Crea sito

Utenti e computer di Active Directory

4 / 100

Utenti e computer di Active Directory® è uno snap-in di Microsoft Management Console (MMC) che è possibile utilizzare per amministrare e pubblicare informazioni nella directory.

È possibile utilizzare Utenti e computer di Active Directory per creare nuovi account utente o gestire gli account utente esistenti.

Informazioni sugli account utente

Gli account utente di Active Directory rappresentano entità fisiche, come le persone. È inoltre possibile utilizzare gli account utente come account di servizio dedicati per alcune applicazioni.

Gli account utente sono inoltre noti come entità di sicurezza, ovvero oggetti di directory a cui vengono assegnati automaticamente identificatori di sicurezza (SID) e utilizzabili per l’accesso alle risorse di dominio. Le funzioni principali di un account utente sono le seguenti:

Autenticazione dell’identità di un utente.

Un account utente consente a un utente di accedere a computer e domini con un’identità autenticabile dal dominio. Per ogni utente che accede alla rete deve esistere un account utente univoco con relativa password. Per ottenere la massima sicurezza, è consigliabile evitare che più utenti condividano lo stesso account.

Autorizzazione o negazione dell’accesso alle risorse di dominio.

Dopo l’autenticazione, all’utente viene concesso o negato l’accesso alle risorse di dominio in base alle autorizzazioni esplicite assegnate a tale utente per ogni risorsa.

Account utente

Nel contenitore Utenti dello snap-in Utenti e computer di Active Directory vengono visualizzati i tre account utente predefiniti Administrator, Guest e HelpAssistant. Questi account utente predefiniti vengono creati automaticamente quando si crea il dominio.

A ogni account utente predefinito è assegnata una diversa combinazione di diritti e autorizzazioni. L’account Administrator dispone del gruppo più esteso di diritti e autorizzazioni per il dominio, mentre l’account Guest dispone di diritti e autorizzazioni limitati. Nella tabella seguente vengono descritti gli account utente predefiniti disponibili nei controller di dominio che eseguono il sistema operativo Windows Server® 2008 R2.

Proteggere gli account utente

Se i diritti e le autorizzazioni per gli account predefiniti non vengono modificati o disabilitati da un amministratore di rete, potrebbero essere utilizzati da un utente (o un servizio) per finalità dannose allo scopo di ottenere l’accesso non autorizzato a un dominio tramite l’account Administrator o Guest. Per proteggere questi account è buona norma rinominarli o disabilitarli. Un account utente rinominato mantiene il proprio SID e conserva quindi tutte le altre proprietà, quali la descrizione, la password, le appartenenze ai gruppi, il profilo utente, le informazioni sull’account e tutte le autorizzazioni e i diritti utente assegnati.

Per ottenere i vantaggi a livello di sicurezza offerti dall’autenticazione e dalle autorizzazioni per gli utenti, è consigliabile utilizzare Utenti e computer di Active Directory per creare un singolo account utente per ogni utente che partecipa alla rete. Sarà quindi possibile aggiungere ogni account utente, inclusi gli account Administrator e Guest, a un gruppo per controllare i diritti e le autorizzazioni assegnate all’account. La configurazione degli account e dei gruppi appropriati per la rete consente di garantire la possibilità di identificare gli utenti che accedono alla rete e di assicurarsi che possano accedere solo alle risorse consentite.

È possibile proteggere il dominio da attacchi richiedendo password complesse e implementando un criterio di blocco account. Le password complesse riducono i rischi di attacchi con dizionario o altri sistemi intelligenti per indovinare le password. Un criterio di blocco account consente di ridurre le probabilità che un pirata informatico riesca a violare il dominio attraverso ripetuti tentativi di accesso. Con un criterio di blocco account è infatti possibile stabilire il numero di tentativi di accesso non riusciti consentiti per un account utente prima che venga disabilitato.

Translate »