什麼是使用者?
本文內容
與聯繫人比較的使用者
與計算機相比的使用者
用戶帳戶會建立並儲存為 Active Directory 網域服務 中的物件。 用戶帳戶可由人類使用者或程式使用,例如系統服務用來登入計算機。 當使用者登入時,系統會藉由比較用戶密碼與 Active Directory 伺服器中用戶物件中所儲存的數據,來驗證用戶的密碼。 如果驗證密碼,也就是說,呈現的密碼符合儲存在用戶物件中的密碼,則系統會產生存取令牌。 存取令牌是描述進程或線程安全性內容的物件。 令牌中的數據包含與進程或線程相關聯之用戶帳戶的安全性身分識別和群組成員資格。 代表此使用者執行的每個進程都有此存取令牌的複本。
存取 Windows 網域中資源的每個使用者或應用程式都必須在 Active Directory 伺服器中擁有帳戶。 Windows 會使用此使用者帳戶來確認使用者或應用程式具有使用資源的許可權。
使用者帳戶可用來:
讓用戶能夠登入計算機,並根據該用戶帳戶的身分識別存取資源。
讓程式和服務能夠在特定安全性內容下執行。
管理使用者對共用資源的存取,例如物件及其屬性、網路共用、檔案、目錄、印表機佇列等等。
群組可以包含成員,這些成員是使用者和其他群組的參考。 群組也可以用來控制共享資源的存取。 指派資源的許可權時,例如檔案共用、印表機等,系統管理員應該將這些許可權指派給群組,而不是指派給個別使用者。 許可權會指派給群組一次,而不是將許可權指派給每位個別用戶數次。 這有助於簡化網路的維護和管理。
用戶和連絡人都可以用來代表人類使用者。 不過,用戶是安全性主體;連絡人不是。
用戶可用來讓使用者登入和存取共享資源。
連絡人僅用於通訊組清單和電子郵件用途。 不過,聯繫人可以包含儲存在用戶物件中的大部分數據,例如地址、電話號碼等,因為使用者和聯繫人都是衍生自person classSchema 物件。 聯繫人沒有安全性內容;因此,聯繫人無法用來控制共用資源的存取,也無法用來登入計算機。
計算機物件類別繼承自使用者物件類別。 計算機物件代表計算機;不過,計算機和計算機的本地服務通常需要存取網路和共享資源。 當計算機存取共用資源,而不是登入計算機的使用者時,它需要存取令牌,就像使用者登入的人類用戶一樣。 當計算機存取網路時,它會使用存取令牌,其中包含計算機計算機帳戶的安全性標識碼,以及該帳戶所屬的群組。
服務可以在 LocalSystem 或特定服務帳戶的內容中執行。 在執行 Windows 2000 的電腦上,在 LocalSystem 帳戶的內容中執行的服務會使用電腦的認證。