Exportera (0) Skriv ut
Visa allt

User and computer accounts

Dator- och användarkonton

Dator- och användarkonton i Active Directory representerar en fysisk enhet som exempelvis en dator eller person. Användarkonton kan också användas som dedicerade tjänstkonto för vissa program.

Dator- och användarkonton (samt grupper) kallas också för säkerhetsobjekt. Säkerhetsobjekt är katalogobjekt som automatiskt tilldelas säkerhets-ID:n (SID), som kan använda för att få åtkomst till domänresurser. Ett dator- eller användarkonto används för att:

  • Autentisera en dators eller användares identitet.
    Med ett användarkonto kan en användare logga in på datorer och domäner med en identitet som domänen kan autentisera. Information om autentisering finns i Access control in Active Directory. Varje användare som loggar in på nätverket ska ha ett eget unikt användarkonto och lösenord. För högsta säkerhet ska inte flera användare dela ett konto.
  • Auktorisera eller neka åtkomst till domänresurser.
    När användaren autentiserats auktoriseras eller nekas användaren åtkomst till domänresurser baserat på de explicita behörigheter som tilldelats användaren på resursen. Mer information finns i Security information for Active Directory.
  • Administrera andra säkerhetsobjekt.
    Active Directory skapar ett främmande säkerhetsobjekt i den lokala domänen som representerar varje säkerhetsobjekt från en betrodd extern domän. Mer information om främmande säkerhetsobjekt finns i When to create an external trust.
  • Granska åtgärder som utförs med dator- eller användarkontot.
    Granskning hjälper dig att övervaka kontosäkerhet. Mer information om granskning finns i Auditing overview.

Användarkonton

I användarbehållaren som finns i Active Directory – användare och datorer visas de tre inbyggda användarkontona: Administratör, gäst och hjälpassistent. Dessa inbyggda användarkonton skapas automatiskt när du skapar domänen.

Varje inbyggt konto har olika kombinationer av rättigheter och behörigheter. Administratörskontot har mest omfattande rättigheter och behörigheter över domänen, medan gästkontot har begränsade rättigheter och behörigheter. I tabellen nedan beskrivs varje standardanvändarkonto på domänkontrollanter som kör Windows Server 2003.

 

Standardanvändarkonto Beskrivning

Administratörskonto

Administratörskontot har full kontroll över domänen och kan tilldela användarrättigheter och åtkomstkontrollbehörigheter till domänanvändare efter behov. Kontot ska bara användas för uppgifter som kräver administratörsreferenser. Du bör konfigurera kontot med ett starkt lösenord. Mer information finns i Strong passwords. Ytterligare säkerhetsöverväganden för konton med administratörsreferenser finns i Active Directory Best practices.

Administratörskontot är standardmedlem av grupperna Administratörer, Domänadministratörer, Företagsadministratörer, Skapare och ägare av grupprincip samt Schemaadministratörer i Active Directory. Administratörskontot kan aldrig tas bort från gruppen Administratörer, men du kan byta namn på eller inaktivera det. Eftersom det är känt att administratörskontot finns på många versioner av Windows kan du göra det svårare för illvilliga användare att försöka få åtkomst till kontot genom att byta namn på eller inaktivera det. Mer information om hur du byter namn på eller inaktiverar ett användarkonto finns i Rename a local user account eller Disable or enable a user account.

Administratörskontot är det första konto som skapas när du konfigurerar en ny domän med guiden Installera Active Directory.

  • Viktigt När administratörskontot inaktiveras kan det fortfarande användas för att få åtkomst till en domänkontrollant med Felsäkert läge.

Gästkonto

Gästkontot används av personer som inte har ett konto på domänen. En användare vars konto inaktiverats (men inte tagits bort) kan också använda gästkontot. Till gästkontot krävs inget lösenord.

Du anger rättigheter och behörigheter för gästkontot precis som för ett användarkonto. Som standard är gästkontot medlem i den inbyggda gruppen Gäster och den globala gruppen Domängäster, som tillåter en användare att logga in på en domän. Gästkontot är inaktiverat som standard och rekommendationen är att det förblir inaktiverat.

Hjälpassistentkonto (installeras med en fjärrhjälpsession)

Det primära kontot som används för att etablera en fjärrhjälpsession. Detta konto skapas automatiskt när du begär en fjärrhjälpsession och har begränsad åtkomst till datorn. Hjälpassistentkontot hanteras av tjänsten Remote Desktop Help Session Manager och tas automatiskt bort om inga begäranden om fjärrhjälp väntar. Mer information om fjärrhjälp finns i Administrera fjärrhjälp.

Skydda användarkonton

Om inbyggda kontorättigheter och -behörigheter inte ändras eller inaktiveras av en nätverksadministratör kan de användas av en illvillig användare (eller tjänst) för att otillåtet logga in på en domän med administratörs- eller gästidentiteten. En bra säkerhetsmetod för att skydda dessa konton är att byta namn på eller inaktivera dem. Eftersom ett användarkonto behåller sitt säkerhets-ID (SID) behåller det alla sina andra egenskaper, som beskrivning, lösenord, gruppmedlemskap, användarprofil, kontoinformation och tilldelade behörigheter och användarrättigheter.

Om du vill få samma säkerhet som användarautentisering och -auktorisering skapar du ett individuellt användarkonto för varje användare som ska finns med på nätverket genom att använda Active Directory – användare och datorer. Varje användarkonto (inklusive administratörs- och gästkontot) kan läggas till en grupp för att kontrollera rättigheter och behörigheter som tilldelats kontot. Att använda konton och grupper som är lämpliga för ditt nätverk säkerställer att användare som loggar in på ett nätverk kan identifieras och bara har åtkomst till behöriga resurser.

Du kan hjälpa till att skydda domänen från angripare genom att kräva starka lösenord och genom att implementera en kontoutelåsningsprincip. Starka lösenord minskar risken för intelligenta gissningar och ordboksattacker på lösenord. Mer information finns i Strong passwords och Password Best practices för lösenord.

En kontoutelåsningsprincip minskar möjligheten att en angripare tar sig in i domänen via upprepade inloggningsförsök. Kontoutelåsningsprincipen bestämmer hur många misslyckade inloggningsförsök ett användarkonto kan ha innan det inaktiveras. Mer information finns i Apply or modify account lockout policy.

Mer information om hur du skyddar användarkonton finns i Securing Active Directory.

Kontoalternativ

Varje Active Directory-användarkonto har ett antal kontoalternativ som bestämmer hur någon som loggar in med ett visst användarkonto autentiseras på nätverket. Du kan använda följande alternativ för att konfigurera lösenordsinställningar och säkerhetsspecifik information för användarkonton:

 

Kontoalternativ Beskrivning

Användaren måste byta lösenord vid nästa inloggning

Tvingar en användare att byta lösenord nästa gång användaren loggar in på nätverket. Använd detta alternativ när du vill försäkra dig om att användaren är den enda person som känner till lösenordet.

Användaren kan inte byta lösenord

Förhindrar en användare från att byta lösenord. Använd detta alternativ när du vill behålla kontroll över ett användarkonto, som ett gästkonto eller tillfälligt konto.

Lösenordet upphör aldrig att gälla

Förhindrar att ett användarlösenord upphör att gälla. Rekommendationen är att tjänstkonton ska ha detta alternativ aktiverat och ska använda starka lösenord. Mer information om starka lösenord finns i Strong passwords.

Lagra lösenord med omvändbar kryptering

Tillåter att användare loggar in på ett Windows-nätverk från Apple-datorer. Om en användare inte loggar in från en Apple-dator ska detta alternativ inte användas. Mer information finns i Store passwords using reversible encryption.

Kontot är inaktivt

Hindrar en användare från att logga in med valt konto. Många administratörer använder inaktiverade konton som mallar för vanliga användarkonton. Mer information finns i Disable or enable a user account.

Ett smartkort krävs för interaktiv inloggning

Kräver att en användare har ett smartkort för att logga in på nätverket interaktivt. Användaren måste också ha en smartkortläsare ansluten till datorn samt en giltig PIN-kod för smartkortet. När detta alternativ väljs anges lösenordet för användarkontot automatiskt till ett slumpmässigt och komplext värde och kontoalternativet Lösenordet upphör aldrig att gälla anges. Mer information om smartkort finns i Logging on to a computer with a smart card och Authentication process.

Kontot är betrott för delegering

Tillåter att en tjänst som körs under det här kontot utför operationer åt andra användarkonton på nätverket. En tjänst som körs under ett användarkonto (också kallat ett tjänstkonto) som är betrott för delegering kan personifiera en klient för att få åtkomst till resurser på den dator där tjänsten körs eller på andra datorer. I en skog som angetts till Windows Server 2003-funktionalitetsnivån går det att hitta denna inställning på fliken Delegering, och är bara tillgänglig för konton som tilldelats tjänstens huvudnamn SPN, så som angetts med kommandot setspn från Windows supportverktyg. Detta är en säkerhetskänslig möjlighet och ska tilldelas med försiktighet. Mer information finns i Allow a user to be trusted for delegation och Delegating authentication.

Detta alternativ är bara tillgängligt på domänkontrollanter som kör Windows Server 2003 där domänfunktionaliteten är angiven till Windows 2000 blandat eller Windows 2000 enhetligt. På domänkontrollanter som kör Windows Server 2003 där domänfunktionalitetsnivån är angiven till Windows Server 2003 används fliken Delegering för att konfigurera delegeringsinställningar. Fliken Delegering visas bara för konton som har en tilldelad SPN. Mer information om domänfunktionalitet finns i Domain and forest functionality. Mer information om att konfigurera delegering i en Windows Server 2003-domän finns i Allow a user to be trusted for delegation.

Kontot är känsligt och kan inte delegeras

Ger kontroll över ett användarkonto, som ett gästkonto eller ett tillfälligt konto. Detta alternativ kan användas om kontot inte kan tilldelas för delegering av ett annat konto.

Använd DES-krypteringstyper för det här kontot

Ger stöd för DES (Data Encryption Standard). DES stöder flera krypteringsnivåer, inklusive MPPE Standard (40-bitars), MPPE Standard (56-bitars), MPPE Strong (128-bitars), IPSec DES (40-bitars), IPSec 56-bitars DES och IPSec Triple DES (3DES). Mer information om DES-kryptering finns i Data encryption.

Kräv inte Kerberos-förautentisering

Ger stöd för alternativa implementeringar av Kerberos-protokoll. Domänkontrollanter som kör Windows 2000 eller Windows Server 2003 kan använda andra mekanismer för att synkronisera tid. Eftersom förautentisering ger ytterligare säkerhet bör du var försiktig när du använder detta alternativ. Mer information om Kerberos finns i Kerberos V5 authentication.

InetOrgPerson-konton

Active Directory ger stöd för InetOrgPerson-objektklassen och dess associerade attribut definierade i RFC 2798. InetOrgPerson-objektklassen används i flera icke-Microsoft LDAP- och X.500-katalogtjänster för att representera personer inom en organisation.

Stöd för InetOrgPerson gör migreringar från andra LDAP-kataloger till Active Directory mer effektiva. InetOrgPerson-objektet härleds från användarklassen och kan användas som säkerhetsobjekt precis som användarklassen. Information om hur du skapar ett inetOrgPerson-användarkonto finns i Create a new user account.

När domänfunktionalitetsnivån angetts till Windows Server 2003 kan du ange userPassword-attributet på InetOrgPerson och användarobjekt som det gällande lösenordet precis som du kan med unicodePwd-attributet.

Datorkonton

Varje dator som kör Windows NT, Windows 2000, Windows XP, eller en server som kör Windows Server 2003 som ansluts till en domän har ett datorkonto. På liknande sätt som användarkonton ger datorkonton ett sätt att autentisera och granska datorkonton till nätverket och till domänresurser. Varje datorkonto måste vara unikt.

Obs Datorer som kör Windows 95 och Windows 98 har inte avancerade säkerhetsfunktioner och tilldelas inte datorkonton.

Dator- och användarkonton kan läggas till, inaktiveras, återställas och tas bort med hjälp av Active Directory – användare och datorer. Ett datorkonto kan också skapas när du ansluter en dator till en domän. Mer information om dator- och användarkonton finns i Active Directory naming och Object names.

När domänfunktionalitetsnivån angetts till Windows Server 2003 används ett nytt lastLogonTimestamp-attribut för att spåra den sista inloggningstiden för ett dator- eller användarkonto. Detta attribut replikeras inom domänen och kan ge dig viktig information om en dators eller användares historik.

Var detta till hjälp?
(1500 tecken kvar)
Tack för dina kommentarer

Gruppinnehåll

Lägg till
Visa:
© 2014 Microsoft