Che cos'è un utente?

Gli account utente vengono creati e archiviati come oggetti in Dominio di Active Directory Services. Gli account utente possono essere usati da utenti o programmi umani, ad esempio i servizi di sistema, per accedere a un computer. Quando un utente accede, il sistema verifica la password dell'utente confrontandolo con i dati archiviati nell'oggetto utente dell'utente nel server Active Directory. Se la password viene autenticata, ovvero la password presentata corrisponde alla password archiviata nell'oggetto utente, il sistema produce un token di accesso. Un token di accesso è un oggetto che descrive il contesto di sicurezza di un processo o di un thread. I dati in un token includono l'identità di sicurezza e le appartenenze ai gruppi dell'account utente associato al processo o al thread. Ogni processo eseguito per conto di questo utente ha una copia di questo token di accesso.

Ogni utente o applicazione che accede alle risorse in un dominio Windows deve avere un account nel server Active Directory. Windows usa questo account utente per verificare che l'utente o l'applicazione disponga dell'autorizzazione per usare una risorsa.

Un account utente può essere usato per:

• Consentire agli utenti umani di accedere a un computer e di accedere alle risorse in base all'identità dell'account utente.
• Abilitare programmi e servizi per l'esecuzione in un contesto di sicurezza specifico.
• Gestire l'accesso utente a risorse condivise, ad esempio oggetti e relative proprietà, condivisioni di rete, file, directory, code di stampanti e così via.

I gruppi possono contenere membri, che sono riferimenti a utenti e altri gruppi. I gruppi possono essere usati anche per controllare l'accesso alle risorse condivise. Quando si assegnano autorizzazioni per le risorse, ad esempio condivisioni file, stampanti e così via, gli amministratori devono assegnare tali autorizzazioni a un gruppo anziché ai singoli utenti. Le autorizzazioni vengono assegnate una sola volta al gruppo, anziché più volte a ogni singolo utente. Ciò consente di semplificare la manutenzione e l'amministrazione di una rete.

Utenti confrontati con i contatti

Sia gli utenti che i contatti possono essere usati per rappresentare gli utenti umani. Tuttavia, un utente è un'entità di sicurezza; un contatto non è.

Un utente può essere usato per consentire a un utente umano di accedere alle risorse condivise e accedervi.

Un contatto viene usato solo per scopi di lista di distribuzione e posta elettronica. Tuttavia, un contatto può contenere la maggior parte dei dati archiviati in un oggetto utente, ad esempio indirizzo, numeri di telefono e così via, perché sia l'utente che il contatto sono derivati dall'oggetto classSchema della persona. Un contatto non ha alcun contesto di sicurezza; pertanto, un contatto non può essere utilizzato per controllare l'accesso alle risorse condivise e non può essere utilizzato per accedere a un computer.

Utenti confrontati con computer

La classe oggetto computer eredita dalla classe dell'oggetto utente. Un oggetto computer rappresenta un computer; Tuttavia, il computer e i servizi locali del computer spesso richiedono l'accesso alla rete e alle risorse condivise. Quando il computer accede alle risorse condivise, non all'utente connesso al computer, ha bisogno di un token di accesso proprio come fa un utente umano. Quando un computer accede alla rete, usa un token di accesso che contiene l'identificatore di sicurezza per l'account computer del computer e i gruppi che l'account è membro.

Un servizio può essere eseguito nel contesto di LocalSystem o di un account del servizio specifico. Nei computer che eseguono Windows 2000, un servizio eseguito nel contesto dell'account LocalSystem usa le credenziali del computer.