AD användare

I en Active Directory (AD)-domän representerar en användare en individuell person eller enhet som har behörighet att logga in och använda resurser inom domänen. Varje användare har ett användarkonto i AD som har ett unikt användarnamn och lösenord, och det kan tilldelas olika behörigheter och åtkomstnivåer baserat på organisationens behov och säkerhetskrav.

Användarens egenskaper

En användarens användarkonto i Active Directory kan inkludera flera egenskaper:

  • Användarnamn (User Principal Name – UPN): Unikt identifierande namn för användaren, vanligtvis i form av en e-postadress (till exempel: charey@diginto.se).
  • Lösenord: Ett säkert lösenord som används för att verifiera användarens identitet och få åtkomst till resurser inom domänen.
  • Fullständigt namn: Användarens faktiska namn eller namn i AD (till exempel Chalo Reyes).
  • Gruppmedlemskap: Vilka grupper användaren tillhör, vilket bestämmer deras behörigheter och åtkomstnivåer till resurser.
  • Åtkomsträttigheter: Behörigheter som specificerar vilka resurser och data användaren har tillgång till.
  • Kontaktinformation: Användarens kontaktuppgifter, inklusive e-postadress och telefonnummer.

Lokal databaskonto

När du installerar Windows Server på en ny server, skapas det automatiskt några grundläggande användarkonton och grupper. Dessa kallas inbyggda konton och grupper och finns i den lokala databasen som kallas SAM, vilket står för Security Accounts Manager. Innan servern används som en Active Directory-domänkontrollant, är dessa konton och grupper endast tillgängliga lokalt på servern och hanteras av SAM-databasen.

När servern sedan blir en del av en Active Directory-domän och rollen som domänkontrollant tilldelas, migreras dessa lokala konton och grupper till Active Directory-databasen. Från och med då används inte längre SAM-databasen för att hantera användarkonton och grupper, utan Active Directory databasen tar över den rollen.

En nyinstallerad Windows server inkluderar följande standardanvändarkonton (Built-in):

  • Administrator: Detta är det inbyggda administratörskontot som har fullständiga administrativa rättigheter på servern.
  • Guest: Detta konto är inaktiverat som standard och används för gästanvändare som inte har ett eget konto på servern.
  • DefaultAccount: Detta konto används för att representera en ny användare eller enhet som inte har tilldelats något specifikt konto ännu. Det är inaktiverat som standard och används för autentisering av vissa appar och tjänster.
    Dessa konton är de vanliga standardkontona som finns när du installerar en Windows Server. Det är viktigt att hantera dessa konton och deras behörigheter enligt säkerhetsprinciper och bästa praxis för att säkerställa en säker och effektiv servermiljö.

Gällande lokala inbyggda grupper i en Windows Server finns det flera: Administrators, Backup Operators, Print Operators, Guests, Power Users, Replicator, Users och flera till.

Domän användarkonto

Ett domänanvändarkonto är en typ av användarkonto som skapas och hanteras inom en Active Directory-domänmiljö. Dessa konton tillåter användare att få åtkomst till resurser, såsom filer, mappar, skrivare och program, som är delade inom domänen. När en användare loggar in på en dator eller server som är en del av domänen, autentiseras de med hjälp av sina domänanvändarkonton.

Domänanvändarkonton har flera fördelar jämfört med lokala användarkonton:

  • Centraliserad hantering: Alla domänanvändarkonton hanteras centralt av Active Directory. Detta gör det enkelt att administrera användarkonton och tilldela behörigheter från en central plats.
  • Enhetsöverskridande åtkomst: Användare kan använda sina domänanvändarkonton för att logga in på vilken dator eller server som helst inom domänen, vilket ger enhetsöverskridande åtkomst.
  • Säkerhet och hantering av behörigheter: Domänadministratörer kan tilldela och hantera behörigheter för användarkonton på en enhetlig och säker plattform. Detta inkluderar att definiera åtkomstkontroller och säkerhetspolicyer för att skydda känslig information.
  • Global adressbok och e-post: Inom många organisationer används domänanvändarkonton för att hantera e-post och tillgång till en global adressbok, vilket underlättar kommunikationen mellan anställda.

När det gäller standarddomänkonton i en Active Directory-miljö finns det några konton som skapas automatiskt i en domänkontrollant:

  • Administrator: Detta är det inbyggda administratörskontot för hela Active Directory-domänen. Det har fullständiga administrativa rättigheter över hela domänen och används för att utföra olika administrativa uppgifter, inklusive att hantera användare, datorer, grupper och andra objekt i Active Directory.
  • Guest: Precis som på en lokal server är detta konto vanligtvis inaktiverat som standard i Active Directory. Det är avsett för gästanvändare som inte har egna konton i domänen.
  • DefaultAccount: Liknande det lokala standardkontot, är detta konto också inaktiverat som standard och används för att representera en ny användare eller enhet som inte har tilldelats något specifikt konto ännu.
  • Krbtgt: Detta är ett internt konto som används för att kryptera lösenordsinformation i Active Directory. Det är nödvändigt för att säkerställa säkerheten för autentisering och behörighetskontroll i domänen.
  • Domain Admins: Detta är en inbyggd grupp i Active Directory som automatiskt skapas när domänen skapas. Medlemmar i denna grupp har fullständiga administrativa rättigheter över hela domänen och kan utföra alla administrativa uppgifter.
  • Domain Users: Även denna grupp skapas automatiskt när domänen skapas och innehåller alla standardanvändarkonton i domänen. Användare som tilldelas till denna grupp har standardrättigheter och behörigheter i domänen.
  • Domain Guests: Liknande som lokalt är detta konto avsett för gästanvändare i domänen och är normalt inaktiverat som standard.

Dessa är några av de standarddomänkontona som finns i en Active Directory-miljö. Det är viktigt att hantera och konfigurera dessa konton enligt säkerhets principer och bästa praxis för att skydda domänens integritet och säkerhet.