Benutzername   Passwort       Register

Active Directory-Sicherheit Principal-Konten

Understanding Active Directory-Sicherheit Principal-Konten

Active Directory besteht aus einer erheblichen Anzahl von Objekten, und die Vielfalt der Objekte, von denen sich die Sicherheit wichtigsten Konten ein. Sicherheit wichtigsten Konten sind Active Directory-Objekte, die zugeordnet sind einzigartige Sicherheits-IDs (SIDs) und sind daher in Active Directory-Authentifizierung und Sicherheit. Eine Sicherheit wichtigsten Konto kann als eines Benutzer-Accounts, Gruppen-Konto oder Computer-Konto definiert werden, dass eine SID zugeordnet ist, und ist auch zugewiesenen Berechtigungen für bestimmte Netzwerk-Ressourcen oder Active Directory-Objekte zugreifen, oder für bestimmte Aktionen auf diesen Objekten durchzuführen. Die SID wird verwendet, um die Benutzer, Gruppen oder Computer zu identifizieren. Zugriff auf Active Directory-Objekten wird durch die Gewährung von Berechtigungen oder Verweigern von Berechtigungen für die Sicherheit Schulleiter kontrolliert. Eine Berechtigung kann als die Fähigkeit, Zugang und eine Aktion (en) auf ein Objekt definiert werden. Berechtigungen für ein Objekt gewährt werden oder durch Administratoren oder durch den Eigentümer der jeweiligen Objekt wurde verweigert. Die Sicherheitseinstellungen, die für einen Benutzer, Gruppe oder Computer definiert sind, bestimmt und kontrolliert, ob die besondere Sicherheit wichtigsten Konto Zugriff auf Active Directory, Client-Computern, Mitglied Server, Domain Controller, Anwendungen hat, und andere Netzwerk-Ressourcen und Dienstleistungen.

Die gemeinsamen Active Directory-Objekte, die als Sicherheit wichtigsten Konten gehören zu betrachten sind die folgenden:

  • Benutzer-Accounts: Dies sind die Active Directory-Objekte eindeutig zu identifizieren, die Nutzer des Netzes. Ein Benutzer-Account ermöglicht dem Benutzer, sich auf die Domäne und den Zugriff auf Ressourcen. Ein lokaler Benutzer-Account ermöglicht dem Benutzer, sich auf einen Computer und Zugang zu lokalen Ressourcen auf diesem Computer. Ein Domain-Benutzer-Account ermöglicht dem Benutzer, sich auf einer Domäne ist, und auf Netzwerkressourcen zugreifen. Built-in Benutzer-Accounts sind in der Regel für administrative Aufgaben eingesetzt.

  • Gruppen: Nur Sicherheitsgruppen sind als Sicherheit Auftraggeber angesehen. Verteilergruppen sind nicht als Sicherheit regeln. Durch die Bündelung der Benutzer in Sicherheitsgruppen, ein Administrator kann die Sicherheits-Berechtigungen für die Mitglieder der Gruppe zu verwalten als eine Einheit.

  • Computer-Konten: Computer-Konten werden in der Regel für die Authentifizierung verwendet, weil sie den Client-Computern, die zu einer Domäne gehören zu identifizieren.

Ein paar gemeinsame Merkmale der Sicherheit wichtigsten Konten sind unten aufgeführt:

  • Sie können Berechtigungen für die Sicherheit wichtigsten Konten zuordnen, so dass die Benutzer, Gruppe oder Computer-Netzwerk-Ressourcen zugreifen können.

  • Sie können zu gewähren Nutzungsrechte für Sicherheit wichtigsten Konten.

  • Sie können die Prüfung auf die Aktionen von Benutzern, Gruppen oder Computer zu verfolgen.

Verständnis der Rolle der Sicherheits-IDs (SIDs) zugeordnet Sicherheit Principal-Konten

AS hilft bei der Steuerung des Zugriffs auf Ressourcen Glossary Link im Netzwerk. Eine einzigartige SID ist für jede Sicherheit abgetretenen wichtigsten Konto, wenn Sie die Konten. Eine SID wird verwendet, weil es konstant bleibt, auch wenn die Namen der Objekte verändert werden.

Die SID eines Sicherheit wichtigsten Konto besteht aus den folgenden Hauptkomponenten:

  • Die Domänen-ID

  • Eine relative Kennung

Die Domänen-ID ist für jedes Objekt innerhalb der Domäne identisch. Die relative Kennung auf der anderen Seite ist für jedes Wertpapier wichtigsten einzigartig. Eine Domäne in Active Directory ist ein Domänencontroller, der die Rolle der Relative-ID dient (RID) Master. Es ist der RID-Master generiert, die die relativen Kennungen, die verwendet werden, wenn AS erstellt werden. Nur ein Domänencontroller in der Domäne zugewiesen ist diese Rolle, weil alle Domänencontroller in der Domäne verwendet, um die Sicherheit wichtigsten Konten zu erstellen, und jeder RID werden kann, muss eindeutig sein. Der Domänen-Controller dient der RID-Master Rolle steuert die RID-Pool. Dies ist ein Pool mit relativen IDs, die auf Domänencontroller so verteilt sind, dass sie ihnen die Sicherheit wichtigsten Konten zuordnen können, wenn sie erstellt werden. Wenn ein Domänencontroller relative Identifikatoren nahe zu sein erschöpft ist, der Domäne-Controller Zugriffe zusätzliche relative Identifikatoren von der RID-Master, so dass die Versorgung kann wieder aufgefüllt werden.

Wie bereits erwähnt, die SID an einen Sicherheit wichtigsten Konto zugeordnet bleibt einzigartig. Das bedeutet, dass, wenn der Benutzername oder das andere Attribut mit einem bestimmten Objekt verbundenen Veränderungen der SID, bleibt das gleiche. Wie Sie sehen können, würde es keinen Sinn, auf Objekt-Zugriff über den Namen eines Objekts - Objektnamen kontrollieren könnte geändert werden müssen.

Eine SID hat folgendes Format: SR-IA-SA-SA-RID:

  • S: Gibt die Anzahl als eine SID.

  • R: Gibt die Änderung der SID. AS hat eine Überarbeitung der 1.

  • IA: Zeigt die ausstellende Behörde zurück. Die Mehrheit der AS verwendet die NT-Autorität, die Identität Zahl 5 ist.

  • SA: Zeigt die sub-Behörde

  • RID: Zeigt die relative ID, dass die Sicherheit wichtigsten Konto darstellt.

Der folgende Abschnitt untersucht die Art und Weise, in der die SIDs Sicherheitsprinzipale verwendet wird. Die Local Security Authority (LSA) ein Access Token erstellt, wenn sich ein Benutzer an der Domäne. In der Tat ist jedes Mal, wenn sich ein Benutzer an der Domäne, ein Zugangs-Token erstellt. Es ist der Zugang zum Zeichen, daß der Zugang der einzelnen Nutzer zu den Ressourcen in der Domäne Kontrollen.

Die Zugangs-Token von der LSA für einen Benutzer erstellt enthält folgende Elemente:

  • Die Anmeldung des Benutzers

  • Die SID des jeweiligen Nutzers

  • Die Namen aller Gruppen, zu denen der Benutzer gehört

  • Die SIDs dieser Gruppen

  • Die Privilegien, die dem Benutzer zugeordnet sind

In dem Moment, dass ein Benutzer versucht, auf eine Netzwerkressource zuzugreifen, das System bezieht sich auf die Informationen in der Access-Token und vergleicht es mit dem Schlagwort Sicherheit der Ressource, die der Benutzer zugreifen will. Eine Sicherheitsbeschreibung enthält die folgenden Access-Control-Listen:

  • Discretionary Access Control List (DACL): Die DACL enthält die ACEs, die mit der Ressource zugeordnet sind.

    • Die ACEs steuert den Zugriff auf die Ressource, weil sie angibt, ob der Benutzer, auf der SID basiert, erlaubt ist oder keinen Zugang zu der Ressource.

    • Die ACEs festlegen, ob die bestimmten Benutzer geprüft werden sollte.

    • Die DACL auch definiert, welche Aktionen der Benutzer ist es gestattet, auf der Ressource ausführen.

  • System Access Control List (SACL): Die SACL enthält ACEs, die definiert, ob der Zugriff auf die Ressource geprüft werden sollte.

Der Prozess, der auftritt, wenn ein Benutzer Zugriff auf eine Ressource Versuche ist im Folgenden zusammengefasst:

  • Das System prüft, ob die Ressource, die der Benutzer versucht, sich Zugang hat eine DACL.

  • Der Zugang ist für den Benutzer erteilt, wenn die Ressource nicht DACL hat. Dies bedeutet, dass keine Zugangs-Kontrolle für diese spezielle Ressource existiert.

  • Wenn die Ressource hat einen zugehörigen DACL, geht das System zu prüfen, um ACEs, die in der DACL in einer bestimmten Reihenfolge, so dass es festzustellen, ob der Zugriff auf die Ressource sollte erlaubt oder verweigert werden, für diesen Benutzer kann.

  • Nach dem ACEs geprüft werden, würde das System haben gefunden:

    • Ein Eintrag oder mehrere Einträge, die der Benutzer Zugriff auf die Ressource gewährt

    • Ein Eintrag, der Zugriff auf die Ressource für diesen Benutzer bestreitet

    • Keine Einträge gewähren oder verweigern den Zugang zu der Ressource. Wenn dies geschieht, wird der Benutzer keinen Zugriff auf die Ressource.

Zusätzlich zu den SIDs, stellen Benutzer-, Gruppen-und Computerkonten, gibt es spezifische SIDs, stellt Standard-Konten und Gruppen, die auch genannt werden bekannte Sicherheits-IDs. Bekannte SIDs in der Regel stammen aus der Gruppe Mitgliedschaft durch das Betriebssystem zugewiesen. Namhafte AS befindet sich in einem Windows Server 2003 Active Directory-Umgebung gefunden.

Die verschiedenen Arten von bekannten SIDs sind unten aufgeführt:

  • Anonyme Anmeldung (S-1-5-7): Das bekannte SID wird verwendet, wenn sich ein Benutzer anmeldet, ohne dass sich anmelden Anmeldeinformationen

  • Authentifizierte Benutzer (S-1-5-11): Das bekannte SID wird verwendet, wenn Benutzer über einzelne Konten / Netzwerk authentifiziert werden.

  • Batch (S-1-5-3): Das bekannte SID wird verwendet, wenn Benutzer sich über eine Batch-Queue-Mechanismus.

  • Ersteller-Besitzer (S-1-3-0): fungiert als Platzhalter in vererbbaren ACE in ACLs

  • Creator Group (S-1-3-1): fungiert als Platzhalter SID

  • Dialup (S-1-5-1): Das bekannte SID wird verwendet, wenn Benutzer sich über eine DFÜ-Verbindung.

  • Jeder "(S-1-1-0): Zeigt die Gruppe" Jeder ", einschließlich der authentifizierte Benutzer und das Gastkonto.

  • Interactive (S-1-5-4): Das bekannte SID wird verwendet, wenn Benutzer auf dem lokalen Computer anzumelden, und wenn Benutzer verbunden mit Terminal Services.

  • Lokales System (S-1-5-18): Das bekannte SID für einen Dienst-Account, die das System läuft verwendet.

  • Network (S-1-5-2): Das bekannte SID ist für Benutzer verwendet werden, wenn sie sich anmelden über eine Netzwerkverbindung.

  • Andere Organisation (S-1-5-1000): Das bekannte SID wird verwendet, um festzustellen, ob die Nutzer anderer Domains dürfen sich zu authentifizieren.

  • Self (S-1-5-10): Das bekannte SID wird als ein Platzhalter für einen Benutzer von einem bestimmten SID identifiziert werden.

  • Service (S-1-5-6): Das bekannte SID wird aus Sicherheitsgründen Prinzipien verwendet, die Anmeldung als Dienst

  • Terminal Server Users (S-1-5-13): Das bekannte SID ist für Benutzer verwendet, die sich an einem Terminal-Services-Server.

Obwohl es in der Regel nicht erforderlich sind, um SIDs Ansicht nach gibt es Kommandozeilen-Tools zur Verfügung, die verwendet werden, um SIDs zu sehen.

  • Whoami Kommandozeilen-Tool: Sie können dieses Tool verwenden, wenn Sie den Zugriff auf alle Token-Informationen eines Benutzers anzeigen möchten. Die Informationen, die Sie aufrufen über den Befehl whoami / all include:

    • Der Benutzername

    • Group Information

    • Alle SIDs des Benutzers

    • Benutzerberechtigungen

  • Ntdsutil Kommandozeilen-Tool: Wenn nötig, können Sie dieses Tool verwenden, um SIDs zu verwalten. Da immer nur ein RID-Master ist für jede Domäne erlaubt, keine doppelten SIDs sollten für Domains in Ihrem Active Directory-Umgebung vorhanden ist. In Fällen, in denen dies auftreten, verwenden Sie die Ntdsutil Kommandozeilen-Werkzeug, um alle doppelten SIDs löschen. Die Befehle, die in Ntdsutil verwendet werden können, um SIDs zu verwalten sind unten aufgeführt.

    • Check doppelte SID, die Domain-Datenbank ist für doppelten SIDs geprüft

    • Cleanup doppelte SID, die Domain-Datenbank ist für doppelten SIDs überprüft und die festgestellten doppelten SIDs wird dann gelöscht.

    • Connect to server% s, zeigt die Domain-Controller oder Server eine Verbindung zu schaffen.

    • Log-Datei% s, zeigt den Speicherort für die Protokolldatei.

    • Hilfe, Hilfe angezeigt.

So erstellen und Berechtigungen für die Sicherheit wichtigsten Konten

Um ein neues Benutzerkonto zu erstellen, verwenden Sie die unten aufgeführten Schritten:

  1. Öffnen Sie die Active Directory-Benutzer und-Computer-Konsole

  2. In der Konsolenstruktur mit der rechten Maustaste auf den Container, in dem die neuen Benutzer-Account erstellt werden soll, und wählen Sie Neu, und dann Benutzer aus dem Kontextmenü aus.

  3. Wenn das neue Objekt - Benutzer-Dialogfeld angezeigt wird, geben Sie den Benutzernamen Vorname, Initialen und Nachname in die dafür vorgesehenen Felder. Die Informationen in diesen Bereichen festgelegt wird verwendet, um das Feld Vollständiger Name bevölkern. Dies ist der Benutzer den Anzeigenamen.

  4. Geben Sie den Anmeldenamen für den Benutzer in der User-Logon-Feld "Name" und wählen Sie die Domäne, zu der das Konto mit assoziierten werden sollte.

  5. Die ersten Zeichen der User-Logon-Feld "Name" bevölkern die Benutzeranmeldename (Prä-Windows 2000) ein. Klicken Sie auf Weiter.

  6. Fahren Sie mit dem Kennwort des Benutzers in das Kennwort und Kennwort bestätigen Felder gesetzt, und aktivieren Sie ggf. den verfügbaren Optionen im Dialogfeld für den neuen Benutzer-Account.

  7. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

Um die Berechtigungen für Objekte gesetzt für eine Sicherheit wichtigsten Konto, verwenden Sie die unten aufgeführten Schritten:

  1. Öffnen Sie die Active Directory-Benutzer und-Computer-Konsole.

  2. Stellen Sie sicher, dass Erweiterte Funktionen aktiviert sind. Dies kann im Menü Ansicht auf überprüft werden.

  3. In der Struktur mit der rechten Maustaste auf das Objekt Konsole, die Sie wollen, dass die Sicherheit wichtigsten in der Lage sein, den Zugang, und klicken Sie auf "Eigenschaften" im Kontextmenü.

  4. Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Add

  5. Wenn der Liste Benutzer, Computer oder Gruppen Dialogfeld öffnet, in das Feld die zu verwendenden Objektnamen Wählen Sie Feld, geben Sie den Namen der Sicherheit wichtigsten, die Sie Berechtigungen festlegen.

  6. Klicken Sie auf OK.

  7. Wenn die Berechtigungen für geöffnet wird, verwenden Sie die Kontrollkästchen Zulassen und Verweigern, um die Rechte festlegen.

  8. Klicken Sie auf OK.


Discuss Active Directory-Sicherheit Principal-Konten in the forums.