Exportovať (0) Tlačiť
Rozbaliť všetko
EN
Tento obsah nie je dostupný vo vašom jazyku, k dispozícii je však česká verzia.

Uživatelské účty a účty počítačů

Uživatelské účty a účty počítačů

Uživatelské účty a účty počítačů ve službě Active Directory reprezentují fyzické entity (například počítač nebo osobu). Uživatelské účty se v případě některých aplikací mohou používat také jako vyhrazené účty služeb.

Uživatelské účty a účty počítačů (a skupiny) jsou někdy označovány jako zaregistrované objekty zabezpečení. Zaregistrované objekty zabezpečení jsou objekty adresáře, kterým je automaticky přiřazeno ID zabezpečení (SID) a které lze použít pro přístup k prostředkům domény. Uživatelský účet nebo účet počítače je možné použít k těmto akcím:

  • Ověřování identity uživatele nebo počítače
    Uživatelský účet umožňuje uživateli přihlášení k počítači a doménám pomocí identity, kterou může doména ověřit. Informace o ověřování naleznete v tématu Řízení přístupu v adresáři služby Active Directory. Každý uživatel, který se přihlašuje k síti, by měl mít svůj vlastní uživatelský účet a heslo. Chcete-li dosáhnout vysoké úrovně zabezpečení, zabraňte používání jednoho účtu více uživateli.
  • Povolení nebo odepření přístupu k prostředkům domény
    Uživateli je po ověření povolen nebo odepřen přístup k prostředkům domény v závislosti na explicitních oprávněních přiřazených uživateli k danému prostředku. Další informace naleznete v tématu Informace o zabezpečení pro službu Active Directory.
  • Správa ostatních zaregistrovaných objektů zabezpečení
    Služba Active Directory vytvoří cizí zaregistrovaný objekt zabezpečení v místní doméně, který představuje zaregistrovaný objekt zabezpečení z důvěryhodné externí domény. Další informace o cizích zaregistrovaných objektech zabezpečení naleznete v tématu Kdy vytvořit externí vztah důvěryhodnosti.
  • Akce auditu prováděné pomocí účtu uživatele nebo účtu počítače
    Auditování pomáhá sledovat zabezpečení účtu. Další informace o auditování naleznete v tématu Auditování – přehled.

Uživatelské účty

Kontejner Uživatelé, který se nachází v nástroji Uživatelé a počítače služby Active Directory, obsahuje tři předdefinované uživatelské účty: Administrator, Guest a HelpAssistant. Předdefinované uživatelské účty jsou vytvořeny automaticky při vytvoření domény.

Každý předdefinovaný účet má jinou kombinaci práv a oprávnění. Účet Administrator má nejrozsáhlejší práva a oprávnění k doméně, zatímco účet Guest má práva a oprávnění omezená. Následující tabulka obsahuje popis všech výchozích uživatelských účtů v řadičích domény se systémem Windows Server 2003.

 

Výchozí uživatelský účet Popis

Účet Administrator

Uživatelé s účtem Administrator mají oprávnění k úplnému řízení domény a mohou podle potřeby přiřazovat uživatelům domény uživatelská práva a oprávnění řízení přístupu. Tento účet lze použít pouze pro úkoly vyžadující pověření pro správu. Doporučujeme nastavit u tohoto účtu silné heslo. Další informace získáte v tématu Silná hesla. Další důležité informace o zabezpečení účtů s pověřením pro správu najdete v tématu Doporučené postupy pro službu Active Directory.

Účet Administrator je ve službě Active Directory výchozím členem skupin Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners a Schema Admins. Tento účet nelze ze skupiny Administrators odstranit ani odebrat, ale může být přejmenován nebo zakázán. Je známo, že účet Administrator existuje v mnoha verzích systému Windows, proto by přejmenování nebo zakázání účtu mohlo uživatelům se zlými úmysly ztížit získání přístupu. Další informace o přejmenování nebo zakázání uživatelského účtu získáte v tématu Přejmenování místního uživatelského účtu nebo Zakázání nebo povolení uživatelského účtu.

Při vytváření nové domény pomocí Průvodce instalací služby Active Directory je jako první vytvořen účet Administrator.

  • Důležité upozornění: Přestože účet Administrator zakážete, bude stále možné získat přístup k řadiči domény v nouzovém režimu.

Účet Guest

Účet Guest slouží uživatelům, kteří v doméně nemají skutečný účet. Tento účet může použít také uživatel, jehož účet je zakázán (nikoli však odstraněn). Účet Guest nevyžaduje heslo.

U účtu Guest lze nastavit stejná práva a oprávnění jako u jiných uživatelských účtů. Ve výchozím nastavení je účet Guest členem předdefinované skupiny Guests a globální skupiny Domain Guests, která uživateli umožňuje přihlášení k doméně. Ve výchozím nastavení je účet Guest zakázán. Doporučujeme toto nastavení neměnit.

Účet HelpAssistant (instalován s relací vzdálené pomoci)

Jedná se o primární účet, který slouží k vytvoření relace vzdálené pomoci. Je vytvořen automaticky v případě požadavku na relaci vzdálené pomoci a je u něj nastaven omezený přístup k počítači. Účet HelpAssistant je spravován službou Správce relací nápovědy ke vzdálené ploše a po vyřízení všech čekajících požadavků na vzdálenou pomoc bude automaticky odstraněn. Další informace o vzdálené pomoci získáte v tématu Správa vzdálené pomoci.

Zabezpečení uživatelských účtů

Pokud správce sítě nezmění nebo nezakáže práva a oprávnění předdefinovaného účtu, mohou být využívána kterýmkoli uživatelem se zlými úmysly nebo službou k nepovolenému přihlašování k doméně pomocí identity Administrator nebo Guest. Doporučeným postupem zabezpečení těchto uživatelských účtů je jejich přejmenování nebo zakázání. Vzhledem k tomu, že zůstává zachováno ID zabezpečení (SID), zůstávají beze změny i další vlastnosti přejmenovaného uživatelského účtu, například popis, heslo, členství ve skupinách, profil uživatele, informace o účtu a všechna přiřazená oprávnění a uživatelská práva.

Chcete-li ověřování uživatele zabezpečit, vytvořte pomocí nástroje Uživatelé a počítače služby Active Directory samostatný účet pro každého uživatele, který bude pracovat v síti. Každý uživatelský účet (včetně účtu Administrator a Guest) je možné přidat do skupin za účelem kontroly práv a oprávnění přiřazených k danému účtu. Používání odpovídajících účtů a skupin v síti zajišťuje, že uživatele přihlašující se k síti je možné identifikovat a že mají přístup pouze k povoleným prostředkům.

Doménu lze před útoky ochránit používáním silných hesel a implementací zásad uzamčení účtů. Silná hesla snižují riziko uhodnutí hesla a slovníkových útoků. Další informace naleznete v tématech Silná hesla a Heslo – doporučené postupy pro hesla.

Zásady uzamčení účtů omezují možnost útoku na doménu pomocí opakovaných pokusů o přihlášení. Určují počet nezdařených pokusů o přihlášení pomocí některého uživatelského účtu před tím, než dojde k zakázání účtu. Další informace naleznete v tématu Nastavení nebo změna zásad uzamčení účtů.

Další informace o zabezpečení uživatelských účtů naleznete v tématu Zabezpečení služby Active Directory.

Možnosti účtu

Každý uživatelský účet služby Active Directory má řadu možností, které určují způsob, jakým se subjekt přihlašující se s určitým uživatelským účtem ověřuje v síti. Následující možnosti můžete použít ke konfiguraci nastavení hesla a informací týkajících se zabezpečení uživatelských účtů:

 

Možnost účtu Popis

Při dalším přihlášení musí uživatel změnit heslo

Vynutí změnu hesla uživatelem při příštím přihlášení k síti. Tuto možnost použijte, pokud chcete zajistit, že jedinou osobou, která zná heslo, je uživatel.

Uživatel nemůže měnit heslo

Zabraňuje uživatelům změnit heslo. Tuto možnost použijte, pokud chcete mít kontrolu nad uživatelským účtem (například účet Guest nebo dočasný účet).

Heslo je platné stále

Zabraňuje vypršení platnosti uživatelského hesla. Povolení této možnosti je doporučeno pro účty služeb. Vhodné je také použití silných hesel. Další informace o silných heslech naleznete v tématu Silná hesla.

Ukládat hesla pomocí reverzibilního šifrování

Umožňuje přihlášení uživatele počítače společnosti Apple k síti systému Windows. Pokud se uživatel nepřihlašuje pomocí počítače společnosti Apple, neměla by být tato možnost použita. Další informace naleznete v tématu Ukládání hesel pomocí reverzibilního šifrování.

Účet je zablokován

Zabraňuje uživateli v přihlášení pomocí vybraného účtu. Mnoho správců používá zakázané účty jako šablony pro běžné uživatelské účty. Další informace naleznete v tématu Zakázání nebo povolení uživatelského účtu.

Interaktivní přihlášení jen s kartou Smart Card

Tato možnost vyžaduje, aby uživatel pro interaktivní přihlášení k síti použil kartu Smart Card. Uživatel musí mít k počítači připojeno čtecí zařízení karet Smart Card a platné osobní identifikační číslo (kód PIN) karty Smart Card. Je-li vybrána tato možnost, je jako heslo k tomuto uživatelskému účtu automaticky nastavena náhodná a komplexní hodnota a je nastavena možnost účtu Heslo je platné stále. Další informace o kartách Smart Card naleznete v tématech Přihlášení k počítači pomocí karty Smart Card a Proces ověření.

Důvěřovat účtu pro delegování

Umožňuje službě spuštěné pod tímto účtem provádět operace jménem jiných uživatelských účtů v síti. Služba spuštěná pod uživatelským účtem (též známým jako účet služby), který je důvěryhodný pro delegování, se může vydávat za klienta, aby získala přístup k prostředkům v počítači, ve kterém je služba spuštěna nebo v jiném počítači. V doménové struktuře nastavené na funkční úroveň systému Windows Server 2003 se toto nastavení nachází na kartě Delegování. Je k dispozici pouze pro účty, kterým byly přiřazeny hlavní názvy služeb (SPN) pomocí příkazu setspn, což je jeden z nástrojů odborné pomoci systému Windows. Jedná se o možnost citlivou na zabezpečení a je třeba ji přiřazovat opatrně. Další informace naleznete v tématech Nastavení uživatele jako důvěryhodného pro delegování a Delegování ověření.

Tato možnost je k dispozici pouze v řadičích domény se systémem Windows Server 2003, u nichž je funkčnost domény nastavena na kombinovaný nebo nativní režim systému Windows 2000. V řadičích domény se systémem Windows Server 2003, u nichž je funkčnost domény nastavena na úroveň systému Windows Server 2003, je karta Delegování používána ke konfiguraci nastavení delegování. Karta Delegování se zobrazí pouze pro účty, které mají přiřazený název SPN. Další informace o funkčnosti domény naleznete v tématu Funkčnost domény a doménové struktury. Další informace týkající se konfigurace delegování v doméně systému Windows Server 2003 naleznete v tématu Nastavení uživatele jako důvěryhodného pro delegování.

Účet je citlivý a nelze jej delegovat.

Umožňuje kontrolu nad uživatelským účtem (například účet Guest nebo dočasný účet). Tuto možnost je možné použít, pokud nelze účet přiřadit k delegování jiným účtem.

Použít pro tento účet šifrování DES

Poskytuje podporu šifrování DES (Data Encryption Standard). Šifrování DES podporuje několik úrovní šifrování, včetně norem MPPE Standard (40bitový), MPPE Standard (56bitový), MPPE Strong (128bitový), IPSec DES (40bitový), IPSec 56bitový DES a IPSec Triple DES (3DES). Další informace o šifrování DES naleznete v tématu Šifrování dat.

Nevyžadovat předběžné ověření modulem Kerberos

Poskytuje podporu pro alternativní implementaci protokolu Kerberos. Řadiče domény se systémem Windows 2000 nebo Windows Server 2003 mohou používat k synchronizaci času jiné mechanismy. Při povolení této možnosti postupujte opatrně, protože předběžné ověřování představuje dodatečné zabezpečení. Další informace o protokolu Kerberos naleznete v tématu Ověřování prostřednictvím protokolu Kerberos V5.

Účty InetOrgPerson

Služba Active Directory podporuje třídu objektu InetOrgPerson a její přidružené atributy definované v dokumentu RFC 2798. Třída objektu InetOrgPerson je používána v několika adresářových službách LDAP a X.500 jiných společností než Microsoft , ve kterých představuje osoby v rámci organizace.

Podpora třídy objektu InetOrgPerson zvyšuje účinnost přenesení z ostatních adresářů LDAP do služby Active Directory. Objekt InetOrgPerson je odvozen z třídy uživatele a je možné ho použít jako zaregistrovaný objekt zabezpečení (stejně jako třídu uživatele). Informace o vytváření uživatelského účtu InetOrgPerson naleznete v tématu Vytvoření nového uživatelského účtu.

Pokud byla funkční úroveň domény nastavena na systém Windows Server 2003, můžete nastavit atribut userPassword v objektech InetOrgPerson a User jako platné heslo, podobně jako pomocí atributu unicodePwd.

Účty počítačů

Každý počítač se systémem Windows NT, Windows 2000, Windows XP nebo server se systémem Windows Server 2003, který se připojí k doméně, má účet počítače. Účty počítačů, podobně jako účty uživatelů, umožňují ověřování a kontrolu přístupu počítače k síti a přístupu k prostředkům domény. Všechny účty počítačů musí být jedinečné.

Poznámky: Počítače se systémy Windows 95 a Windows 98 nemají upřesňující funkce zabezpečení a nejsou jim přiřazeny účty počítačů.

Pomocí nástroje Uživatelé a počítače služby Active Directory lze přidat, zakázat, obnovit a odstranit uživatelské účty a účty počítačů. Účet počítače je možné vytvořit při připojení počítače k doméně. Další informace o uživatelských účtech a účtech počítačů naleznete v tématech Názvy ve službě Active Directory a Názvy objektů.

Pokud byla funkční úroveň domény nastavena na systém Windows Server 2003, můžete pomocí nového atributu lastLogonTimestamp zjistit čas posledního přihlášení uživatelského účtu nebo účtu počítače. Tento atribut je v doméně replikován a může poskytnout důležité informace týkající se historie uživatele nebo počítače.

Bol tento článok užitočný?
(Zostávajúci počet znakov: 1500)
Ďakujeme za pripomienky

Obsah od komunity

Pridať
Zobraziť:
© 2014 Microsoft