1。ユーザーアカウント
各ユーザは、コンピュータ内のリソースへのアクセス、コンピュータにログオン、またはリソースドメインにログオンし、アクセスにアカウントをドメインを使用するには、このアカウントを使用するためにアカウントを持っている必要があります。
リットルのアカウントとパスワードの命名規則
次のようにアカウント名を命名することです:
アカウント名は一意で、大文字と小文字を区別しないでなければなりません。
まで含むことができ、20の大文字と小文字と数字20文字まで入力することができますが、最初の20文字のみを認識します。
あなたは予約語の文字を使用することはできません。 " ∧[]:; | =、+ * <> @?。
これは、文字と数字の組み合わせとすることができます。
グループ名と同じではありません。
次のようにL・パスワードの命名規則は以下のとおりです。
あなたはしなければならない不正使用を防止するために、パスワードの管理者アカウントを割り当てます。
パスワードの長さは 8から128の間。
パスワードは大文字と小文字、数字、およびその他の法的な文字を使用することができます。
2。ユーザーアカウントの種類
( 1)ローカルユーザーアカウント
ローカルユーザーアカウントがローカルセキュリティアカウントデータベースに作成され、ローカルでのみ重要なSAM。SAMデータベースファイルのパス\ WINDOWS \ SYSTEM32 \ CONFIG \ SAM 。ユーザーはどこアカウント、コンピュータにログオンするために、ローカルユーザーアカウントを使用することができますが、このアカウントはコンピュータだけでこのリソースにアクセスすることが可能です。あなたが他のコンピュータにアクセスリソースにしたい場合は、コンピュータ内の他のアカウントのユーザー名とパスワードを入力する必要があります。
( 2)ドメインユーザーアカウント
ドメインユーザーアカウントのドメインコントローラに保存されている Active Directoryデータベース内。ユーザーがログオンすると、ドメイン内のすべてのドメインコントローラは、ユーザーのアカウント名とパスワードが正しい確認することができます。これは、後の章で詳しく説明します。
( 3)は、ビルトインアカウント
ときに Windows Server 2003のインストールは、自動的に作成し、いくつかのビルトインアカウントは、これらのアカウントを管理するには、コンピュータのインターフェースから見ることができます。これは、管理者(システム管理者)とGuest(顧客が)2は、ビルトインアカウントより一般的です。
3。グループの概念
グループは、ユーザー、連絡先、コンピュータ、およびその他のグループを含むローカルコンピュータまたはActive Directoryのオブジェクトを指します。Windows Server 2003では、共有リソースを介してコンピュータへのユーザーとグループのアクセス権を管理します。リソースにアクセスするためのグループ権限を与える場合は、ユーザのこのグループは、自動的に権限を持っています。グループの概念を導入すると、ユーザーアカウント管理の同じ範囲へのアクセスを容易にすることです。
4 。型グループ
ユーザーアカウントと同じように、に応じて、ワークグループモードとドメインモードのWindows Server 2003サーバー、グループは、グループとドメインローカルグループに分けました。
ローカルグループ:ローカルグループアカウントを作成します。これらのグループのアカウント情報を(ローカルセキュリティアカウントデータベースに格納された SAM以内)。ローカルグループは、ローカルマシン上で使用することができます。グループのシステムとユーザーが作成したグループビルトイン:ローカルグループの2つのタイプがあります。
ドメイングループ:グループアカウント情報がに保存されている Active Directoryデータベースは、これらのグループは、ドメイン全体のコンピューター上で使用することができます。ドメイングループは、グループおよび分散セキュリティグループに分けることができます。
5 。アカウント設定ポリシー
「ローカルセキュリティポリシー」お使いのコンピュータのセキュリティを向上させることができます。ウェイ「ローカルセキュリティポリシー」→ユーザーには、「スタート」→介して設定することができ、「管理ツール。」
(1) パスワードポリシー
クリックして「パスワードポリシー」、あなたは右図のパスワード関連ポリシーの数を見つけることができ、これらのポリシーは、ダブルクリックして設定することができます。
パスワードの複雑さの要件:設定が有効になっている場合、ユーザーのパスワードは、次の要件満たす必要があります:最小のパスワードの長さ 6つの文字を、パスワードには、少なくとも以下の資本英字(AZ)、小文字(aからz)、アラビア数字(0-9)を持っています、英数字以外の文字(例えば:、$、#、または%!)3種類の4つの文字を、あなたはあなたのパスワードを変更したり、パスワードを作成するとき、3つ、または3文字以上のユーザーアカウント名を含めることはできませんパスワード、強制されますこれらは、複雑さの要件を実施例。推奨事項:ユーザーを有効にします。
最小パスワード長:パスワードの文字の最小数の値のセットを決定する 0〜14の間です。値が0に設定されている場合、ユーザーは空白のパスワードを使用することを許可されています。推奨事項:値は8つの文字に設定されています。
パスワードの有効期間:それはパスワードの変更をユーザーに要求する前に使用することができ日数を決定します。設定値であってもよい 0-999の間で、それが0に設定されている場合、パスワードは期限切れになりません。値の設定が低すぎると、それはユーザーに迷惑を与える可能性があり、セット高すぎる、または無効になっている場合、ハッカーはパスワードを解読するために多くの時間を持つことになります。推奨:42日のセット。
パスワードの最小期間:新しいユーザーがパスワードを変更できるまでの日数を決定するには、維持しなければなりません。設定や時間のユーザー数を利用して「パスワードの履歴を強制」セットがすぐに必要なパスワードをリセットすることはできません。値は0から999の間で設定することができ、それが0に設定されている場合、ユーザーはすぐに新しいパスワードを変更することができます。推奨値は2日です。
パスワードの履歴を強制:ユーザーが古いパスワードの前に独自の新しいパスワードを使用する必要があり、再利用の数を決定することができます。設定値であってもよい 0と24の間で、それが0に設定されている場合、パスワードの履歴を強制無効になっています。ほとんどの組織では、この値は、24のパスワードに設定する必要があります。
(2) アカウントロックアウトのポリシー
アカウントロックアウトポリシーのリセットなど、アカウントロックアウトカウンタ、アカウントのロックアウト期間のアカウントロックアウト値の3つの設定モード。
アカウントロックアウト値:セットに数回、ユーザーがログオンした後では、ユーザーがロックされて失敗したユーザーがログインアカウントを再使用することはできません前にアンロックではない、この値は、することができ 0-999の間で設定した場合は0に、。それは、アカウントがロックされないことを意味します。
ロック時間アカウント:アカウントがロックの期間を設定するために使用され、自動的に時間後に放出される、の値の範囲 0〜99999分、設定されている場合は0に、アカウントは永久にロックされることを示し、自動的に解放されることはありません、この時間がなされなければなりませんシステム管理者が手動で持ち上げました。
リセットアカウントロックアウトカウンタ:ログインに成功すると、「アカウントロックアウトカウンタ」倍ユーザのログイン失敗回数を記録するために使用されるログインが失敗した場合、開始値は自動開始値に1を加え、0で、カウンタがあれば、自動的にクリアされます連続して失敗したログインの回数が所定回数に達し、ユーザーアカウントが自動的にロックされます。
実行するタスク
1。ローカルアカウントを作成します。
ローカルアカウントは、システム管理者のみがローカルユーザを作成することができ、ローカルマシンで動作します。たとえば、ローカルアカウントを作成 xiaoli 次のように具体的な手順は次のとおりです。
( 1)「スタート」→「プログラム」→「管理ツール」→「コンピュータの管理」→「ローカルユーザーとグループ」ポップアップウィンドウでオプションを選択し、「新しいユーザー」コマンドを選択し、「ユーザー」を右クリックします。
ポップアップ図に示すように、「新しいユーザー」ダイアログボックスで、。ターンでは、ユーザ名、パスワードを入力し、パスワードを確認します。
2 。変更アカウント
アカウントのログイン名が確立された変更は、するには →「ユーザー」リスト、「コンピュータの管理」→「ローカルユーザーとグループ」を選択し、アカウントを右クリックし、「名前の変更」を選択→新しい名前を入力します。たとえば、ユーザ名xiaoliは、SAMを変更しました。
3 。削除アカウント
ユーザーが会社を辞めた場合は、ユーザーアカウントを使用してログオンし、他のユーザーを防ぐためには、ユーザーのアカウントを削除する必要があります。では、「コンピュータの管理ウィンドウ」、アカウントを右クリックし、「削除」を選択し、リストで選択し、「ローカルユーザーとグループ」→「ユーザー」を選択します。削除するには、「はい」ボタンをクリックしてください。たとえば、ユーザ名SAMが削除されました。
4 。無効にし、アカウントをアクティブに
5 。アカウントポリシーの設定
上記の実験では、パスワードの複雑さのためにアカウントを作成する不安がたくさんあることを、必要とするだけでなく、空白のパスワードの設立を許可していません。サーバーのセキュリティを強化するには、アカウントポリシー、セキュリティ向上を使用する必要があります。DOは空のパスワードの使用を許可しない、少なくとも6文字のパスワードのパスワードの長さは、少なくとも、大文字、小文字、数字、英数字以外の文字(#、%を含んでいます。たとえば、SAMアカウントのアカウントポリシーを設定し、特定の要件は次の通りです!一種または$)4つの文字で、3失敗したログインアカウントのパスワードが自動的にロックされています。次のように具体的な手順は次のとおりです。
クリックして、「スタート」→「管理ツール」→「ローカルセキュリティポリシー」コマンドを、ローカルセキュリティ設定ウィンドウを開き、をクリックして「アカウントポリシー」→「パスワード・ポリシー」、「最小パスワード長を有効にする「パスワードは複雑さの要件を満たす必要があります」 「6つの文字。
クリックして「アカウントポリシー」→「アカウントロックアウトのポリシー」、Aeのロックアウトアカウントが3回の無効なログオン試行です。