Recursos de acesso à rede de serviços. O acesso aos recursos para as pessoas se dá através de sua contas de usuários individuais. Para obter acesso à rede, os usuários da rede em potencial deve autenticar a uma rede com uma conta de usuário específica.
A autenticação é o processo de confirmação da identidade de um usuário usando um valor conhecido como um senha, um cartão inteligente ou uma impressão digital. Quando um usuário fornece um nome e uma senha, o processo de autenticação valida as credenciais fornecidas no logon contra informações que
foi armazenado na base de dados AD DS. Não confunda a autenticação com autorização, que é o processo de confirmação de que um usuário autenticado tem as permissões corretas para acesso de um ou mais recursos de rede.
Existem dois tipos de contas de usuário em sistemas que executam o Windows Server 2012, como segue:
Os usuários locais Estas contas só podem acessar recursos no computador local e são armazenados no local, conta Security Manager (SAM) no computador
onde residem. Contas locais nunca são replicadas para outros computadores, nem essas contas fornecem acesso domínio. Isto significa que uma conta local configurado em um servidor não pode ser usado para acessar recursos em um segundo servidor; você precisa configurar uma segunda conta local nesse caso.
Os usuários do domínio Estas contas podem acessar o AD DS ou recursos baseados em rede, tais como pastas e impressoras compartilhadas. Informação da conta para esses usuários é armazenada no AD
Banco de dados DS e replicada para todos os controladores de domínio no mesmo domínio. A subconjunto das informações de conta de usuário de domínio é replicado para o catálogo global, que é então replicada para outros servidores de catálogo global em toda a floresta.
Por padrão, duas contas de usuário internas são criadas em um computador com o Windows Server 2012: a conta de administrador ea conta de convidado. Contas de usuário Built-in pode ser local contas ou contas de domínio, dependendo se o servidor está configurado como um autônomo
servidor ou um controlador de domínio. No caso de um servidor independente, as contas internas são locais contas no próprio servidor. Em um controlador de domínio, as contas internas são de domínio
contas que são replicados para cada controlador de domínio.
Em um servidor membro ou servidor independente, a conta Administrador local built-in tem plena
controle de todos os arquivos, bem como permissões de gerenciamento completos para o computador local. Num controlador de domínio, a conta interna Administrador criado no Active Directory tem plena
controle do domínio no qual ele foi criado. Por padrão, há apenas um built-in
conta de administrador por domínio. Nem a conta de administrador local em um membro
servidor ou servidor independente, nem uma conta de administrador de domínio pode ser excluído; no entanto, eles
pode ser renomeado.
A lista a seguir resume várias diretrizes de segurança que você deve considerar em relação ao Conta de administrador:
Mudar o nome da conta de administrador Isso vai evitar ataques de que são alvo
especificamente o nome de usuário do administrador em um servidor ou domínio. Isso só vai proteger contra ataques bastante sofisticados, no entanto, e você não deve confiar nesta como o único meio de proteger as contas em sua rede.
Definir uma senha forte Certifique-se de que a senha é de pelo menos sete caracteres em comprimento e contém letras maiúsculas e minúsculas, números e caracteres alfanuméricos caracteres.
Limite conhecimento de senhas de administrador para apenas alguns indivíduos Limitando a distribuição de senhas de administrador limita o risco de violações de segurança usando esta conta.
Não use a conta de administrador para tarefas não administrativas diárias
Microsoft recomenda o uso de uma conta de usuário não administrativo para o trabalho normal e usando o comando Executar como quando tarefas administrativas precisam ser executadas.
A built-in conta Convidado é usada para fornecer acesso temporário à rede para um usuário
como um representante do fornecedor ou um empregado temporário. Como a conta de administrador, este conta não pode ser excluída, mas pode e deve ser renomeado. Além disso, a conta do cliente
está desativada por padrão e não é atribuído uma senha padrão. Na maioria dos ambientes, você
deve considerar a criação de contas exclusivas para o acesso do usuário temporário ao invés de confiar no Conta de convidado. Desta forma, você pode ter certeza que a conta segue as diretrizes de segurança da empresa
definidas para usuários temporários. No entanto, se você decidir usar a conta do cliente, reveja o seguintes diretrizes:
Mudar o nome da conta do cliente depois de ativar-lo para uso Como discutimos com o Conta de administrador, isso vai negar intrusos um nome de usuário, que é metade do informações necessárias para ter acesso ao seu domínio.
Definir uma senha forte A conta de convidado, por padrão, está configurado com um espaço em branco
senha. Por razões de segurança, você não deve permitir que uma senha em branco. Certificar-se que a senha é de pelo menos sete caracteres de comprimento e contém letras maiúsculas e letras minúsculas, números e caracteres alfanuméricos.