.
ساخت یک اکانت جدید با استفاده از Active Directory Users and Computers
unlock account
در تب account گزینه ای به نام unlock account وجود دارد گاهی اوقات در group policy تعریف می شود که user اگر چند بار password خود را اشتباه زدlock شود .اگر یوزر lock نشده باشد در این قسمت هیچ تیکی نمی خورد ولی اگر یوزر lock شود در این قسمت تیک می خورد.
account options
در تب acount گزینه ای به نام acount options وجود دارد که شامل بخش های زیر می باشد.
- user must change password at next logon
اگر این گزینه در قسمت account options انتخاب شود در این صورت user هنگامی که login می کند باید password خود را عوض کند.
- User cannot change password
اگر این گزینه انتخاب شود یعنی user نتواند password خود را تغییر دهد.
- Password never expire
اگر این گزینه انتخاب شود password هیچگاه منقضی نمی شود.
- Store password using reversible encryption
هر user که داخل ntds.dit ذخیره می شود کاملا hash می شود.اگر خواستیم level امنیتی پایین بیاید و فقط pass ها encrypt شود ولی hash نشود از این گزینه استفاده می کنیم.Hash یک عملیات یک طرفه است .
- Account is disabled
گاهی اوقات ممکن است که یک user برای مدتی از سازمان برود در این صورت با انتخاب کردن گزینه ی account is disabled می توان آن را غیر فعال کرد.
- Smart card is required for interactive logon
اگر یک user بخواهد توسط smartcard دباید اینجا گفته شود که authentication آن بر اساس smartcard است.
- Account is sensitive and can not be delegated
گاهی می خواهیم account که ساختیم sensitive باشد یعنی اگر M در user Mina را بزرگ زدیم حتما M بزرگ را از ما بخواهد اما اگر این گزیه فعال شود delegation برای آن user فعال نیست.
- Use kerbros DES encryption typs for this account
2 نوع authentication protocol داریم.که به ما کمک می کند که اطلاعات مربوط به authentication که فرستاده ا یم امن شود.
Remote authentication protocol
در مواقعی که دسترسی remote داریم و خارج از شبکه lan به درد ما می خورد. مثلا درvpn ها و user های dialup چون سرویس vpn به صورت remote است و از شبکه wan استفاده می کند.از جمله از این پروتکل ها می توان pap,spap,chap,mschap,mschap2,eap را نام برد.مفهوم remote یعنی از طریق یک wan با آن در ارتباط هستید.
Local authentication protocol
جایی که شبکه ی domain داریم و اطلاعات از طریق شبکه local مبادله می شوند.مهمترین این پروتکل ها ntlmv1 و ntlmv2 و Kerberos میباشند که این پروتکل ها یک سری الگوریتم های hashing و encryption دارند که اطلاعات را encrypt می کنند.Des لول امنیتی کمتری نسبت به 3des دارد و Kerberos v5 از3des استفاده می کند. برای پایین آوردن لول امنیتی از 3des استفاده می شود.
- Do not require Kerberos preauthentication
هر زمان که Kerberos می خواهد run شود ابتدا یک authentication اولیه انجام می دهد و بعد اطلاعات فرستاده می شود. این کار برای لول امنیتی بالاتر انجام می گیرد. اگر این تیک را بزنیم می گوید که pre authentication انجام نشود.
- account expire
در این قسمت مشخص می شود که account هیچگاه منقضی نشود و یا در تاریخ خاصی که مشخص می کنیم منقضی شود.که این تاریخ را در قسمت Endof مشخص می کنیم.
.