Установка параметров и ограничений учетной записи
Настройка параметров безопасности учетной записи
На вкладке Учетная запись (Account) диалогового окна Свойства пользователя (Properties) имеется множество параметров, позволяющих поддерживать сетевое окружение в безопасности. Применяйте эти параметры для контроля использования учетных записей и возможностей, которые им предоставляются. Имеются следующие параметры:
- Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Установка данного параметра приведет к тому, что пользователь должен будет самостоятельно сменить пароль при следующем входе в систему.
- Запретить смену пароля пользователем (User Cannot Change Password). Установка данного параметра запрещает пользователю изменять пароль учетной записи.
- Срок действия пароля не ограничен (Password Never Expires). Установка данного параметра гарантирует, что пароль будет действителен всегда, тем самым снимаются ограничения обычного срока действия пароля.
Внимание
Установка данного параметра может поставить под угрозу безопасность сети. Возможно, Вы захотите использовать параметр Срок действия пароля не ограничен (Password Never Expires) для учетных записей администраторов, но в большинстве случаев не следует использовать ее для учетных записей обычных пользователей. - Хранить пароль, используя обратимое шифрование (Store The Password Using Reversible Encryption). Установка данного параметра позволяет хранить пароль в виде зашифрованного открытого текста.
- Учетная запись отключена (Account Is Disabled).Установка данного параметра приводит к отключению учетной записи, что предотвращает возможность доступа пользователя к сети и входа в систему.
- Для интерактивного входа в сеть нужна смарт-карта (Smart Card Is Required For Interactive Logon).Установка данного параметра требует от пользователя наличия смарт-карты для входа в систему. При этом пользователь не сможет выполнить вход на рабочей станции введя имя пользователя и пароль на клавиатуре.
- Учетная запись доверена для делегирования (Account Is Trusted For Delegation). Установка данного параметра определяет, что пользователю, возможно, необходимы будут права на управление объектами в Active Directory, и что пользователю доверено выполнять любые разрешенные действия над теми объектами, в соответствии с предоставленными пользователю полномочиями.
Примечание
Для большинства пользователей этот параметр не нужен. Предоставлять это разрешение можно только для пользователей со специальными правами или в целях управления Active Directory. - Учетная запись важна и не может быть делегирована (Account Is Sensitive And Cannot Be Delegated).Установка этого параметра определяет, что пользователю нельзя доверять делегирование полномочий. Возможно, Вы захотите использовать этот параметр для всех обычных учетных записей пользователей, чтобы предотвратить возможность манипуляции объектами Active Directory, кроме тех случаев, когда Вы или другие авторизованные администраторы специально это разрешили.
- Использовать тип шифрования DES для этой учетной записи (Use DES Encryption Types For This Account).Установка этого параметра определяет, что для этой учетной записи пользователя будет использоваться шифрование DES (Data Encryption Standard).
- Без предварительной проверки подлинности Kerberos (Do Not Require Kerberos Preauthentication).Установка этого параметра определяет, что для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos. Предварительная проверка подлинности является частью процедуры обеспечения безопасности протокола Kerberos версии 5. Возможность входа без этой проверки оставлена для возможности использования старых клиентов, использующих старые или нестандартные реализации протокола Kerberos.
Материал взят из книги "Windows 2000. Руководство администратора". Автор Уильям Р. Станек. © Корпорация Microsoft, 1999.
Автор: Александр Пришляк aka Alexander_Grig
Материалы взяты с сайта OSzone.net.