Active Directory 用户帐户和计算机帐户代表物理实体,例如计算机或人。用户帐户也可用作某些应用程序的专用服务帐户。
用户帐户和计算机帐户(以及组)也称为安全主体。安全主体是被自动指派了安全标识符 (SID)(可用于访问域资源)的目录对象。用户或计算机帐户用于:
- 验证用户或计算机的身份。
用户帐户使用户能够利用经域验证后的标识登录到计算机和域。有关身份验证的信息,请参阅 Active Directory 中的访问控制。登录到网络的每个用户应有自己的唯一帐户和密码。为了获得最高的安全性,应避免多个用户共享同一个帐户。
- 授权或拒绝访问域资源。
一旦用户已经过身份验证,那么就可以根据指派给该用户的关于资源的显式权限,授予或拒绝该用户访问域资源。有关详细信息,请参阅 Active Directory 的安全信息。
- 管理其他安全主体。
Active Directory 在本地域中创建外部安全主体对象,用以表示信任的外部域中的每个安全主体。有关外部安全主体的详细信息,请参阅何时创建外部信任。
- 审核使用用户或计算机帐户执行的操作。
审核有助于监视帐户的安全性。有关审核的详细信息,请参阅审核概述。
用户帐户
位于 Active Directory 用户和计算机中的“Users”容器显示了三个内置用户帐户:Administrator、Guest 和 HelpAssistant。创建域时将自动创建这些内置的用户帐户。
每个内置帐户均有不同的权利和权限组合。Administrator 帐户对域具有最广泛的权利和权限,而 Guest 帐户的权利和权限则有限。下表描述了运行 Windows Server 2003 的域控制器上的每个默认用户帐户。
Administrator 帐户 | Administrator 帐户具有对域的完全控制权,可在必要时为域用户指派用户权利和访问控制权限。该帐户必须仅用于需要管理凭据的任务。推荐为此帐户设置强密码。有关详细信息,请参阅强密码。有关具有管理凭据的帐户的其他安全注意事项,请参阅Active Directory 最佳操作。 Administrator 帐户是 Active Directory 中 Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 Schema Admins 组的默认成员。虽然无法从 Administrators 组中删除 Administrator 帐户,但是您可以重命名或禁用此帐户。众所周知,Windows 的许多版本都存在 Administrator 帐户,所以重命名或禁用此帐户会使恶意用户尝试访问到它更加困难。有关如何重命名或禁用用户帐户的详细信息,请参阅重命名本地用户帐户或禁用或启用用户帐户。 Administrator 帐户是使用“Active Directory 安装向导”设置新域时创建的第一个帐户。
|
Guest 帐户 | Guest 帐户由在该域中没有实际帐户的人使用。帐户被禁用(但未被删除)的用户也可以使用 Guest 帐户。Guest 帐户不需要密码。 可以像设置任何用户帐户一样设置来宾帐户的权利和权限。默认情况下,Guest 帐户是内置 Guests 组和 Domain Guests 全局组的成员,它允许用户登录到域。默认情况下将禁用 Guest 帐户,并且建议将其保持禁用状态。 |
HelpAssistant 帐户(同“远程协助”会话一起安装) | 主帐户可用于建立“远程协助”会话。当请求“远程协助”会话时,系统将自动创建该帐户,同时该帐户只具有对计算机的受限访问权限。HelpAssistant 帐户由“远程桌面帮助会话管理器”服务管理,如果没有远程协助请求等待响应,系统将自动删除该帐户。有关远程协助的详细信息,请参阅管理远程协助。 |
转载于:https://blog.51cto.com/kevinzhao/711608