什么是用户？

将创建用户帐户并将其作为对象存储在 Active Directory 域服务中。 用户帐户可由人类用户或程序（如系统服务）用于登录到计算机。 当用户登录时，系统会将用户密码与存储在 Active Directory 服务器中的用户对象中的数据进行比较，以便验证用户的密码。 如果密码通过身份验证，即提供的密码与存储在用户对象中的密码匹配，则系统会生成访问令牌。 访问令牌是描述进程或线程的安全上下文的对象。 令牌中的数据包括与进程或线程关联的用户帐户的安全标识和组成员身份。 代表此用户执行的每个进程都有此访问令牌的副本。

访问 Windows 域中资源的每个用户或应用程序都必须在 Active Directory 服务器中有一个帐户。 Windows 使用此用户帐户来验证用户或应用程序是否有权使用资源。

用户帐户可用于：

• 使人类用户能够登录到计算机并根据该用户帐户的标识访问资源。
• 使程序和服务能够在特定的安全上下文下运行。
• 管理对共享资源（如对象及其属性、网络共享、文件、目录、打印机队列等）的用户访问权限。

组可以包含作为用户和其他组的引用的成员。 组还可用于控制对共享资源的访问。 在为资源（例如文件共享、打印机等）分配权限时，管理员应将这些权限分配给组，而不是单个用户。 将权限分配给组一次，而不是分配给每个单个用户多次。 这有助于简化网络的维护和管理。

用户与联系人的比较

用户和联系人都可用于表示人类用户。 但是，用户是安全主体；联系人不是。

用户可用于让人类用户能够登录和访问共享资源。

联系人仅用于通讯组列表和电子邮件目的。 但是，联系人可以包含存储在用户对象中的大部分数据，例如地址、电话号码等，因为用户和联系人都派生自 person classSchema 对象。 联系人没有安全上下文；因此，联系人不能用于控制对共享资源的访问，并且不能用于登录到计算机。

用户与计算机的比较

计算机对象类继承自用户对象类。 计算机对象表示计算机；但是，计算机和计算机本地服务通常需要访问网络和共享资源。 当计算机访问共享资源（而不是登录到计算机的用户）时，它需要访问令牌，就像以用户身份登录的人类用户一样。 当计算机访问网络时，它将使用一个访问令牌，其中包含计算机的计算机帐户的安全标识符以及该帐户所属的组。

服务可以在 LocalSystem 或特定服务帐户的上下文中运行。 在运行 Windows 2000 的计算机上，在 LocalSystem 帐户的上下文中运行的服务使用计算机的凭据。