Active Directory 用戶帳戶和計算機帳戶代表物理實體,例如計算機或人。用戶帳戶也可用作某些應用程序的專用服務帳戶。
用戶帳戶和計算機帳戶(以及組)也稱爲安全主體。安全主體是被自動指派了安全標識符 (SID)(可用於訪問域資源)的目錄對象。用戶或計算機帳戶用於:
- 驗證用戶或計算機的身份。
用戶帳戶使用戶能夠利用經域驗證後的標識登錄到計算機和域。有關身份驗證的信息,請參閱 Active Directory 中的訪問控制。登錄到網絡的每個用戶應有自己的唯一帳戶和密碼。爲了獲得最高的安全性,應避免多個用戶共享同一個帳戶。
- 授權或拒絕訪問域資源。
一旦用戶已經過身份驗證,那麼就可以根據指派給該用戶的關於資源的顯式權限,授予或拒絕該用戶訪問域資源。有關詳細信息,請參閱 Active Directory 的安全信息。
- 管理其他安全主體。
Active Directory 在本地域中創建外部安全主體對象,用以表示信任的外部域中的每個安全主體。有關外部安全主體的詳細信息,請參閱何時創建外部信任。
- 審覈使用用戶或計算機帳戶執行的操作。
審覈有助於監視帳戶的安全性。有關審覈的詳細信息,請參閱審覈概述。
用戶帳戶
位於 Active Directory 用戶和計算機中的“Users”容器顯示了三個內置用戶帳戶:Administrator、Guest 和 HelpAssistant。創建域時將自動創建這些內置的用戶帳戶。
每個內置帳戶均有不同的權利和權限組合。Administrator 帳戶對域具有最廣泛的權利和權限,而 Guest 帳戶的權利和權限則有限。下表描述了運行 Windows Server 2003 的域控制器上的每個默認用戶帳戶。
|
Administrator 帳戶 |
Administrator 帳戶具有對域的完全控制權,可在必要時爲域用戶指派用戶權利和訪問控制權限。該帳戶必須僅用於需要管理憑據的任務。推薦爲此帳戶設置強密碼。有關詳細信息,請參閱強密碼。有關具有管理憑據的帳戶的其他安全注意事項,請參閱Active Directory 最佳操作。 Administrator 帳戶是 Active Directory 中 Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 Schema Admins 組的默認成員。雖然無法從 Administrators 組中刪除 Administrator 帳戶,但是您可以重命名或禁用此帳戶。衆所周知,Windows 的許多版本都存在 Administrator 帳戶,所以重命名或禁用此帳戶會使惡意用戶嘗試訪問到它更加困難。有關如何重命名或禁用用戶帳戶的詳細信息,請參閱重命名本地用戶帳戶或禁用或啓用用戶帳戶。 Administrator 帳戶是使用“Active Directory 安裝嚮導”設置新域時創建的第一個帳戶。
|
|
Guest 帳戶 |
Guest 帳戶由在該域中沒有實際帳戶的人使用。帳戶被禁用(但未被刪除)的用戶也可以使用 Guest 帳戶。Guest 帳戶不需要密碼。 可以像設置任何用戶帳戶一樣設置來賓帳戶的權利和權限。默認情況下,Guest 帳戶是內置 Guests 組和 Domain Guests 全局組的成員,它允許用戶登錄到域。默認情況下將禁用 Guest 帳戶,並且建議將其保持禁用狀態。 |
|
HelpAssistant 帳戶(同“遠程協助”會話一起安裝) |
主帳戶可用於建立“遠程協助”會話。當請求“遠程協助”會話時,系統將自動創建該帳戶,同時該帳戶只具有對計算機的受限訪問權限。HelpAssistant 帳戶由“遠程桌面幫助會話管理器”服務管理,如果沒有遠程協助請求等待響應,系統將自動刪除該帳戶。有關遠程協助的詳細信息,請參閱管理遠程協助。 |