用户属性 - 帐户部分

更新时间: 2009年2月

应用到: Windows Server 2008 R2, Windows Server 2012

 

项目 详细信息

用户 UPN 登录

左侧文本框提供的空间用于键入此用户的帐户名。这是用户用来登录 Active Directory 域的名称。

右侧的下拉列表列出了可用于创建用户登录名的用户主体名称 (UPN) 后缀。此列表包含当前域的域名系统 (DNS) 全名、当前林的根域的 DNS 全名、以及使用“Active Directory 域和信任关系”创建的任何备用 UPN 后缀。

用户 SamAccountName 登录

左侧的只读文本框显示了运行 Windows 2000 以前操作系统的计算机使用的域名。

右侧文本框提供的空间用于键入用户的 Windows 2000 以前的登录名。

“防止意外删除”复选框

选择此选项可以更新对象及其可能的父对象的安全描述符,以拒绝此域和域控制器的所有管理员或用户删除此对象。

note注意
此设置不能防止意外删除包含受保护对象的子树。因此,建议你对包括域命名上下文标题在内的所有受保护对象的容器启用此设置。

登录小时数

单击此选项可以更改此所选对象可以登录到域的时间。默认情况下,每周 7 天、每天 24 小时允许域登录。请注意,此控制不影响用户使用本地计算机帐户(而非域帐户)从本地登录到计算机的能力。

登录到

单击此选项可以指定工作站登录限制,即仅允许此用户登录到域中指定的计算机。默认情况下,用户可以登录到加入域的任何工作站计算机。请注意,此控制不影响用户使用本地计算机帐户(而非域帐户)从本地登录到计算机的能力。

帐户过期

为此用户设置帐户过期策略。可以选择以下两个选项之一:

  • 使用“从不”指定所选帐户永不过期。这是新用户的默认选项。

  • 如果希望用户帐户在指定日期过期,则选择“结束日期”,然后选择一个日期。

密码选项

下面是 Active Directory 用户帐户的密码选项:

  • “用户下次登录时须更改密码”- 强制用户在下次登录网络时更改自己的密码。要确保该用户是知道密码的唯一人选时启用此选项。

  • “交互式登录时需要智能卡”- 要求用户拥有智能卡才能以交互方式登录到网络。用户还必须具有连接到计算机的智能卡读卡器以及智能卡的有效个人标识号 (PIN)。

  • “密码永不过期”- 防止用户的密码过期。建议服务帐户启用此选项并使用强密码。

  • “用户不能更改密码”- 防止用户更改自己的密码。要对用户帐户(如 Guest 帐户或临时帐户)保持控制时可启用此选项。

加密选项

下面是 Active Directory 用户帐户的加密选项:

  • “用可还原的加密存储密码”—为使用需要用户密码信息用于身份验证的协议的应用程序提供支持。存储可还原加密的强密码与存储密码的明文版本相同。此策略绝不应启用,除非应用程序需求不保护密码信息的需求更重要。

  • “为此帐户使用 Kerberos DES 加密类型”- 提供对数据加密标准 (DES) 的支持。DES 支持多个加密级别,包括 Microsoft 点对点加密 (MPPE) 标准(40 位)、MPPE 标准(56 位)、MPPE 强密码(128 位)、Internet 协议安全 (IPsec) DES(40 位)、IPsec 56 位 DES 和 IPsec 三重 DES (3DES)。

  • 此帐户支持 Kerberos AES 128 位加密

  • 此帐户支持 Kerberos AES 256 位加密

note注意
Kerberos 高级加密标准 (AES) 加密选项(同时包括 128 位选项和 256 位选项)仅在域功能级别设置为 Windows Server 2008 R2、 Windows Server 2008 或 Windows Server 2003 时才可用。AES 是一种已由美国国家标准和技术研究院 (NIST) 标准化的新加密算法。 有关 Kerberos 身份验证的详细信息,请参阅“Kerberos 解释” (http://go.microsoft.com/fwlink/?LinkId=85494)。

其他选项

下面是 Active Directory 用户帐户的其他选项:

  • “敏感帐户,不能被委派”- 如果无法将帐户(例如 Guest 或临时帐户)分配给其他帐户进行委派,则可以使用此选项。有关详细信息,请参阅“启用委派的身份验证” (http://go.microsoft.com/fwlink/?LinkId=143007)。

  • “不要求 Kerberos 预身份验证”- 提供对 Kerberos 协议备用实现的支持。但在启用此选项时请保持慎重,因为 Kerberos 预身份验证提供了其他安全性,并要求客户端和服务器之间的时间同步。有关详细信息,请参阅“Kerberos 解释” (http://go.microsoft.com/fwlink/?LinkID=120374)。

其他参考

社区附加资源

添加
显示: