Apêndice B: Contas privilegiadas e grupos no Active Directory

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice B: Contas privilegiadas e grupos no Active Directory

Contas e grupos "privilegiados" no Active Directory são aqueles aos quais são concedidos direitos avançados, privilégios e permissões que lhes permitem executar quase qualquer ação no Active Directory e em sistemas ingressados no domínio. Esse apêndice começa discutindo direitos, privilégios e permissões, seguido de informações sobre as contas e grupos de "privilégios mais altos" no Active Directory, ou seja, as contas e grupos mais poderosos.

Também são fornecidas informações sobre contas e grupos internos e padrão no Active Directory, além de seus direitos. Embora recomendações de configuração específicas para proteger as contas e grupos de privilégios mais altos sejam fornecidas como apêndices separados, esse apêndice fornece informações em segundo plano que ajudam você a identificar os usuários e grupos que você deve se concentrar na proteção. Você deve fazer isso porque eles podem ser aproveitados por invasores para comprometer e até mesmo destruir sua instalação do Active Directory.

Direitos, privilégios e permissões no Active Directory

As diferenças entre direitos, permissões e privilégios podem ser confusas e contraditórias, mesmo dentro da documentação da Microsoft. Esta seção descreve algumas das características de cada uma, pois elas são usadas neste documento. Essas descrições não devem ser consideradas autoritativas para outra documentação da Microsoft, pois podem usar esses termos de forma diferente.

Direitos e privilégios

Os direitos e privilégios são efetivamente os mesmos recursos de todo o sistema concedidos a entidades de segurança, como usuários, serviços, computadores ou grupos. Em interfaces normalmente usadas por profissionais de TI, elas geralmente são conhecidas como "direitos" ou "direitos do usuário", e geralmente são atribuídas por objetos Política de Grupo. A captura de tela a seguir mostra alguns dos direitos de usuário mais comuns que podem ser atribuídos a entidades de segurança (ele representa o GPO de Controladores de Domínio Padrão em um domínio Windows Server 2012). Alguns desses direitos se aplicam ao Active Directory, como habilitar contas de usuário e computador para serem confiáveis para o direito do usuário de delegação, enquanto outros direitos se aplicam ao sistema operacional Windows, como Alterar a hora do sistema.

privileged accounts and groups

Em interfaces como o Editor de Objetos Política de Grupo, todos esses recursos atribuíveis são chamados amplamente de direitos de usuário. Na realidade, no entanto, alguns direitos de usuário são chamados programaticamente de direitos, enquanto outros são chamados programaticamente de privilégios. Tabela B-1: Os direitos e privilégios do usuário fornecem alguns dos direitos de usuário atribuíveis mais comuns e suas constantes programáticas. Embora Política de Grupo e outras interfaces se refiram a todas elas como direitos de usuário, algumas são identificadas programaticamente como direitos, enquanto outras são definidas como privilégios.

Para obter mais informações sobre cada um dos direitos de usuário listados na tabela a seguir, use os links na tabela ou consulte o Guia de Ameaças e Contramedidas: Guia deMitigação de Ameaças e Vulnerabilidades do Servidor Windows 2008 R2 do Microsoft TechNet. Para obter informações aplicáveis ao Windows Server 2008, consulte os Direitos de Usuário na documentação de Mitigação de Ameaças e Vulnerabilidades no site do Microsoft TechNet. A partir da gravação deste documento, a documentação correspondente para Windows Server 2012 ainda não foi publicada.

Observação

Para fins deste documento, os termos "direitos" e "direitos do usuário" são usados para identificar direitos e privilégios, a menos que especificados de outra forma.

Tabela B-1: Direitos e privilégios do usuário
User Right in Política de Grupo Nome da constante
Acessar Gerenciador de credenciais como chamador confiável SeTrustedCredManAccessPrivilege
Acesso a este computador da rede SeNetworkLogonRight
Atuar como parte do sistema operacional SeTcbPrivilege
Adicionar estações de trabalho ao domínio SeMachineAccountPrivilege
Ajustar cotas de memória para um processo SeIncreaseQuotaPrivilege
Permitir logon localmente SeInteractiveLogonRight
Permitir logon pelos Serviços de Terminal SeRemoteInteractiveLogonRight
Fazer backup de arquivos e pastas SeBackupPrivilege
Ignorar verificação completa SeChangeNotifyPrivilege
Alterar a hora do sistema SeSystemtimePrivilege
Alterar o fuso horário SeTimeZonePrivilege
Criar um arquivo de página SeCreatePagefilePrivilege
Criar um objeto token SeCreateTokenPrivilege
Create global objects SeCreateGlobalPrivilege
Criar objetos compartilhados permanentemente SeCreatePermanentPrivilege
Criar vínculos simbólicos SeCreateSymbolicLinkPrivilege
Depurar programas SeDebugPrivilege
Negar acesso a este computador pela rede SeDenyNetworkLogonRight
Negar logon como um trabalho em lote SeDenyBatchLogonRight
Negar o logon como um serviço SeDenyServiceLogonRight
Negar o logon localmente SeDenyInteractiveLogonRight
Negar logon por meio dos Serviços de Terminal SeDenyRemoteInteractiveLogonRight
Permitir que contas de computador e usuário sejam confiáveis para delegação SeEnableDelegationPrivilege
Forçar o desligamento a partir de um sistema remoto SeRemoteShutdownPrivilege
Gerar auditorias de segurança SeAuditPrivilege
Representar um cliente após a autenticação SeImpersonatePrivilege
Aumentar um conjunto de trabalho de processo SeIncreaseWorkingSetPrivilege
Aumentar prioridade de agendamento SeIncreaseBasePriorityPrivilege
Carregar e descarregar drivers de dispositivo SeLoadDriverPrivilege
Bloquear páginas na memória SeLockMemoryPrivilege
Fazer logon como um trabalho em lote SeBatchLogonRight
Fazer logon como um serviço SeServiceLogonRight
Gerenciar a auditoria e o log de segurança SeSecurityPrivilege
Modificar um rótulo de objeto SeRelabelPrivilege
Modificar valores de ambiente de firmware SeSystemEnvironmentPrivilege
Executar tarefas de manutenção de volume SeManageVolumePrivilege
Traçar um perfil de um único processo SeProfileSingleProcessPrivilege
Traçar um perfil do desempenho do sistema SeSystemProfilePrivilege
Remover o computador da estação de encaixe SeUndockPrivilege
Substituir um token de nível de processo SeAssignPrimaryTokenPrivilege
Restaurar arquivos e diretórios SeRestorePrivilege
Desligar o sistema SeShutdownPrivilege
Sincronizar dados do serviço de diretório SeSyncAgentPrivilege
Assumir a propriedade de arquivos ou outros objetos SeTakeOwnershipPrivilege

Permissões

As permissões são controles de acesso aplicados a objetos protegíveis, como o sistema de arquivos, o registro, o serviço e os objetos do Active Directory. Cada objeto protegível tem uma ACL (lista de controle de acesso) associada, que contém ACEs (entradas de controle de acesso) que concedem ou negam às entidades de segurança (usuários, serviços, computadores ou grupos) a capacidade de executar várias operações no objeto. Por exemplo, as ACLs para muitos objetos no Active Directory contêm ACEs que permitem que usuários autenticados leiam informações gerais sobre os objetos, mas não lhes concedem a capacidade de ler informações confidenciais ou alterar os objetos. Com exceção da conta interna de convidado de cada domínio, cada entidade de segurança que faz logon e é autenticada por um controlador de domínio em uma floresta do Active Directory ou uma floresta confiável tem o SID (Identificador de Segurança de Usuários Autenticados) adicionado ao token de acesso por padrão. Portanto, se uma conta de usuário, serviço ou computador tentar ler propriedades gerais em objetos de usuário em um domínio, a operação de leitura é bem-sucedida.

Se uma entidade de segurança tentar acessar um objeto para o qual não há ACEs definidos e que contenham um SID presente no token de acesso da entidade de segurança, a entidade de segurança não poderá acessar o objeto. Além disso, se um ACE na ACL de um objeto contiver uma entrada de negação para um SID que corresponda ao token de acesso do usuário, o ACE "negar" geralmente substituirá um ACE de "permitir" conflitante. Para obter mais informações sobre o controle de acesso no Windows, consulte Controle de Acesso no site do MSDN.

Neste documento, as permissões referem-se a recursos concedidos ou negados às entidades de segurança em objetos protegíveis. Sempre que há um conflito entre um direito do usuário e uma permissão, o direito do usuário geralmente tem precedência. Por exemplo, se um objeto no Active Directory tiver sido configurado com uma ACL que nega aos administradores todo o acesso de leitura e gravação a um objeto, um usuário que é membro do grupo Administradores do domínio não poderá exibir muitas informações sobre o objeto. No entanto, como o grupo Administradores recebe o direito de usuário "Assumir a propriedade de arquivos ou outros objetos", o usuário pode simplesmente assumir a propriedade do objeto em questão e reescrever a ACL do objeto para conceder aos Administradores controle total do objeto.

É por esse motivo que este documento incentiva você a evitar o uso de contas e grupos poderosos para administração diária, em vez de tentar restringir os recursos das contas e grupos. Não é efetivamente possível impedir que um usuário determinado que tenha acesso a credenciais poderosas use essas credenciais para obter acesso a qualquer recurso protegível.

Contas e grupos privilegiados internos

O Active Directory destina-se a facilitar a delegação de administração e o princípio do privilégio mínimo na atribuição de direitos e permissões. Usuários "regulares" que têm contas em um domínio do Active Directory são, por padrão, capazes de ler grande parte do que é armazenado no diretório, mas são capazes de alterar apenas um conjunto muito limitado de dados no diretório. Os usuários que exigem privilégios adicionais podem receber associação em vários grupos privilegiados integrados ao diretório para que possam executar tarefas específicas relacionadas às suas funções, mas não podem executar tarefas que não sejam relevantes para suas funções.

No Active Directory, há três grupos internos que compõem os grupos de privilégios mais altos do diretório: o grupo de administradores de Enterprise (EA), o grupo DA (Administradores de Domínio) e o grupo de Administradores Internos (BA).

Um quarto grupo, o grupo SA (Schema Admins), tem privilégios que, se abusados, podem danificar ou destruir toda uma floresta do Active Directory, mas esse grupo é mais restrito em suas funcionalidades do que os grupos EA, DA e BA.

Além desses quatro grupos, há uma série de contas e grupos internos e padrão adicionais no Active Directory, cada um dos quais recebe direitos e permissões que permitem que tarefas administrativas específicas sejam executadas. Embora esse apêndice não forneça uma discussão completa sobre cada grupo interno ou padrão no Active Directory, ele fornece uma tabela dos grupos e contas que você provavelmente verá em suas instalações.

Por exemplo, se você instalar Microsoft Exchange Server em uma floresta do Active Directory, contas e grupos adicionais poderão ser criados nos contêineres Internos e usuários em seus domínios. Esse apêndice descreve apenas os grupos e contas criados nos contêineres Internos e usuários no Active Directory, com base em funções e recursos nativos. Contas e grupos criados pela instalação do software empresarial não estão incluídos.

Administrador corporativo

O grupo de administradores de Enterprise (EA) está localizado no domínio raiz da floresta e, por padrão, é membro do grupo Administradores internos em todos os domínios da floresta. A conta de Administrador Interno no domínio raiz da floresta é o único membro padrão do grupo EA. Os EAs recebem direitos e permissões que lhes permitem afetar as alterações em toda a floresta. Essas são alterações que afetam todos os domínios na floresta, como adicionar ou remover domínios, estabelecer relações de confiança de floresta ou elevar níveis funcionais da floresta. Em um modelo de delegação devidamente projetado e implementado, a associação de EA é necessária somente ao construir pela primeira vez a floresta ou ao fazer determinadas alterações em toda a floresta, como estabelecer uma relação de confiança de floresta de saída.

O grupo EA está localizado por padrão no contêiner Usuários no domínio raiz da floresta e é um grupo de segurança universal, a menos que o domínio raiz da floresta esteja em execução no modo misto do servidor Windows 2000, nesse caso, o grupo é um grupo de segurança global. Embora alguns direitos sejam concedidos diretamente ao grupo EA, muitos dos direitos desse grupo são herdados pelo grupo EA porque ele é membro do grupo Administradores em cada domínio da floresta. Enterprise administradores não têm direitos padrão em estações de trabalho ou servidores membros.

Administradores do domínio

Cada domínio em uma floresta tem seu próprio grupo de Administradores de Domínio (DA), que é membro do grupo de Administradores internos (BA) desse domínio, além de um membro do grupo administradores local em cada computador que está ingressado no domínio. O único membro padrão do grupo da DA para um domínio é a conta de Administrador Interno para esse domínio.

Os DAs são todos poderosos em seus domínios, enquanto os EAs têm privilégios em toda a floresta. Em um modelo de delegação devidamente projetado e implementado, a associação de DA deve ser necessária apenas em cenários de "quebra de vidro", que são situações em que uma conta com altos níveis de privilégio em cada computador no domínio é necessária ou quando determinadas alterações de domínio devem ser feitas. Embora os mecanismos nativos de delegação do Active Directory permitam a delegação na medida em que é possível usar contas da DA apenas em cenários de emergência, a construção de um modelo de delegação eficaz pode ser demorada e muitas organizações usam aplicativos de terceiros para agilizar o processo.

O grupo DA é um grupo de segurança global localizado no contêiner Usuários para o domínio. Há um grupo de DA para cada domínio na floresta e o único membro padrão de um grupo de DA é a conta de Administrador Interno do domínio. Como o grupo da DA de um domínio está aninhado no grupo BA do domínio e em todos os grupos de administradores locais do sistema ingressado no domínio, as DAs não só têm permissões que são concedidas especificamente aos Administradores de Domínio, mas também herdam todos os direitos e permissões concedidos ao grupo Administradores do domínio e ao grupo administradores local em todos os sistemas ingressados no domínio.

Administradores

O grupo de administradores internos (BA) é um grupo local de domínio no contêiner interno de um domínio no qual DAs e EAs estão aninhados, e é esse grupo que recebe muitos dos direitos diretos e permissões no diretório e nos controladores de domínio. No entanto, o grupo Administradores de um domínio não tem privilégios em servidores membros ou em estações de trabalho. A associação ao grupo de administradores locais de computadores ingressados no domínio é onde o privilégio local é concedido; e dos grupos discutidos, somente os DAs são membros de todos os grupos de administradores locais de computadores ingressados no domínio por padrão.

O grupo Administradores é um grupo local de domínio no contêiner interno do domínio. Por padrão, cada grupo BA de domínio contém a conta de Administrador Interno do domínio local, o grupo da DA do domínio local e o grupo EA do domínio raiz da floresta. Muitos direitos de usuário no Active Directory e em controladores de domínio são concedidos especificamente ao grupo Administradores, não a EAs ou DAs. O grupo BA de um domínio recebe permissões de controle total na maioria dos objetos de diretório e pode assumir a propriedade de objetos de diretório. Embora os grupos de EA e DA tenham determinadas permissões específicas de objeto na floresta e nos domínios, grande parte do poder dos grupos é realmente "herdada" de sua associação a grupos ba.

Observação

Embora essas sejam as configurações padrão desses grupos privilegiados, um membro de qualquer um dos três grupos pode manipular o diretório para obter associação em qualquer um dos outros grupos. Em alguns casos, é trivial alcançar, enquanto em outros é mais difícil, mas do ponto de vista do privilégio potencial, todos os três grupos devem ser considerados efetivamente equivalentes.

Administradores de esquemas

O grupo SA (Administradores de Esquema) é um grupo universal no domínio raiz da floresta e tem apenas a conta de Administrador Interno desse domínio como um membro padrão, semelhante ao grupo EA. Embora a associação no grupo de SA possa permitir que um invasor comprometa o esquema do Active Directory, que é a estrutura para toda a floresta do Active Directory, os SAs têm poucos direitos e permissões padrão além do esquema.

Você deve gerenciar e monitorar cuidadosamente a associação no grupo SA, mas, em alguns aspectos, esse grupo é "menos privilegiado" do que os três grupos com privilégios mais altos descritos anteriormente porque o escopo de seu privilégio é muito estreito; ou seja, os SAs não têm direitos administrativos em qualquer lugar que não seja o esquema.

Grupos internos e padrão adicionais no Active Directory

Para facilitar a delegação de administração no diretório, o Active Directory é fornecido com vários grupos internos e padrão que receberam direitos e permissões específicos. Esses grupos são descritos brevemente na tabela a seguir.

A tabela a seguir lista os grupos internos e padrão no Active Directory. Ambos os conjuntos de grupos existem por padrão; no entanto, grupos internos estão localizados (por padrão) no contêiner interno no Active Directory, enquanto os grupos padrão estão localizados (por padrão) no contêiner Usuários no Active Directory. Os grupos no contêiner interno são todos grupos locais de domínio, enquanto os grupos no contêiner Usuários são uma mistura de grupos Locais de Domínio, Globais e Universais, além de três contas de usuário individuais (Administrador, Convidado e Krbtgt).

Além dos grupos com privilégios mais altos descritos anteriormente neste apêndice, algumas contas e grupos internos e padrão recebem privilégios elevados e também devem ser protegidos e usados apenas em hosts administrativos seguros. Esses grupos e contas podem ser encontrados nas linhas sombreadas na Tabela B-1: Grupos e contas internos e padrão no Active Directory. Como alguns desses grupos e contas recebem direitos e permissões que podem ser mal utilizadas para comprometer o Active Directory ou controladores de domínio, eles recebem proteções adicionais, conforme descrito no Apêndice C: Contas e Grupos Protegidos no Active Directory.

Tabela B-1: Contas e grupos internos e padrão no Active Directory
Conta ou Grupo Contêiner padrão, escopo e tipo de grupo Descrição e direitos de usuário padrão
Operadores de assistência Controle de Acesso (Active Directory no Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos neste computador.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Opers. de contas Contêiner interno

Grupo de segurança local do domínio

Os membros podem administrar contas de usuário e grupo de domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Conta de administrador Contêiner de usuários

Não é um grupo

Conta interna para administrar o domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Grupo de administradores Contêiner interno

Grupo de segurança local do domínio

Os administradores têm acesso completo e irrestrito ao domínio.

Direitos diretos do usuário:

Acesso a este computador da rede

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Grupo de Replicação de Senha RODC permitido Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de cópia Contêiner interno

Grupo de segurança local do domínio

Os Operadores de Backup podem substituir restrições de segurança com a única finalidade de fazer backup ou restaurar arquivos.

Direitos diretos do usuário:

Permitir logon localmente

Fazer backup de arquivos e pastas

Fazer logon como um trabalho em lotes

Restaurar arquivos e diretórios

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Editores de Certificados Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo têm permissão para publicar certificados no diretório.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso DCOM do Serviço de Certificado Contêiner interno

Grupo de segurança local do domínio

Se os Serviços de Certificados estiverem instalados em um controlador de domínio (não recomendado), esse grupo concederá acesso de registro DCOM a Usuários de Domínio e Computadores de Domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de domínio clonáveis (AD DS no Windows Server 2012AD DS) Contêiner de usuários

Grupo de segurança global

Os membros desse grupo que são controladores de domínio podem ser clonados.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores criptográficos Contêiner interno

Grupo de segurança local do domínio

Os membros estão autorizados a executar operações criptográficas.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do depurador Isso não é um padrão nem um grupo interno, mas quando presente no AD DS, é motivo para uma investigação mais aprofundada. A presença de um grupo Usuários do Depurador indica que as ferramentas de depuração foram instaladas no sistema em algum momento, seja por meio de Visual Studio, SQL, Office ou outros aplicativos que exigem e dão suporte a um ambiente de depuração. Esse grupo permite acesso de depuração remota a computadores. Quando esse grupo existe no nível do domínio, ele indica que um depurador ou um aplicativo que contém um depurador foi instalado em um controlador de domínio.
Grupo de Replicação de Senha RODC negado Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo não podem ter suas senhas replicadas para nenhum controlador de domínio somente leitura no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores dhcp Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo têm acesso administrativo ao serviço servidor DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários DHCP Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo têm acesso somente exibição ao serviço servidor DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários COM Distribuídos Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo têm permissão para iniciar, ativar e usar objetos COM distribuídos neste computador.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

DnsAdmins Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Dnsupdateproxy Contêiner de usuários

Grupo de segurança global

Os membros desse grupo são clientes DNS que têm permissão para executar atualizações dinâmicas em nome de clientes que não podem executar atualizações dinâmicas. Os membros desse grupo normalmente são servidores DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do domínio Contêiner de usuários

Grupo de segurança global

Administradores designados do domínio; Os Administradores de Domínio são membros de cada grupo de administradores locais do computador ingressado no domínio e recebem direitos e permissões concedidos ao grupo administrador local, além do grupo Administradores do domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Computadores de Domínio Contêiner de usuários

Grupo de segurança global

Todas as estações de trabalho e servidores ingressados no domínio são membros padrão desse grupo.

Direitos de usuário diretos padrão: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio Contêiner de usuários

Grupo de segurança global

Todos os controladores de domínio no domínio. Observação: os controladores de domínio não são membros do grupo de Computadores de Domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados do Domínio Contêiner de usuários

Grupo de segurança global

Todos os convidados no domínio

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Domínio Contêiner de usuários

Grupo de segurança global

Todos os usuários no domínio

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Enterprise Administradores (existe somente no domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Enterprise administradores têm permissões para alterar as configurações de toda a floresta; Enterprise Administradores é membro do grupo Administradores de todos os domínios e recebe direitos e permissões concedidos a esse grupo.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Controladores de domínio somente leitura da empresa Contêiner de usuários

Grupo de segurança universal

Esse grupo contém as contas de todos os controladores de domínio somente leitura na floresta.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Leitores de Log de Eventos Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem ler os logs de eventos em controladores de domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Proprietários criadores de política de grupo Contêiner de usuários

Grupo de segurança global

Os membros desse grupo podem criar e modificar objetos Política de Grupo no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidado Contêiner de usuários

Não é um grupo

Essa é a única conta em um domínio do AD DS que não tem o SID de Usuários Autenticados adicionado ao token de acesso. Portanto, todos os recursos configurados para conceder acesso ao grupo Usuários Autenticados não estarão acessíveis a essa conta. Esse comportamento não se aplica aos membros dos grupos Convidados e Convidados do Domínio, no entanto, os membros desses grupos têm o SID de Usuários Autenticados adicionado aos tokens de acesso.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados Contêiner interno

Grupo de segurança local do domínio

Os convidados têm o mesmo acesso que os membros do grupo Usuários por padrão, exceto pela conta convidado, que é ainda mais restrita, conforme descrito anteriormente.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do Hyper-V (Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

IIS_IUSRS Contêiner interno

Grupo de segurança local do domínio

Grupo interno usado por Serviços de Informações da Internet.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Construtores de Confiança de Floresta de Entrada (existe somente no domínio raiz da floresta) Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem criar relações de confiança unidirecionais de entrada para essa floresta. (A criação de relações de confiança de floresta de saída é reservada para administradores de Enterprise.)

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Krbtgt Contêiner de usuários

Não é um grupo

A conta Krbtgt é a conta de serviço do Centro de Distribuição de Chaves Kerberos no domínio. Essa conta tem acesso às credenciais de todas as contas armazenadas no Active Directory. Essa conta está desabilitada por padrão e nunca deve ser habilitada

Direitos do usuário: N/A

Operadores de Configuração de Rede Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo recebem privilégios que permitem que eles gerenciem a configuração de recursos de rede.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Log de Desempenho Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem agendar o registro em log de contadores de desempenho, habilitar provedores de rastreamento e coletar rastreamentos de eventos localmente e por meio do acesso remoto ao computador.

Direitos diretos do usuário:

Fazer logon como um trabalho em lotes

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do monitor de desempenho Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem acessar dados do contador de desempenho local e remotamente.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso compatível com versões anteriores ao Windows 2000 Contêiner interno

Grupo de segurança local do domínio

Esse grupo existe para compatibilidade com sistemas operacionais anteriores a Windows 2000 Server e fornece a capacidade dos membros de ler informações de usuário e grupo no domínio.

Direitos diretos do usuário:

Acesso a este computador da rede

Ignorar a verificação completa

Direitos de usuário herdados:

Adicionar estações de trabalho ao domínio

Aumentar um conjunto de trabalho de processo

Operadores de Impressão Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem administrar impressoras de domínio.

Direitos diretos do usuário:

Permitir logon localmente

Carregar e descarregar drivers de dispositivo

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores RAS e IAS Contêiner de usuários

Grupo de segurança local do domínio

Os servidores nesse grupo podem ler propriedades de acesso remoto em contas de usuário no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de ponto de extremidade RDS (Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os servidores desse grupo executam máquinas virtuais e sessões de host em que os programas RemoteApp dos usuários e áreas de trabalho virtuais pessoais são executados. Esse grupo precisa ser preenchido em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores host de sessão rd e os servidores host de virtualização de área de trabalho remota usados na implantação precisam estar nesse grupo.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Gerenciamento de RDS (Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os servidores desse grupo podem executar ações administrativas rotineiras em servidores que executam os Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de Gerenciamento Central de RDS devem ser incluídos nesse grupo.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Acesso Remoto rds (Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os servidores desse grupo permitem que os usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acessem esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido em servidores que executam o Agente de Conexão rd. Os servidores do Gateway de Área de Trabalho Remota e os servidores de Acesso Web rd usados na implantação precisam estar nesse grupo.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio somente leitura Contêiner de usuários

Grupo de segurança global

Esse grupo contém todos os controladores de domínio somente leitura no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários da Área de Trabalho Remota Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo têm o direito de fazer logon remotamente usando RDP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários de Gerenciamento Remoto (Windows Server 2012) Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem acessar recursos do WMI por meio de protocolos de gerenciamento (como WS-Management por meio do serviço Windows Gerenciamento Remoto). Isso se aplica somente a namespaces WMI que concedem acesso ao usuário.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Replicador Contêiner interno

Grupo de segurança local do domínio

Dá suporte à replicação de arquivo herdada em um domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores de esquema (existe somente no domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Os administradores de esquema são os únicos usuários que podem fazer modificações no esquema do Active Directory e somente se o esquema estiver habilitado para gravação.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de Servidores Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem administrar servidores de domínio.

Direitos diretos do usuário:

Permitir logon localmente

Fazer backup de arquivos e pastas

Alterar a hora do sistema

Alterar o fuso horário

Forçar o desligamento a partir de um sistema remoto

Restaurar arquivos e diretórios

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Licença do Servidor terminal Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem atualizar contas de usuário no Active Directory com informações sobre emissão de licenças, com a finalidade de acompanhar e relatar o uso de CAL de TS por usuário

Direitos de usuário diretos padrão: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários Contêiner interno

Grupo de segurança local do domínio

Os usuários têm permissões que permitem ler muitos objetos e atributos no Active Directory, embora não possam alterar a maioria. Os usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema e podem executar a maioria dos aplicativos.

Direitos diretos do usuário:

Aumentar um conjunto de trabalho de processo

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Grupo de autorização de acesso do Windows Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo têm acesso ao atributo tokenGroupsGlobalAndUniversal computado em objetos de usuário

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

WinRMRemoteWMIUsers_ (Windows Server 2012) Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo podem acessar recursos WMI por protocolos de gerenciamento (como WS-Management por meio do serviço Windows Gerenciamento Remoto). Isso se aplica somente a namespaces WMI que concedem acesso ao usuário.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo