Элемент Сведения

Вход пользователя (UPN)

Текстовое поле слева позволяет ввести имя учетной записи для данного пользователя. Это имя, которое пользователь будет использовать для входа в домен Active Directory.

В раскрывающемся списке справа перечислены доступные суффиксы имени участника-пользователя (UPN), которые можно использовать для создания имени пользователя для входа. Список содержит полное имя системы доменных имен (DNS) текущего домена, полное DNS-имя корневого домена текущего леса и все альтернативные суффиксы имени участника-пользователя, которые созданы с помощью оснастки «Active Directory - домены и доверие».

Вход пользователя (SamAccountName)

В доступном только для чтения текстовом поле слева отображается имя домена, используемое компьютерами, работающими под управлением операционных систем, предшествующих Windows 2000.

Текстовое поле справа позволяет ввести имя пользователя для входа в операционные системы, предшествующие Windows 2000.

Флажок Защитить от случайного удаления

Выберите этот параметр, чтобы обновить дескриптор безопасности объекта и, если это возможно, его родителя, и запретить удаление данного объекта администраторами или пользователями этого домена (контроллера домена).

Примечание

Этот параметр не защищает от случайного удаления поддерева, которое содержит защищенный объект. Поэтому рекомендуется включить этот параметр для всех контейнеров защищенных объектов вплоть до заголовка контекста именования домена.

Время входа

Щелкните, чтобы изменить часы, в которые разрешен вход выбранного объекта в домен. По умолчанию вход в домен разрешен 24 часа в сутки, 7 дней в неделю. Обратите внимание, что этот параметр не влияет на возможность пользователя выполнять локальный вход на компьютер, используя локальную учетную запись компьютера вместо учетной записи домена.

Вход в

Щелкните, чтобы задать ограничения, разрешающие пользователю вход только на указанные компьютеры в домене. По умолчанию пользователь может входить на любую рабочую станцию, входящую в домен. Обратите внимание, что этот параметр не влияет на возможность пользователя выполнять локальный вход на компьютер, используя локальную учетную запись компьютера вместо учетной записи домена.

Срок действия учетной записи

Задает политику окончания срока действия учетной записи данного пользователя. Можно выбрать один из следующих вариантов.

  • Используйте параметр Никогда, чтобы задать неограниченный срок действия выбранной учетной записи. Этот параметр используется по умолчанию для новых пользователей.

  • Выберите параметр Истекает, а затем выберите дату, если нужно задать дату окончания срока действия учетной записи пользователя.

Параметры пароля

Ниже приведены параметры пароля для учетной записи пользователя в Active Directory.

  • Требовать смены пароля при следующем входе в систему: заставляет пользователя изменить свой пароль, когда пользователь следующий раз войдет в систему. Включите этот параметр, чтобы пользователь был единственным, кто знает пароль.

  • Для интерактивного входа в сеть нужна смарт-карта: требует, чтобы для интерактивного входа в сеть пользователь обладал смарт-картой. У пользователя также должно быть подключенное к компьютеру устройство чтения смарт-карт и действительный персональный идентификационный номер (ПИН-код) смарт-карты.

  • Срок действия пароля не ограничен: устанавливает для пароля пользователя неограниченный срок действия. Рекомендуется включить этот параметр для учетных записей служб и использовать для них надежные пароли.

  • Запретить смену пароля пользователем: запрещает пользователю изменять свой пароль. Включите этот параметр, если нужно обеспечить управление учетной записью пользователя, например записью «Гость» или временной учетной записью.

Параметры шифрования

Ниже приведены параметры шифрования для учетной записи пользователя в Active Directory.

  • Хранить пароль, используя обратимое шифрование: позволяет пользователю входить в сеть Windows с компьютеров Apple. Если пользователь не входит с компьютера Apple, не включайте этот параметр.

  • Использовать типы шифрования Kerberos DES для этой учетной записи: обеспечивает поддержку алгоритма шифрования DES. DES поддерживает несколько уровней шифрования, включая следующие алгоритмы: MPPE Standard (40 бит), MPPE Standard (56 бит), MPPE Strong (128 бит), IPsec DES (40 бит), IPsec DES (56 бит) и IPsec с тройным DES (3DES).

  • Данная учетная запись поддерживает 128-битовое шифрование Kerberos AES

  • Данная учетная запись поддерживает 256-битовое шифрование Kerberos AES

Примечание

Параметры шифрования Kerberos AES (как 128-битовый, так и 256-битовый вариант) доступны, только если для домена установлен режим работы Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003. AES - это новый алгоритм шифрования, стандартизованный Национальным институтом стандартов и технологий США (NIST). Дополнительные сведения о проверке подлинности Kerberos см. в статье о Kerberos (https://go.microsoft.com/fwlink/?LinkId=85494).

Другие параметры

Ниже приведены дополнительные параметры для учетной записи пользователя в Active Directory.

  • Учетная запись важна и не может быть делегирована: этот параметр можно использовать, если учетная запись, например учетная запись «Гость» или временная учетная запись, не может быть назначена для делегирования другой учетной записью. Дополнительные сведения см. в статье «Включение делегированной проверки подлинности» https://go.microsoft.com/fwlink/?LinkId=143007 (возможно, на английском языке).

  • Без предварительной проверки подлинности Kerberos: обеспечивает поддержку альтернативных реализаций протокола Kerberos. Этот параметр следует применять осторожно, так как предварительная проверка подлинности Kerberos повышает безопасность и требует синхронизации времени между клиентом и сервером. Дополнительные сведения см. в статье о Kerberos (https://go.microsoft.com/fwlink/?LinkID=120374 (возможно, на английском языке)).

Дополнительные источники информации


Содержание