Элемент |
Сведения |
Вход пользователя (UPN)
|
Текстовое поле слева позволяет ввести имя учетной записи для
данного пользователя. Это имя, которое пользователь будет
использовать для входа в домен Active Directory.
В раскрывающемся списке справа перечислены доступные суффиксы
имени участника-пользователя (UPN), которые можно использовать для
создания имени пользователя для входа. Список содержит полное имя
системы доменных имен (DNS) текущего домена, полное DNS-имя
корневого домена текущего леса и все альтернативные суффиксы имени
участника-пользователя, которые созданы с помощью оснастки
«Active Directory - домены и доверие».
|
Вход пользователя (SamAccountName)
|
В доступном только для чтения текстовом поле слева отображается
имя домена, используемое компьютерами, работающими под управлением
операционных систем, предшествующих Windows 2000.
Текстовое поле справа позволяет ввести имя пользователя для
входа в операционные системы, предшествующие Windows 2000.
|
Флажок Защитить от случайного удаления
|
Выберите этот параметр, чтобы обновить дескриптор безопасности
объекта и, если это возможно, его родителя, и запретить удаление
данного объекта администраторами или пользователями этого домена
(контроллера домена).
|
Примечание |
|
Этот параметр не защищает от случайного удаления поддерева,
которое содержит защищенный объект. Поэтому рекомендуется включить
этот параметр для всех контейнеров защищенных объектов вплоть до
заголовка контекста именования домена.
|
|
Время входа
|
Щелкните, чтобы изменить часы, в которые разрешен вход
выбранного объекта в домен. По умолчанию вход в домен разрешен 24
часа в сутки, 7 дней в неделю. Обратите внимание, что этот параметр
не влияет на возможность пользователя выполнять локальный вход на
компьютер, используя локальную учетную запись компьютера вместо
учетной записи домена.
|
Вход в
|
Щелкните, чтобы задать ограничения, разрешающие пользователю
вход только на указанные компьютеры в домене. По умолчанию
пользователь может входить на любую рабочую станцию, входящую в
домен. Обратите внимание, что этот параметр не влияет на
возможность пользователя выполнять локальный вход на компьютер,
используя локальную учетную запись компьютера вместо учетной записи
домена.
|
Срок действия учетной записи
|
Задает политику окончания срока действия учетной записи данного
пользователя. Можно выбрать один из следующих вариантов.
- Используйте параметр Никогда, чтобы
задать неограниченный срок действия выбранной учетной записи. Этот
параметр используется по умолчанию для новых пользователей.
- Выберите параметр Истекает, а затем
выберите дату, если нужно задать дату окончания срока действия
учетной записи пользователя.
|
Параметры пароля
|
Ниже приведены параметры пароля для учетной записи пользователя
в Active Directory.
- Требовать смены пароля при следующем входе
в систему: заставляет пользователя изменить свой пароль, когда
пользователь следующий раз войдет в систему. Включите этот
параметр, чтобы пользователь был единственным, кто знает
пароль.
- Для интерактивного входа в сеть нужна
смарт-карта: требует, чтобы для интерактивного входа в сеть
пользователь обладал смарт-картой. У пользователя также должно быть
подключенное к компьютеру устройство чтения смарт-карт и
действительный персональный идентификационный номер (ПИН-код)
смарт-карты.
- Срок действия пароля не ограничен:
устанавливает для пароля пользователя неограниченный срок действия.
Рекомендуется включить этот параметр для учетных записей служб и
использовать для них надежные пароли.
- Запретить смену пароля пользователем:
запрещает пользователю изменять свой пароль. Включите этот
параметр, если нужно обеспечить управление учетной записью
пользователя, например записью «Гость» или временной учетной
записью.
|
Параметры шифрования
|
Ниже приведены параметры шифрования для учетной записи
пользователя в Active Directory.
- Хранить пароль, используя обратимое
шифрование: позволяет пользователю входить в сеть Windows с
компьютеров Apple. Если пользователь не входит с компьютера Apple,
не включайте этот параметр.
- Использовать типы шифрования Kerberos DES
для этой учетной записи: обеспечивает поддержку алгоритма
шифрования DES. DES поддерживает несколько уровней шифрования,
включая следующие алгоритмы: MPPE Standard (40 бит), MPPE Standard
(56 бит), MPPE Strong (128 бит), IPsec DES (40 бит), IPsec DES (56
бит) и IPsec с тройным DES (3DES).
- Данная учетная запись поддерживает
128-битовое шифрование Kerberos AES
- Данная учетная запись поддерживает
256-битовое шифрование Kerberos AES
|
Примечание |
|
Параметры шифрования Kerberos AES (как 128-битовый, так и
256-битовый вариант) доступны, только если для домена установлен
режим работы Windows Server 2008 R2, Windows
Server 2008 или Windows Server 2003. AES - это новый
алгоритм шифрования, стандартизованный Национальным институтом
стандартов и технологий США (NIST). Дополнительные сведения о
проверке подлинности Kerberos см. в статье о Kerberos (http://go.microsoft.com/fwlink/?LinkId=85494).
|
|
Другие параметры
|
Ниже приведены дополнительные параметры для учетной записи
пользователя в Active Directory.
- Учетная запись важна и не может быть
делегирована: этот параметр можно использовать, если учетная
запись, например учетная запись «Гость» или временная учетная
запись, не может быть назначена для делегирования другой учетной
записью. Дополнительные сведения см. в статье «Включение
делегированной проверки подлинности» http://go.microsoft.com/fwlink/?LinkId=143007 (возможно,
на английском языке).
- Без предварительной проверки подлинности
Kerberos: обеспечивает поддержку альтернативных реализаций
протокола Kerberos. Этот параметр следует применять осторожно, так
как предварительная проверка подлинности Kerberos повышает
безопасность и требует синхронизации времени между клиентом и
сервером. Дополнительные сведения см. в статье о Kerberos (http://go.microsoft.com/fwlink/?LinkID=120374 (возможно,
на английском языке)).
|