п'ютерів називаються учасниками безпеки. Останні є об'єктами каталогів, яким автоматично призначають коди безпеки (SID) для доступу до ресурсів домена. p align="justify"> Обліковий запис користувача або комп'ютера використовується для наступних цілей:
перевірки автентичності користувача або комп'ютера;
дозволу або заборони доступу до ресурсів домена;
аудиту дій, виконуваних з використанням облікового запису користувача або комп'ютера. Аудит допомагає при спостереженні за безпекою облікових записів. p align="justify"> Облікові записи користувачів
Облікові записи користувачів, створені автоматично при установці домену, називаються вбудованими обліковими записами користувачів. Після установки Active Directory контейнер Users, розташований в оснащенні Active Directory - користувачі та комп'ютери, відображає вбудовані облікові записи користувачів: В«АдміністраторВ», «óстьВ».
Обліковий запис адміністратора має найбільші права і вирішення в домені, а обліковий запис гостя - обмежені права та дозволи.
За допомогою облікового запису В«АдміністраторВ» можна повністю контролювати домен, призначати права користувачів і дозволу управління доступом для користувачів домену. Цей запис має використовуватися тільки для завдань, виконання яких вимагає облікових даних адміністратора. Типово обліковий запис В«АдміністраторВ» включається до групи Адміністратори, Адміністратори домену, Адміністратори підприємства, Власники-творці групової політики і Адміністратори схеми в Active Directory. Вона не може бути видалена або переміщена з групи "Адміністратори", але її настійно рекомендуємо перейменувати, оскільки коди безпеки (SID) облікових записів зберігаються, а у перейменованої облікового запису залишаються всі інші властивості, в тому числі опис, пароль, приналежність до груп, профіль користувача , облікова інформація, а також будь-які дозволи і права користувача.
Обліковий запис «óстьВ» використовується тими, хто не має дійсної облікового запису в домені. Якщо обліковий запис користувача відключена (але не видалена), він також може скористатися обліковим записом «óстьВ». Обліковий запис «óстьВ» не вимагає пароля. br/>
XX vy Тi vy vy vy
Облікового запису «óстьВ», як і будь-який інший облікового запису, можна надавати права та дозволи на доступ до об'єктів. Типово обліковий запис «óстьВ» є членом вбудованої групи В«ГостіВ» і глобальної групи В«Гості доменуВ», що дозволяють користувачам входити в домен. За умовчанням вона відключена. Рекомендуємо залишити її в цьому положенні. p align="justify"> Захист облікових записів користувачів
Для забезпечення безпеки перевірки автентичності користувача слід створювати окремі облікові записи для кожного користувача мережі, застосовуючи для цього оснастку Active Directory - користувачі та комп'ютери. Кожна обліковий запис користувача (включаючи облікові записи адміністратора і гостя) може бути додана в групу для управління правами і дозволами, призначеними цього облікового запису. Використання відповідних цій мережі облікових записів і груп дозволяє перевірити справжність входить у мережу користувача і можливість надання йому дозволених ресурсів.
Підвищити захист домену від атак можна за допомогою надійних паролів і політики блокування облікових записів. Застосування політики блокування облікових записів знижує ймовірність проникнення зловмисника в домен шляхом повторних спроб. Політика блокування облікових записів дозволяє встановити число невдалих спроб входу в систему, після яких обліковий запис відключається. p align="justify"> Параметри обліковими записів
Кожна обліковий запис користувача Active Directory має ряд параметрів, що відносяться до безпеки і визначальних, як проводиться перевірка справжності даної облікової запису при вході в мережу. Параметри пароля та безпеки для облікових записів можна налаштувати зазначеними нижче способами.
Вим...
