer met Windows NT, Windows 2000 of Windows XP of een server met Windows Server 2003 die lid wordt van een domein, heeft een computeraccount. Computeraccounts zijn net als gebruikersaccounts een middel waarmee de toegang van computers tot het netwerk en de domeinbronnen wordt geverifieerd en gecontroleerd. Elke computeraccount moet uniek zijn.

Opmerking Computers met Windows 95 en Windows 98 beschikken niet over geavanceerde beveiligingsfuncties en aan dergelijke computers worden geen computeraccounts toegewezen.

Gebruikers- en computeraccounts kunnen worden toegevoegd, uitgeschakeld, opnieuw ingesteld en verwijderd met Active Directory: gebruikers en computers. Een computeraccount kan tevens worden gemaakt wanneer u een computer toevoegt aan een domein. Zie Naamgeving in Active Directory en Objectnamen voor meer informatie over gebruikers- en computeraccounts.

Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows Server 2003, wordt een nieuw kenmerk lastLogonTimestamp gebruikt om het laatste aanmeldingstijdstip van een gebruikers- of computeraccount bij te houden. Dit kenmerk wordt gerepliceerd binnen het domein en kan u van belangrijke informatie voorzien over de geschiedenis van een gebruiker of computer.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft