Was ist ein Benutzer?
Benutzerkonten werden als Objekte in Active Directory Domain Services erstellt und gespeichert. Benutzerkonten können von menschlichen Benutzern oder Programmen wie Systemdiensten verwendet werden, um sich bei einem Computer anzumelden. Wenn sich ein Benutzer anmeldet, überprüft das System das Kennwort des Benutzers, indem es mit daten vergleicht, die im Benutzerobjekt des Benutzers auf dem Active Directory-Server gespeichert sind. Wenn das Kennwort authentifiziert ist, d. h. das angezeigte Kennwort mit dem im Benutzerobjekt gespeicherten Kennwort übereinstimmt, erzeugt das System ein Zugriffstoken. Ein Zugriffstoken ist ein Objekt, das den Sicherheitskontext eines Prozesses oder Threads beschreibt. Die Daten in einem Token umfassen die Sicherheitsidentität und Gruppenmitgliedschaften des Benutzerkontos, das dem Prozess oder Thread zugeordnet ist. Jeder Prozess, der im Auftrag dieses Benutzers ausgeführt wird, verfügt über eine Kopie dieses Zugriffstokens.
Jeder Benutzer oder jede Anwendung, die auf Ressourcen in einer Windows-Domäne zugreift, muss über ein Konto auf dem Active Directory-Server verfügen. Windows verwendet dieses Benutzerkonto, um zu überprüfen, ob der Benutzer oder die Anwendung über die Berechtigung zur Verwendung einer Ressource verfügt.
Ein Benutzerkonto kann für Folgendes verwendet werden:
- Ermöglichen Sie es menschlichen Benutzern, sich bei einem Computer anzumelden und auf Ressourcen basierend auf der Identität dieses Benutzerkontos zuzugreifen.
- Aktivieren Sie Programme und Dienste für die Ausführung unter einem bestimmten Sicherheitskontext.
- Verwalten Sie den Benutzerzugriff auf freigegebene Ressourcen wie Objekte und deren Eigenschaften, Netzwerkfreigaben, Dateien, Verzeichnisse, Druckerwarteschlangen usw.
Gruppen können Elemente enthalten, die Verweise auf Benutzer und andere Gruppen sind. Gruppen können auch verwendet werden, um den Zugriff auf freigegebene Ressourcen zu steuern. Beim Zuweisen von Berechtigungen für Ressourcen, z. B. Dateifreigaben, Drucker usw., sollten Administratoren diese Berechtigungen einer Gruppe und nicht den einzelnen Benutzern zuweisen. Die Berechtigungen werden der Gruppe einmal und nicht mehrmals jedem einzelnen Benutzer zugewiesen. Dies vereinfacht die Wartung und Verwaltung eines Netzwerks.
Benutzer im Vergleich zu Kontakten
Sowohl Benutzer als auch Kontakte können verwendet werden, um menschliche Benutzer darzustellen. Ein Benutzer ist jedoch ein Sicherheitsprinzipal. Ein Kontakt ist nicht.
Ein Benutzer kann verwendet werden, um es einem menschlichen Benutzer zu ermöglichen, sich anzumelden und auf freigegebene Ressourcen zuzugreifen.
Ein Kontakt wird nur für Verteilerlisten- und E-Mail-Zwecke verwendet. Ein Kontakt kann jedoch die meisten daten enthalten, die in einem Benutzerobjekt gespeichert sind, z. B. Adresse, Telefonnummern usw., da sowohl Benutzer als auch Kontakt vom objekt person classSchema abgeleitet sind. Ein Kontakt hat keinen Sicherheitskontext. Daher kann ein Kontakt nicht verwendet werden, um den Zugriff auf freigegebene Ressourcen zu steuern, und kann nicht zum Anmelden bei einem Computer verwendet werden.
Benutzer im Vergleich zu Computern
Die Computerobjektklasse erbt von der Benutzerobjektklasse. Ein Computerobjekt stellt einen Computer dar; Der Computer und die lokalen Dienste des Computers erfordern jedoch häufig Zugriff auf das Netzwerk und freigegebene Ressourcen. Wenn der Computer auf freigegebene Ressourcen zugreift und nicht auf den Benutzer, der sich am Computer angemeldet hat, benötigt er ein Zugriffstoken genauso wie ein menschlicher Benutzer, der sich wie ein Benutzer angemeldet hat. Wenn ein Computer auf das Netzwerk zugreift, verwendet er ein Zugriffstoken, das den Sicherheitsbezeichner für das Computerkonto des Computers und die Gruppen enthält, die mitglied sind.
Ein Dienst kann im Kontext von LocalSystem oder einem bestimmten Dienstkonto ausgeführt werden. Auf Computern, auf denen Windows 2000 ausgeführt wird, verwendet ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, die Anmeldeinformationen des Computers.