Apêndice B: Contas privilegiadas e grupos no Active Directory
Apêndice B: Contas privilegiadas e grupos no Active Directory
Contas e grupos "privilegiados" no Active Directory são aqueles aos quais são concedidos direitos, privilégios e permissões poderosos que lhes permitem executar quase qualquer ação no Active Directory e em sistemas conectados ao domínio. Esse apêndice começa discutindo direitos, privilégios e permissões, seguido por informações sobre as contas e grupos de "privilégios mais altos" no Active Directory, ou seja, as contas e os grupos mais poderosos.
Também são fornecidas informações sobre contas e grupos internos e padrão no Active Directory, além de seus direitos. Embora recomendações de configuração específicas para proteger as contas e grupos de privilégios mais altos sejam fornecidas como apêndices separados, esse apêndice fornece informações em segundo plano que ajudam você a identificar os usuários e os grupos em que você deve se concentrar na proteção. Você deve fazer isso porque invasores podem usá-los para comprometer e até mesmo destruir sua instalação do Active Directory.
Direitos, privilégios e permissões no Active Directory
As diferenças entre direitos, permissões e privilégios podem ser confusas e contraditórias, mesmo na documentação da Microsoft. Esta seção descreve algumas das características de cada uma como elas são usadas neste documento. Essas descrições não devem ser consideradas autoritativas para outras documentações da Microsoft, que podem usar esses termos de maneira diferente.
Direitos e privilégios
Direitos e privilégios são efetivamente as mesmas funcionalidades em todo o sistema concedidos a entidades de segurança, como usuários, serviços, computadores ou grupos. Em interfaces normalmente usadas por profissionais de TI, costumam ser chamadas de "direitos" ou "direitos do usuário" e ser são atribuídas por objetos de Política de Grupo. A captura de tela a seguir mostra alguns dos direitos do usuário mais comuns que podem ser atribuídos a entidades de segurança (ela representa o GPO de Controladores de Domínio Padrão em um domínio do Windows Server 2012). Alguns desses direitos se aplicam ao Active Directory, como o direito de usuário Habilitar contas de usuário e computador para serem confiáveis para delegação, enquanto outros direitos se aplicam ao sistema operacional Windows, como Alterar a hora do sistema.
Em interfaces como o Editor de Objeto de Política de Grupo, todas essas funcionalidades atribuíveis são chamadas amplamente de direitos do usuário. Porém, na realidade, alguns direitos do usuário são chamados programaticamente de direitos, enquanto outros são chamados programaticamente de privilégios. Tabela B-1: os direitos e privilégios do usuário fornecem alguns dos direitos do usuário atribuíveis mais comuns e suas constantes programáticas. Embora Política de Grupo e outras interfaces se refiram a todos eles como direitos do usuário, alguns são identificados programaticamente como direitos, enquanto outros são definidos como privilégios.
Para mais informações sobre cada um dos direitos do usuário listados na tabela a seguir, use os links na tabela ou confira o Guia de ameaças e contramedidas: direitos do usuário no guia de Mitigação de Ameaças e Vulnerabilidades do Windows Server 2008 R2 no site do Microsoft TechNet. Para informações aplicáveis ao Windows Server 2008, confira direitos do usuário na documentação de Mitigação de Ameaças e Vulnerabilidades no site do Microsoft TechNet. No momento da redação deste documento, a documentação correspondente para Windows Server 2012 ainda não havia sido publicada.
Observação
Para os fins deste documento, os termos "direitos" e "direitos do usuário" são usados para identificar direitos e privilégios, a menos que especificado de outra forma.
Tabela B-1: Direitos e privilégios do usuário
Permissões
As permissões são controles de acesso aplicados a objetos protegíveis, como o sistema de arquivos, o Registro, o serviço e os objetos do Active Directory. Cada objeto protegível tem uma ACL (lista de controle de acesso) associada, que contém ACEs (entradas de controle de acesso) que concedem ou negam às entidades de segurança (usuários, serviços, computadores ou grupos) a capacidade de executar várias operações no objeto. Por exemplo, as ACLs de muitos objetos no Active Directory contêm ACEs que permitem que usuários autenticados leiam informações gerais sobre os objetos, mas não permite que leiam informações confidenciais nem alterem objetos. Com exceção da conta de convidado interna de cada domínio, cada entidade de segurança que faz logon e é autenticada por um controlador de domínio em uma floresta do Active Directory ou uma floresta confiável tem o SID (identificador de segurança) de usuários autenticados adicionado ao token de acesso por padrão. Portanto, se uma conta de usuário, serviço ou computador tentar ler as propriedades gerais em objetos de usuário em um domínio, a operação de leitura será bem-sucedida.
Se uma entidade de segurança tentar acessar um objeto para o qual nenhum ACEs é definido e que contém um SID que está presente no token de acesso da entidade de segurança, a entidade de segurança não poderá acessar o objeto. Além disso, se um ACE na ACL de um objeto contiver uma entrada de negação para um SID que corresponda ao token de acesso do usuário, o ACE "negar" geralmente substituirá um ACE "permitir" conflitante. Para mais informações sobre o controle de acesso no Windows, confira Controle de Acesso no site do MSDN.
Neste documento, as permissões se referem a recursos concedidos ou negados a entidades de segurança em objetos protegíveis. Sempre que há um conflito entre um direito de usuário e uma permissão, o direito do usuário geralmente tem precedência. Por exemplo, se um objeto no Active Directory tiver sido configurado com uma ACL que nega aos administradores todo o acesso de leitura e gravação a um objeto, um usuário que é membro do grupo Administradores do domínio não poderá visualizar muitas informações sobre o objeto. No entanto, como o grupo Administradores recebe o direito de usuário "Assumir a propriedade de arquivos ou outros objetos", o usuário pode simplesmente assumir a propriedade do objeto em questão e então reescrever a ACL do objeto para conceder aos Administradores controle total do objeto.
É por isso que este documento incentiva você a evitar o uso de contas e grupos poderosos para a administração diária, em vez de tentar restringir os recursos das contas e grupos. Não é efetivamente possível impedir que um dado usuário com acesso a credenciais poderosas use essas credenciais para obter acesso a qualquer recurso protegível.
Contas e grupos privilegiados internos
O Active Directory tem como objetivo facilitar a delegação de administração e o princípio de privilégios mínimos na atribuição de direitos e permissões. Os usuários "comuns" que têm contas em um domínio do Active Directory podem, por padrão, ler grande parte do que é armazenado no diretório, mas só podem alterar um conjunto muito limitado de dados no diretório. Os usuários que exigem privilégios adicionais podem receber associação a vários grupos privilegiados integrados ao diretório para que possam executar tarefas específicas relacionadas às respectivas funções, mas não podem executar tarefas que não são relevantes para as funções.
No Active Directory, há três grupos internos que compõem os grupos de privilégios mais altos no diretório, além de um quarto grupo, o grupo Administradores de Esquema (SA):
- Administradores Corporativos (EA)
- Administradores de Domínio (DA)
- Administradores Internos (BA)
- Administradores de esquema (SA)
Um quarto grupo, de Administradores de Esquema (SA) tem privilégios que, se abusados, podem danificar ou destruir uma floresta inteira do Active Directory, mas esse grupo é mais restrito nos seus recursos do que os grupos de EA, DA e BA.
Além desses quatro grupos, há uma série de contas e grupos internos e padrão adicionais no Active Directory, cada um dos quais recebe direitos e permissões que permitem a execução de tarefas administrativas específicas. Embora este apêndice não apresente uma discussão completa sobre cada grupo interno ou padrão no Active Directory, ele fornece uma tabela dos grupos e das contas que você provavelmente verá em suas instalações.
Por exemplo, se você instalar o Microsoft Exchange Server em uma floresta do Active Directory, contas e grupos adicionais poderão ser criados nos contêineres Interno e Usuários em seus domínios. Este apêndice descreve apenas os grupos e as contas criados nos contêineres Interno e Usuários no Active Directory com base em funções e recursos nativos. Contas e grupos criados pela instalação do software empresarial não estão incluídos.
Administrador corporativo
O grupo de EA (administradores corporativos) está localizado no domínio raiz da floresta e, por padrão, é membro do grupo administradores interno em todos os domínios da floresta. A conta de Administrador interno no domínio raiz da floresta é o único membro padrão do grupo EA. Os EAs recebem direitos e permissões que lhes permitem realizar alterações em toda a floresta. Essas são alterações que afetam todos os domínios na floresta, como adicionar ou remover domínios, estabelecer relações de confiança de floresta ou elevar os níveis funcionais da floresta. Em um modelo de delegação projetado e implementado corretamente, a associação ao EA é necessária somente ao construir a floresta pela primeira vez ou ao fazer determinadas alterações em toda a floresta, como estabelecer uma relação de confiança da floresta de saída.
O grupo de EA está localizado por padrão no contêiner Usuários no domínio raiz da floresta e é um grupo de segurança universal, a menos que o domínio raiz da floresta esteja em execução no modo misto do Windows 2000 Server, quando então será um grupo de segurança global. Embora alguns direitos sejam concedidos diretamente ao grupo de EA, muitos dos direitos desse grupo são, na verdade, herdados pelo grupo de EA porque ele faz parte do grupo Administradores em cada domínio na floresta. Os administradores corporativos não têm direitos padrão em estações de trabalho ou servidores membros.
Administradores do domínio
Cada domínio em uma floresta tem o próprio grupo de DA (administradores de domínio), que é membro do grupo de BA (administradores internos) desse domínio, além de um membro do grupo local de Administradores em cada computador ingressado no domínio. O único membro padrão do grupo DA para um domínio é a conta de Administrador interno desse domínio.
Os DAs são todos poderosos nos respectivos, enquanto os EAs têm privilégios em toda a floresta. Em um modelo de delegação projetado e implementado corretamente, a associação ao DA deve ser obrigatória apenas em cenários de emergência, como situações em que uma conta com altos níveis de privilégio em cada computador no domínio é necessária, ou quando é preciso fazer determinadas alterações em todo o domínio. Embora os mecanismos nativos de delegação do Active Directory permitam a delegação na medida em que é possível usar contas de DA apenas em cenários de emergência, criar um modelo de delegação eficaz pode ser demorado e muitas organizações usam aplicativos de terceiros para agilizar o processo.
O grupo de DA é um grupo de segurança global localizado no contêiner Usuários para o domínio. Há um grupo de DA para cada domínio na floresta, e o único membro padrão de um grupo de DA é a conta de administrador interno do domínio. Como o grupo de DA de um domínio está aninhado no grupo de BA do domínio e em cada grupo de administradores locais do sistema conectado ao domínio, os DAs não só têm as permissões concedidas especificamente aos administradores de domínio, como também herdam todos os direitos e permissões concedidos ao grupo de administradores do domínio e ao grupo de administradores locais em todos os sistemas ingressados no domínio.
Administradores
O grupo de administradores internos (BA) é um grupo local de domínio no contêiner Interno de um domínio no qual DAs e EAs estão aninhados, e é esse grupo que recebe muitos dos direitos e permissões diretos no diretório e nos controladores de domínio. Porém, o grupo Administradores de um domínio não tem privilégios em servidores membros ou em estações de trabalho. É na associação ao grupo de administradores locais de computadores ingressados no domínio que o privilégio local é concedido; e, dentre os grupos discutidos, apenas os DAs são membros de todos os grupos de administradores locais de computadores conectados ao domínio por padrão.
O grupo Administradores é um grupo local de domínio no contêiner Interno do domínio. Por padrão, cada grupo de BA do domínio contém a conta de administrador interno do domínio local, o grupo de DA do domínio local e o grupo de EA do domínio raiz da floresta. Muitos direitos do usuário no Active Directory e em controladores de domínio são concedidos especificamente ao grupo de administradores, não a EAs ou DAs. O grupo de BA de um domínio recebe permissões de controle total na maioria dos objetos do directory e pode assumir a propriedade de objetos de diretório. Embora os grupos de EA e DA tenham determinadas permissões específicas de objeto na floresta e nos domínios, grande parte do poder dos grupos é realmente "herdada" de sua associação a grupos de BA.
Observação
Embora essas sejam as configurações padrão desses grupos privilegiados, um membro de qualquer um dos três grupos pode manipular o diretório para obter associação em qualquer um dos outros grupos. Em alguns casos, isso é trivial de alcançar, enquanto em outros é mais difícil, porém, do ponto de vista do potencial privilégio, todos os três grupos devem ser considerados efetivamente equivalentes.
Administradores de esquemas
O grupo de SA (administradores de esquema) é um grupo universal no domínio raiz da floresta e tem apenas a conta de administrador interno desse domínio como um membro padrão, semelhante ao grupo de EA. Embora a associação no grupo de SA possa permitir que um invasor comprometa o esquema do Active Directory, que é a estrutura para toda a floresta do Active Directory, os SAs têm poucos direitos e permissões padrão além do esquema.
Você deve gerenciar e monitorar cuidadosamente a associação no grupo de SA, mas, em alguns aspectos, esse grupo é "menos privilegiado" do que os três grupos privilegiados mais altos descritos anteriormente porque o escopo de seu privilégio é muito estreito; ou seja, os SAs não têm direitos administrativos em nenhum lugar diferente do esquema.
Grupos internos e padrão adicionais no Active Directory
Para facilitar a delegação de administração no diretório, o Active Directory tem vários grupos internos e padrão que receberam direitos e permissões específicos. Esses grupos são descritos brevemente na tabela a seguir.
A tabela a seguir lista os grupos internos e padrão no Active Directory. Ambos os conjuntos de grupos existem por padrão; no entanto, grupos internos estão localizados (por padrão) no contêiner interno no Active Directory, enquanto os grupos padrão estão localizados (por padrão) no contêiner Usuários no Active Directory. Os grupos no contêiner Interno são todos grupos locais de domínio, enquanto os grupos no contêiner Usuários são uma mistura de grupos Locais, Globais e Universais do Domínio, além de três contas de usuário individuais (Administrador, Convidado e Krbtgt).
Além dos grupos privilegiados mais altos descritos anteriormente neste apêndice, algumas contas e grupos internos e padrão recebem privilégios elevados e também devem ser protegidos e usados apenas em hosts administrativos seguros. Esses grupos e contas podem ser encontrados nas linhas sombreadas na Tabela B-1: Grupos e contas internos e padrão no Active Directory. Como alguns desses grupos e contas recebem direitos e permissões que podem ser mal utilizados para comprometer o Active Directory ou os controladores de domínio, eles recebem proteções adicionais, como descreve o Apêndice C: Contas e grupos protegidos no Active Directory.
Tabela B-1: Contas e grupos internos e padrão no Active Directory
| Conta ou grupo | Contêiner padrão, escopo e tipo de grupo | Descrição e direitos do usuário padrão |
|---|---|---|
| Operadores de Assistência Controle de Acesso (Active Directory no Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões para recursos neste computador. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Opers. de contas | Contêiner integrado Grupo de segurança local de domínio |
Os membros podem administrar contas de usuário e grupo de domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Conta de administrador | Contêiner de usuários Não é um grupo |
Conta interna para administrar o domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ajustar cotas de memória para um processo Permitir logon localmente Permitir logon por meio dos Serviços de Área de Trabalho Remota Fazer backup de arquivos e pastas Ignorar verificação completa Alterar a hora do sistema Alterar o fuso horário Criar um arquivo de página Create global objects Criar vínculos simbólicos Depurar programas Permitir que contas de computador e usuário sejam confiáveis para delegação Forçar o desligamento a partir de um sistema remoto Representar um cliente após a autenticação Aumentar um conjunto de trabalho de processo Aumentar prioridade de agendamento Carregar e descarregar drivers de dispositivo Fazer logon como um trabalho em lotes Gerenciar a auditoria e o log de segurança Modificar valores de ambiente de firmware Executar tarefas de manutenção de volume Traçar um perfil de um único processo Traçar um perfil do desempenho do sistema Remover o computador da estação de encaixe Restaurar arquivos e diretórios Desligar o sistema Apropriar-se de arquivos ou de outros objetos |
| Grupo de administradores | Contêiner integrado Grupo de segurança local de domínio |
Os administradores têm acesso completo e irrestrito ao domínio. direitos do usuário diretos: Acesso a este computador da rede Ajustar quotas de memória para um processo Permitir logon localmente Permitir logon por meio dos Serviços de Área de Trabalho Remota Fazer backup de arquivos e pastas Ignorar verificação completa Alterar a hora do sistema Alterar o fuso horário Criar um arquivo de página Create global objects Criar vínculos simbólicos Depurar programas Permitir que contas de computador e usuário sejam confiáveis para delegação Forçar o desligamento a partir de um sistema remoto Representar um cliente após a autenticação Aumentar prioridade de agendamento Carregar e descarregar drivers de dispositivo Fazer logon como um trabalho em lotes Gerenciar a auditoria e o log de segurança Modificar valores de ambiente de firmware Executar tarefas de manutenção de volume Traçar um perfil de um único processo Traçar um perfil do desempenho do sistema Remover o computador da estação de encaixe Restaurar arquivos e diretórios Desligar o sistema Apropriar-se de arquivos ou de outros objetos direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Grupo de replicação de senha RDOC permitido | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Operadores de cópia | Contêiner integrado Grupo de segurança local de domínio |
Operadores de backup podem substituir as restrições de segurança com o único objetivo de fazer backup ou restaurar arquivos. direitos do usuário diretos: Permitir logon localmente Fazer backup de arquivos e pastas Fazer logon como um trabalho em lotes Restaurar arquivos e diretórios Desligar o sistema direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Editores de Certificados | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo têm permissão para publicar certificados no diretório. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Acesso DCOM do Serviço de Certificado | Contêiner integrado Grupo de segurança local de domínio |
Se os Serviços de Certificados estiverem instalados em um controlador de domínio (não recomendado), esse grupo concederá acesso de registro DCOM a Usuários de Domínio e Computadores de Domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Controladores de domínio clonáveis (AD DS no Windows Server 2012AD DS) | Contêiner de usuários Grupo de segurança global |
Os membros desse grupo que são controladores de domínio podem ser clonados. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Operadores criptográficos | Contêiner integrado Grupo de segurança local de domínio |
Os membros estão autorizados a executar operações de criptografia. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários do depurador | Isso não é um padrão nem um grupo interno, mas, quando presente no AD DS, é motivo para uma investigação mais aprofundada. | A presença de um grupo Usuários do Depurador indica que as ferramentas de depuração foram instaladas no sistema em algum momento, seja por meio do Visual Studio, de SQL, do Office ou de outros aplicativos que exigem e dão suporte a um ambiente de depuração. Esse grupo permite o acesso de depuração remota a computadores. Quando esse grupo existe no nível do domínio, ele indica que um depurador ou um aplicativo que contém um depurador foi instalado em um controlador de domínio. |
| Grupo de replicação de senha RDOC negado | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo não podem ter suas senhas replicadas para controladores de domínio somente leitura no domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Administradores do DHCP | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários do DHCP | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo têm acesso somente visualização para o serviço do servidor DHCP. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários COM Distribuídos | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo têm permissão para iniciar, ativar e usar objetos COM distribuídos neste computador. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| DnsAdmins | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| DnsUpdateProxy | Contêiner de usuários Grupo de segurança global |
Os membros desse grupo são clientes DNS com permissão para executar atualizações dinâmicas em nome de clientes que não podem executar atualizações dinâmicas. Os membros desse grupo normalmente são servidores DHCP. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Administradores do domínio | Contêiner de usuários Grupo de segurança global |
Administradores designados do domínio; os administradores de domínio são membros de cada grupo de administradores locais do computador conectados ao domínio e recebem direitos e permissões concedidos ao grupo administradores local, além do grupo de administradores do domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ajustar cotas de memória para um processo Permitir logon localmente Permitir logon por meio dos Serviços de Área de Trabalho Remota Fazer backup de arquivos e pastas Ignorar verificação completa Alterar a hora do sistema Alterar o fuso horário Criar um arquivo de página Create global objects Criar vínculos simbólicos Depurar programas Permitir que contas de computador e usuário sejam confiáveis para delegação Forçar o desligamento a partir de um sistema remoto Representar um cliente após a autenticação Aumentar um conjunto de trabalho de processo Aumentar prioridade de agendamento Carregar e descarregar drivers de dispositivo Fazer logon como um trabalho em lotes Gerenciar a auditoria e o log de segurança Modificar valores de ambiente de firmware Executar tarefas de manutenção de volume Traçar um perfil de um único processo Traçar um perfil do desempenho do sistema Remover o computador da estação de encaixe Restaurar arquivos e diretórios Desligar o sistema Apropriar-se de arquivos ou de outros objetos |
| Computadores de Domínio | Contêiner de usuários Grupo de segurança global |
Todas as estações de trabalho e servidores ingressados no domínio são, por padrão, membros desse grupo. direitos do usuário diretos padrão: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Controladores de Domínio | Contêiner de usuários Grupo de segurança global |
Todos os controladores de domínio no domínio. Observação: os controladores de domínio não são membros do grupo Computadores de Domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Convidados do Domínio | Contêiner de usuários Grupo de segurança global |
Todos os convidados no domínio direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários do Domínio | Contêiner de usuários Grupo de segurança global |
Todos os usuários do domínio direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Administradores de esquema (aparecem somente para o domínio raiz da floresta) | Contêiner de usuários Grupo de segurança universal |
Os administradores corporativos têm permissões para alterar as definições de configuração em toda a floresta; os administradores corporativos são membros do grupo de administradores de cada domínio e recebem os direitos e as permissões concedidos a esse grupo. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ajustar cotas de memória para um processo Permitir logon localmente Permitir logon por meio dos Serviços de Área de Trabalho Remota Fazer backup de arquivos e pastas Ignorar verificação completa Alterar a hora do sistema Alterar o fuso horário Criar um arquivo de página Create global objects Criar vínculos simbólicos Depurar programas Permitir que contas de computador e usuário sejam confiáveis para delegação Forçar o desligamento a partir de um sistema remoto Representar um cliente após a autenticação Aumentar um conjunto de trabalho de processo Aumentar prioridade de agendamento Carregar e descarregar drivers de dispositivo Fazer logon como um trabalho em lotes Gerenciar a auditoria e o log de segurança Modificar valores de ambiente de firmware Executar tarefas de manutenção de volume Traçar um perfil de um único processo Traçar um perfil do desempenho do sistema Remover o computador da estação de encaixe Restaurar arquivos e diretórios Desligar o sistema Apropriar-se de arquivos ou de outros objetos |
| Controladores de domínio somente leitura da empresa | Contêiner de usuários Grupo de segurança universal |
Esse grupo contém as contas de todos os controladores de domínio somente leitura na floresta. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Leitores de Log de Eventos | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo em podem ler os logs de eventos em controladores de domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Proprietários criadores de política de grupo | Contêiner de usuários Grupo de segurança global |
Os membros desse grupo podem criar e modificar Objetos de Política de Grupo no domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Convidado | Contêiner de usuários Não é um grupo |
Essa é a única conta em um domínio do AD DS que não tem o SID de Usuários Autenticados adicionado ao token de acesso. Portanto, os recursos configurados para permitir acesso ao grupo Usuários Autenticados não estarão acessíveis a essa conta. Esse comportamento não se aplica aos membros dos grupos Convidados e Convidados do Domínio. No entanto, os membros desses grupos têm o SID de Usuários Autenticados adicionado aos tokens de acesso. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Convidados | Contêiner integrado Grupo de segurança local de domínio |
Os convidados têm o mesmo acesso que os membros do grupo Usuários por padrão, exceto pela conta Convidado, que é ainda mais restrita, conforme descrito anteriormente. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Administradores do Hyper-V (Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| IIS_IUSRS | Contêiner integrado Grupo de segurança local de domínio |
Grupo interno usado pelos Serviços de Informações da Internet. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Criadores de Confiança de Floresta de Entrada (existem apenas no domínio raiz da floresta) | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem criar relações de confiança unidirecionais de entrada para esta floresta. (A criação de relações de confiança de floresta de saída é reservada para administradores corporativos.) direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Krbtgt | Contêiner de usuários Não é um grupo |
A conta Krbtgt é a conta de serviço do Centro de Distribuição de Chaves Kerberos no domínio. Essa conta tem acesso às credenciais de todas as contas armazenadas no Active Directory. Essa conta está desabilitada por padrão e nunca deve ser habilitada Direitos do usuário: N/A |
| Operadores de Configuração de Rede | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo recebem privilégios que permitem gerenciar a configuração de recursos de rede. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários do Log de Desempenho | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem agendar o registro em log de contadores de desempenho, habilitar provedores de rastreamento e coletar rastreamentos de eventos localmente e por meio do acesso remoto ao computador. direitos do usuário diretos: Fazer logon como um trabalho em lotes direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários do monitor de desempenho | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem acessar dados do contador de desempenho local e remotamente. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Acesso compatível com versões anteriores ao Windows 2000 | Contêiner integrado Grupo de segurança local de domínio |
Esse grupo existe para compatibilidade com versões anteriores com sistemas operacionais anteriores ao Windows 2000 Server e permite que os membros leiam informações de usuário e grupo no domínio. direitos do usuário diretos: Acesso a este computador da rede Ignorar a verificação completa direitos do usuário herdados: Adicionar estações de trabalho ao domínio Aumentar um conjunto de trabalho de processo |
| Operadores de Impressão | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem administrar impressoras de domínio. direitos do usuário diretos: Permitir logon localmente Carregar e descarregar drivers de dispositivo Desligar o sistema direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Servidores RAS e IAS | Contêiner de usuários Grupo de segurança local de domínio |
Os servidores nesse grupo podem ler as propriedades de acesso remoto em contas de usuário no domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Servidores de Ponto de Extremidade de RDS (Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os servidores desse grupo executam máquinas virtuais e sessões de host em que os programas RemoteApp e as áreas de trabalho virtuais pessoais são executados. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores Host da Sessão da Área de Trabalho Remota e os servidores Host de Virtualização de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Servidores de Gerenciamento de RDS (Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os servidores desse grupo podem executar ações administrativas rotineiras nos servidores que executam os Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de Gerenciamento Central do RDS precisam ser incluídos nesse grupo. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Servidores de Acesso Remoto de RDS (Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os servidores desse grupo permitem que os usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acessem esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso via Web de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Controladores de Domínio somente leitura | Contêiner de usuários Grupo de segurança global |
Esse grupo contém todos os controladores de domínio somente leitura no domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários da Área de Trabalho Remota | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo recebem o direito de fazer logon remotamente usando RDP. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários de Gerenciamento Remoto (Windows Server 2012) | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem acessar os recursos do WMI por meio de protocolos de gerenciamento (como o WS-Management no serviço Gerenciamento Remoto do Windows). Isso só se aplica aos namespaces do WMI que permitem acesso ao usuário. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Replicador | Contêiner integrado Grupo de segurança local de domínio |
Dá suporte à replicação de arquivo herdada em um domínio. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Administradores de Esquema (existem apenas no domínio raiz da floresta) | Contêiner de usuários Grupo de segurança universal |
Os administradores de esquema são os únicos usuários que podem fazer modificações no esquema do Active Directory e apenas se o esquema estiver habilitado para gravação. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Operadores de Servidores | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem administrar controladores de domínio. direitos do usuário diretos: Permitir logon localmente Fazer backup de arquivos e pastas Alterar a hora do sistema Alterar o fuso horário Forçar o desligamento a partir de um sistema remoto Restaurar arquivos e diretórios Desligar o sistema direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Servidores de Licença do Terminal Server | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças, com a finalidade de acompanhar e relatar o uso de TS CAL por usuário direitos do usuário diretos padrão: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| Usuários | Contêiner integrado Grupo de segurança local de domínio |
Os usuários têm permissões que permitem que eles leiam muitos objetos e atributos no Active Directory, embora não possam alterar a maioria. Os usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema e executar a maioria dos aplicativos. direitos do usuário diretos: Aumentar um conjunto de trabalho de processo direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa |
| Grupo de autorização de acesso do Windows | Contêiner integrado Grupo de segurança local de domínio |
Os membros desse grupo têm acesso ao atributo tokenGroupsGlobalAndUniversal computado em objetos Usuário direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Contêiner de usuários Grupo de segurança local de domínio |
Os membros desse grupo podem acessar os recursos do WMI por meio de protocolos de gerenciamento (como o WS-Management no serviço Gerenciamento Remoto do Windows). Isso só se aplica aos namespaces do WMI que permitem acesso ao usuário. direitos do usuário diretos: nenhum direitos do usuário herdados: Acesso a este computador da rede Adicionar estações de trabalho ao domínio Ignorar a verificação completa Aumentar um conjunto de trabalho de processo |