Grupos de segurança do Active Directory
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Saiba mais sobre os grupos de segurança padrão, o escopo de grupo e as funções de grupo do Active Directory.
O que é um grupo de segurança no Active Directory?
O Active Directory tem duas formas de entidades de segurança comuns: contas de usuário e contas de computador. Essas contas representam uma entidade física que é uma pessoa ou um computador. Uma conta de usuário também pode ser usada como uma conta de serviço dedicada para alguns aplicativos.
Os grupos de segurança são uma forma de coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis.
No sistema operacional Windows Server, várias contas internas e vários grupos de segurança são configurados previamente com as permissões e os direitos apropriados para executar tarefas específicas. No Active Directory, as responsabilidades administrativas são separadas em dois tipos de administradores:
Administradores de serviços: responsáveis por manter e fornecer o AD DS (Active Directory Domain Services), incluindo o gerenciamento de controladores de domínio e a configuração do AD DS.
Administradores de dados: responsáveis por manter os dados armazenados no AD DS e nas estações de trabalho e nos servidores membro do domínio.
Como funcionam os grupos de segurança do Active Directory
Use grupos para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de usuários individuais ajuda você a simplificar a manutenção e a administração da rede.
O Active Directory tem dois tipos de grupos:
Grupos de segurança: use-os para atribuir permissões a recursos compartilhados.
Grupos de distribuição: use-os para criar listas de distribuição de email.
Grupos de segurança
Os grupos de segurança podem fornecer uma forma eficiente de atribuir acesso aos recursos na sua rede. Ao usar grupos de segurança, você pode:
Atribuir direitos de usuário a grupos de segurança no Active Directory.
Atribua direitos de usuário a um grupo de segurança para determinar o que os membros desse grupo podem fazer no escopo de um domínio ou de uma floresta. Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança quando o Active Directory é instalado para ajudar os administradores a definir a função administrativa de uma pessoa no domínio.
Por exemplo, um usuário que você adicionou ao grupo Operadores de Backup no Active Directory pode fazer backup de arquivos e diretórios localizados em cada controlador no domínio e restaurá-los. O usuário pode realizar essas ações porque, por padrão, os direitos de usuário Fazer backup de arquivos e diretórios e Restaurar arquivos e diretórios são atribuídos automaticamente ao grupo Operadores de Backup. Portanto, os membros desse grupo herdam os direitos de usuário atribuídos ao grupo.
Use a Política de Grupo para atribuir direitos de usuário aos grupos de segurança para delegar tarefas específicas. Para obter mais informações sobre como usar a Política de Grupo, confira Atribuição de direitos de usuário.
Atribua permissões a grupos de segurança para recursos.
As permissões são diferentes dos direitos de usuário. As permissões são atribuídas a um grupo de segurança para um recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle completo ou Leitura. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso aos grupos de segurança padrão, como Operadores de Conta ou Administradores de Domínio.
Os grupos de segurança são listados em DACLs (listas de controle de acesso discricionário) que definem permissões em recursos e objetos. Quando os administradores atribuem permissões para recursos como compartilhamentos de arquivos ou impressoras, eles devem atribuir essas permissões a um grupo de segurança em vez de a usuários individuais. As permissões são atribuídas uma vez ao grupo em vez de várias vezes a cada usuário individual. Cada conta adicionada a um grupo recebe os direitos atribuídos ao grupo no Active Directory. O usuário recebe as permissões definidas para o grupo.
Você pode usar um grupo de segurança como uma entidade de email. O envio de uma mensagem de email a um grupo de segurança envia a mensagem a todos os membros do grupo.
Grupos de distribuição
Você só pode usar grupos de distribuição para enviar emails para coleções de usuários usando um aplicativo de email como o Exchange Server. Os grupos de distribuição não estão habilitados para segurança, ou seja, você não pode incluí-los em DACLs.
Escopo do grupo
Cada grupo tem um escopo que identifica até que ponto o grupo é aplicado à árvore de domínio ou à floresta. O escopo de um grupo define o local em que as permissões de rede podem ser concedidas para o grupo. O Active Directory define os três seguintes escopos de grupo:
Universal
Global
Local de Domínio
Observação
Além desses três escopos, os grupos padrão no contêiner Interno têm um escopo de grupo Local Interno. O escopo e o tipo desse grupo não podem ser alterados.
A seguinte tabela descreve os três escopos de grupo e como eles funcionam como grupos de segurança:
| Escopo | Possíveis membros | Conversão de escopo | Pode conceder permissões | Possível membro de |
|---|---|---|---|---|
| Universal | Contas de qualquer domínio na mesma floresta Grupos globais de qualquer domínio na mesma floresta Outros grupos Universais de qualquer domínio na mesma floresta |
Pode ser convertido no escopo Local de Domínio se o grupo não é membro de nenhum outro grupo Universal Pode ser convertido no escopo Global se o grupo não contém nenhum outro grupo Universal |
Em qualquer domínio na mesma floresta ou em florestas confiáveis | Outros grupos Universais na mesma floresta Grupos Locais de Domínio na mesma floresta ou em florestas confiáveis Grupos Locais em computadores na mesma floresta ou em florestas confiáveis |
| Global | Contas do mesmo domínio Outros grupos globais do mesmo domínio |
Pode ser convertido no escopo Universal se o grupo não é membro de nenhum outro grupo Global | Em qualquer domínio na mesma floresta ou em domínios ou florestas confiáveis | Grupos Universais de qualquer domínio na mesma floresta Outros grupos globais do mesmo domínio Grupos Locais de Domínio de qualquer domínio na mesma floresta ou de qualquer domínio confiável |
| Local de Domínio | Contas de qualquer domínio ou domínio confiável Grupos Globais de qualquer domínio ou qualquer domínio confiável Grupos Universais de qualquer domínio na mesma floresta Outros grupos Locais de Domínio do mesmo domínio Contas, grupos Globais e grupos Universais de outras florestas e de domínios externos |
Pode ser convertido no escopo Universal se o grupo não contém nenhum outro grupo Local de Domínio | No mesmo domínio | Outros grupos Locais de Domínio do mesmo domínio Grupos Locais em computadores no mesmo domínio, excluindo grupos internos que têm SIDs (identificadores de segurança) conhecidos |
Grupos de identidade especiais
As identidades especiais são conhecidas como grupos. Os grupos de identidades especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias. Alguns desses grupos incluem Proprietário do Criador, Lote e Usuário Autenticado.
Para obter mais informações, confira Grupos de identidades especiais.
Grupos de segurança padrão
Os grupos padrão, como o grupo Administradores de Domínio, são grupos de segurança criados automaticamente quando você cria um domínio do Active Directory. Você pode usar esses grupos predefinidos para ajudar a controlar o acesso aos recursos compartilhados e a delegar funções administrativas específicas a todo o domínio.
Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário que autorizam os membros do grupo a executar ações específicas em um domínio, como fazer logon em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup pode executar operações de backup em todos os controladores de domínio do domínio.
Quando você adiciona um usuário ao grupo, o usuário recebe todos os direitos de usuário atribuídos ao grupo, incluindo todas as permissões atribuídas ao grupo em qualquer recurso compartilhado.
Os grupos padrão estão localizados no contêiner Interno e no contêiner Usuários em Usuários e Computadores do Active Directory. O contêiner Interno inclui os grupos definidos com o escopo Local de Domínio. O contêiner Usuários contém os grupos definidos com o escopo Global e os grupos definidos com o escopo Local de Domínio. Você pode mover os grupos que estão localizados nesses contêineres para outros grupos ou unidades organizacionais no domínio, mas não podem movê-los para outros domínios.
Alguns dos grupos administrativos listados neste artigo e todos os membros desses grupos são protegidos por um processo em segundo plano que verifica periodicamente se há um descritor de segurança específico e o aplica. Esse descritor é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em um grupos ou em uma das contas administrativas seja substituída pelas configurações protegidas.
O descritor de segurança está presente no objeto AdminSDHolder. Caso você deseje modificar as permissões em um dos grupos de administradores de serviços ou em uma das respectivas contas membro, modifique o descritor de segurança no objeto AdminSDHolder para que ele seja aplicado de maneira consistente. Tenha cuidado ao fazer essas modificações, porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.
Grupos de segurança padrão do Active Directory
A seguinte lista fornece descrições dos grupos padrão localizados nos contêineres Interno e Usuários no Active Directory:
- Operadores de Assistência do Controle de Acesso
- Opers. de contas
- Administradores
- Replicação de Senha do RDOC Permitida
- Operadores de cópia
- Acesso DCOM do Serviço de Certificado
- Editores de Certificados
- Controladores de Domínio Clonáveis
- Operadores criptográficos
- Replicação de Senha do RDOC Negada
- Proprietários de Dispositivos
- Administradores do DHCP
- Usuários do DHCP
- Usuários COM Distribuídos
- DnsUpdateProxy
- DnsAdmins
- Administradores do domínio
- Computadores de Domínio
- Controladores de Domínio
- Convidados do Domínio
- Usuários do Domínio
- Administrador corporativo
- Administradores de chave corporativa
- Controladores de domínio somente leitura da empresa
- Leitores de Log de Eventos
- Proprietários criadores de política de grupo
- Guests
- Administradores do Hyper-V
- IIS_IUSRS
- Criadores de confiança de floresta de entrada
- Administradores chave
- Operadores de Configuração de Rede
- Usuários do Log de Desempenho
- Usuários do monitor de desempenho
- Acesso Compatível com versões anteriores ao Windows 2000
- Operadores de Impressão
- Usuários protegidos
- Servidores RAS e IAS
- Servidores de Ponto de Extremidade do RDS
- Servidores de Gerenciamento do RDS
- Servidores de Acesso Remoto do RDS
- Controladores de Domínio somente leitura
- Usuários da Área de Trabalho Remota
- Usuários do gerenciamento remoto
- Replicador
- Administradores de esquemas
- Operadores de Servidores
- Administradores da Réplica de Armazenamento
- Contas Gerenciadas pelo Sistema
- Servidores de Licença do Terminal Server
- Usuários
- Acesso de Autorização do Windows
- WinRMRemoteWMIUsers_
Operadores de Assistência do Controle de Acesso
Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões nos recursos do computador.
O grupo Operadores de Assistência do Controle de Acesso se aplica ao sistema operacional Windows Server listado na tabela Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-579 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Opers. de contas
O grupo Operadores de Conta concede privilégios limitados de criação de conta a um usuário. Os membros desse grupo podem criar e modificar a maioria dos tipos de contas, incluindo contas de usuários, grupos Locais e grupos Globais. Os membros do grupo podem fazer logon localmente nos controladores de domínio.
Os membros do grupo Operadores de Conta não podem gerenciar a conta do usuário Administrador, as contas de usuário dos administradores ou os grupos Administradores, Operadores de Servidor, Operadores de Conta, Operadores de Backup ou Operadores de Impressão. Os membros desse grupo não podem modificar os direitos de usuário.
O grupo Operadores de Conta se aplica ao sistema operacional Windows Server na lista Grupos de segurança padrão do Active Directory.
Observação
Por padrão, esse grupo interno não tem membros. O grupo pode criar e gerenciar usuários e grupos no domínio, incluindo a respectiva associação e a do grupo Operadores de Servidor. Esse grupo é considerado um grupo de administradores de serviços, porque pode modificar Operadores de Servidor, que, por sua vez, podem modificar as configurações do controlador de domínio. Como melhor prática, mantenha a associação a esse grupo vazia e não a use para nenhuma administração delegada. Esse grupo não pode ser renomeado, excluído nem removido.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-548 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight |
Administradores
Os membros do grupo Administradores têm acesso completo e irrestrito ao computador. Se o computador for promovido a um controlador de domínio, os membros do grupo Administradores terão acesso irrestrito ao domínio.
O grupo Administradores se aplica ao sistema operacional Windows Server na lista Grupos de segurança padrão do Active Directory.
Observação
O grupo Administradores tem funcionalidades internas que dão aos membros controle completo sobre o sistema. Esse grupo não pode ser renomeado, excluído nem removido. Esse grupo interno controla o acesso a todos os controladores de domínio no respectivo domínio e pode alterar a associação a todos os grupos administrativos. Os membros dos seguintes grupos podem modificar a associação ao grupo Administradores: Administradores do serviço padrão, Administradores de Domínio do domínio e Administradores Corporativos. Esse grupo tem o privilégio especial de se apropriar de qualquer objeto no diretório ou de qualquer recurso em um controlador de domínio. Essa conta é considerada um grupo de administradores de serviços porque os membros têm acesso completo aos controladores de domínio do domínio.
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
Alterações de direitos de usuário padrão: o direito Permitir logon por meio dos Serviços de Terminal do Windows Server 2008 foi substituído por Permitir logon por meio dos Serviços de Área de Trabalho Remota.
O direito Remover computador da estação de encaixe foi removido do Windows Server 2012 R2.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-544 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Administrador, Administradores de Domínio, Administradores Corporativos |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Ajustar quotas de memória para um processo: SeIncreaseQuotaPrivilege Acessar este computador na rede: SeNetworkLogonRight Permitir logon localmente: SeInteractiveLogonRight Permitir logon por meio dos Serviços de Área de Trabalho Remota: SeRemoteInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Ignorar verificação completa: SeChangeNotifyPrivilege Alterar a hora do sistema: SeSystemTimePrivilege Alterar o fuso horário: SeTimeZonePrivilege Criar um arquivo de página: SeCreatePagefilePrivilege Criar objetos globais: SeCreateGlobalPrivilege Criar links simbólicos: SeCreateSymbolicLinkPrivilege Depurar programas: SeDebugPrivilege Permitir que as contas de computador e de usuário sejam confiáveis para delegação: SeEnableDelegationPrivilege Forçar o desligamento por meio de um sistema remoto: SeRemoteShutdownPrivilege Representar um cliente após a autenticação: SeImpersonatePrivilege Aumentar a prioridade de agendamento: SeIncreaseBasePriorityPrivilege Carregar e descarregar drivers de dispositivo: SeLoadDriverPrivilege Fazer logon como um trabalho em lotes: SeBatchLogonRight Gerenciar o log de auditoria e de segurança: SeSecurityPrivilege Modificar valores do ambiente de firmware: SeSystemEnvironmentPrivilege Executar tarefas de manutenção de volume: SeManageVolumePrivilege Analisar desempenho do sistema: SeSystemProfilePrivilege Analisar processo individual: SeProfileSingleProcessPrivilege Remover computador da estação de encaixe: SeUndockPrivilege Restaurar arquivos e diretórios: SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege Apropriar-se de arquivos ou de outros objetos: SeTakeOwnershipPrivilege |
Replicação de Senha do RDOC Permitida
A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha do RODC (controlador de domínio somente leitura). Esse grupo não tem membros por padrão e resulta na condição de que os novos RODCs não armazenem em cache as credenciais do usuário. O grupo Replicação de Senha do RODC Negada contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha do RODC Negada substitui o grupo Replicação de Senha do RODC Permitida.
O grupo Replicação de Senha do RODC Permitida se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-571 |
| Digite | Local de domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Operadores de cópia
Os membros do grupo Operadores de Backup podem fazer backup de todos os arquivos de um computador e restaurá-los, independentemente das permissões que protegem esses arquivos. Os Operadores de Backup também podem fazer logon no computador e desligá-lo. Esse grupo não pode ser renomeado, excluído nem removido. Por padrão, esse grupo interno não tem membros e pode executar operações de backup e restauração nos controladores de domínio. Os membros dos seguintes grupos podem modificar a associação ao grupo Operadores de Backup: Administradores do serviço padrão, Administradores de Domínio do domínio e Administradores Corporativos. Os membros do grupo Operadores de Backup não podem modificar a associação a nenhum grupo administrativo. Embora os membros desse grupo não possam alterar as configurações do servidor nem modificar a configuração do diretório, eles têm as permissões necessárias para substituir arquivos (incluindo arquivos do sistema operacional) nos controladores de domínio. Como os membros desse grupo podem substituir arquivos nos controladores de domínio, eles são considerados administradores de serviço.
O grupo Operadores de Backup se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-551 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Fazer logon como um trabalho em lotes: SeBatchLogonRight Restaurar arquivos e diretórios: SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege |
Acesso DCOM do Serviço de Certificado
Os membros desse grupo podem se conectar às autoridades de certificação na empresa.
O grupo Acesso ao DCOM do Serviço de Certificado se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-<domínio>-574 |
| Digite | Local de Domínio |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Editores de Certificados
Os membros do grupo Editores de Certificados estão autorizados a publicar certificados para objetos Usuário no Active Directory.
O grupo Editores de Certificados se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-517 |
| Digite | Local de Domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Replicação de Senha do RDOC Negada |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Controladores de Domínio Clonáveis
Os membros do grupo Controladores de Domínio Clonáveis que são controladores de domínio podem ser clonados. No Windows Server 2012 R2 e no Windows Server 2012, você pode implantar controladores de domínio copiando um controlador de domínio virtual existente. Em um ambiente virtual, não é mais preciso implantar repetidamente uma imagem de servidor preparada usando o Sysprep.exe, promovendo o servidor a um controlador de domínio e, em seguida, preencher mais requisitos de configuração para implantar cada controlador de domínio (incluindo a adição do controlador de domínio virtual a esse grupo de segurança).
Para saber mais, consulte Introdução à virtualização do AD DS (Serviços de Domínio Active Directory) (Nível 100).
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-522 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Operadores criptográficos
Os membros desse grupo estão autorizados a executar operações criptográficas. Esse grupo de segurança foi adicionado ao Windows Vista SP1 (Service Pack 1) para configurar o Firewall do Windows para o IPsec no modo Critérios Comuns.
O grupo Operadores de Criptografia se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
Esse grupo de segurança foi introduzido no Windows Vista SP1 e não foi alterado nas versões seguintes.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-569 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Replicação de Senha do RDOC Negada
As senhas dos membros do grupo Replicação de Senha do RDOC Negada não podem ser replicadas para nenhum RODC.
A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha do RODC. Esse grupo contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha do RODC Negada substitui o grupo Replicação de Senha do RODC Permitida.
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
- O Windows Server 2012 alterou os membros padrão para incluir os Editores de Certificados.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-572 |
| Digite | Local de domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Editores de Certificados Proprietários criadores de política de grupo |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Proprietários de Dispositivos
Quando o grupo Proprietários de Dispositivos não tiver membros, recomendaremos que você não altere a configuração padrão desse grupo de segurança. Alterar a configuração padrão pode dificultar cenários futuros que dependem desse grupo. Atualmente, o grupo Proprietários de Dispositivos não é usado no Windows.
O grupo Proprietários de Dispositivos se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-583 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos fazer isso |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Acessar este computador na rede: SeNetworkLogonRight Ignorar verificação completa: SeChangeNotifyPrivilege Alterar o fuso horário: SeTimeZonePrivilege |
Administradores do DHCP
Os membros do grupo Administradores do DHCP podem criar, excluir e gerenciar diferentes áreas do escopo do servidor, incluindo os direitos de fazer backup do banco de dados do protocolo DHCP e restaurá-lo. Embora esse grupo tenha direitos administrativos, ele não faz parte do grupo Administradores, porque essa função é limitada aos serviços do DHCP.
O grupo Administradores do DHCP se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domain> |
| Tipo | Local de Domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Usuários |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos fazer isso |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Usuários do DHCP
Os membros do grupo Usuários do DHCP podem ver quais escopos estão ativos ou inativos, ver quais endereços IP foram atribuídos e visualizar problemas de conectividade, caso o servidor DHCP não esteja configurado corretamente. Esse grupo é limitado a acesso somente leitura ao servidor DHCP.
O grupo Usuários do DHCP se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domain> |
| Tipo | Local de Domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Usuários |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos fazer isso |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Usuários COM Distribuídos
Os membros do grupo Usuários do Distributed COM podem iniciar, ativar e usar objetos do Distributed COM no computador. O Microsoft COM (Component Object Model) é um sistema distribuído, orientado a objeto e independente de plataforma usado para a criação de componentes de software binários que possam interagir. O DCOM (Distributed Component Object Model) permite que os aplicativos sejam distribuídos entre locais que fazem mais sentido para você e para o aplicativo. Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função mestre de operações (também chamada de FSMO ou operações de mestre único flexíveis).
O grupo Usuários do Distributed COM se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-562 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
DnsUpdateProxy
Os membros do grupo DnsUpdateProxy são clientes DNS. Eles têm permissão para executar atualizações dinâmicas em nome de outros clientes, como para servidores DHCP. Um servidor DNS pode desenvolver registros de recursos obsoletos quando um servidor DHCP é configurado para registrar dinamicamente registros de recursos de host (A) e de ponteiro (PTR) em nome dos clientes DHCP usando a atualização dinâmica. A adição de clientes a esse grupo de segurança atenua esse cenário.
No entanto, para protegê-lo contra registros não seguros ou para permitir que os membros do grupo DnsUpdateProxy registrem registros em zonas que permitam apenas atualizações dinâmicas protegidas, crie uma conta de usuário dedicada e configure os servidores DHCP para executar atualizações dinâmicas de DNS usando as credenciais (nome de usuário, senha e domínio) dessa conta. Vários servidores DHCP podem usar as credenciais de uma conta de usuário dedicada. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada em um controlador de domínio no domínio.
Para obter mais informações, confira Propriedade do registro DNS e o grupo DnsUpdateProxy.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-<RI da variável> |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
DnsAdmins
Os membros do grupo DnsAdmins têm acesso às informações de DNS da rede. As permissões padrão são Permitir: Ler, Gravar, Criar Todos os Objetos Filho, Excluir Objetos Filho e Permissões Especiais. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada em um controlador de domínio no domínio.
Para obter mais informações sobre a segurança e o DNS, confira DNSSEC no Windows Server 2012.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-<RI da variável> |
| Digite | Local Interno |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Administradores do domínio
Os membros do grupo de segurança Administradores de Domínio estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os controladores de domínio. O grupo Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory para o domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores.
O grupo Administradores de Domínio controla o acesso a todos os controladores de domínio de um domínio e pode modificar a associação a todas as contas administrativas no domínio. Os membros dos grupos de administradores de serviços no respectivo domínio (Administradores e Administradores de Domínio) e os membros do grupo Administradores Corporativos podem modificar a associação a Administradores de Domínio. Esse grupo é considerado uma conta de administrador de serviços, porque os membros têm acesso completo aos controladores de domínio de um domínio.
O grupo Administradores de Domínio se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-512 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Administrador |
| Membro padrão de | Administradores |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Administradores |
Computadores de Domínio
Esse grupo pode incluir todos os computadores e servidores que ingressaram no domínio, excluindo os controladores de domínio. Por padrão, qualquer conta de computador criada automaticamente passa a ser membro desse grupo.
O grupo Computadores de Domínio se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-515 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Todos os computadores ingressados no domínio, excluindo os controladores de domínio |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim (mas não obrigatório) |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Controladores de Domínio
O grupo Controladores de Domínio pode incluir todos os controladores de domínio no domínio. Os novos controladores de domínio são adicionados automaticamente a esse grupo.
O grupo Controladores de Domínio se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-516 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Contas de computador de todos os controladores de domínio do domínio |
| Membro padrão de | Replicação de Senha do RDOC Negada |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | No |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Convidados do Domínio
O grupo Convidados de Domínio inclui a conta de convidado interna do domínio. Quando os membros desse grupo entram como convidados locais em um computador ingressado no domínio, um perfil de domínio é criado no computador local.
O grupo Convidados de Domínio se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-514 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Convidado |
| Membro padrão de | Guests |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos fazer isso |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Convidados |
Usuários do Domínio
O grupo Usuários do Domínio inclui todas as contas de usuário de um domínio. Quando você cria uma conta de usuário em um domínio, ela é adicionada automaticamente a esse grupo.
Por padrão, qualquer conta de usuário criada no domínio automaticamente passa a ser membro desse grupo. Você pode usar esse grupo para representar todos os usuários do domínio. Por exemplo, caso você deseje que todos os usuários de domínio tenham acesso a uma impressora, atribua permissões na impressora a esse grupo ou adicione o grupo Usuários do Domínio a um grupo Local no servidor de impressão que tenha permissões na impressora.
O grupo Usuários do Domínio se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-513 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Administrador |
| krbtgt | |
| Membro padrão de | Usuários |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Usuários |
Administrador corporativo
O grupo Administradores Corporativos só existe no domínio raiz de uma floresta de domínios do Active Directory. O grupo será um grupo Universal se o domínio estiver no modo nativo. O grupo será um grupo Global se o domínio estiver no modo misto. Os membros desse grupo estão autorizados a fazer alterações em toda a floresta no Active Directory, como adicionar domínios filho.
Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo é adicionado automaticamente ao grupo Administradores em todos os domínios da floresta e fornece acesso completo à configuração de todos os controladores de domínio. Os membros desse grupo podem modificar a associação a todos os grupos administrativos. Os membros dos grupos de administradores de serviço padrão no domínio raiz podem modificar a associação a Administradores Corporativos. Esse grupo é considerado uma conta de administrador de serviços.
O grupo Administradores Corporativos se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio raiz>-519 |
| Digite | Universal, se o domínio estiver no modo nativo, caso contrário, Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Administrador |
| Membro padrão de | Administradores |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Administradores |
Administradores de chave corporativa
Os membros desse grupo podem executar ações administrativas em objetos de chave na floresta.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-527 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Controladores de domínio somente leitura da empresa
Os membros desse grupo são RODCs na empresa. Com exceção das senhas de conta, um RODC contém todos os objetos e os atributos do Active Directory contidos por um controlador de domínio gravável. No entanto, não é possível fazer alterações no banco de dados armazenado no RODC. As alterações precisam ser feitas em um controlador de domínio gravável e, depois, replicadas para o RODC.
Os RODCs resolvem alguns dos problemas que normalmente são encontrados em filiais. Esses locais podem não ter um controlador de domínio ou podem ter um controlador de domínio gravável, mas não a segurança física, a largura de banda de rede ou a experiência local para dar suporte a ele.
Para obter mais informações, confira O que é um controlador de domínio somente leitura?
O grupo Controladores de Domínio Somente Leitura da Empresa se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio raiz>-498 |
| Digite | Universal |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Leitores de Log de Eventos
Os membros desse grupo podem ler os logs de eventos dos computadores locais. O grupo é criado quando o servidor é promovido a um controlador de domínio.
O grupo Leitores do Log de Eventos se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-573 |
| Digite | Local de Domínio |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Proprietários criadores de política de grupo
Esse grupo está autorizado a criar, editar e excluir Objetos de Política de Grupo no domínio. Por padrão, o único membro do grupo é Administrador.
Para obter informações sobre outros recursos que você pode usar com esse grupo de segurança, confira Visão geral da Política de Grupo.
O grupo Proprietários Criadores da Política de Grupo se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-520 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Administrador |
| Membro padrão de | Replicação de Senha do RDOC Negada |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | No |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Replicação de Senha do RDOC Negada |
Convidados
Por padrão, os membros do grupo Convidados têm o mesmo acesso que os membros do grupo Usuários, com exceção de que a conta convidado tem mais restrições. Por padrão, o único membro é a conta Convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados na conta Convidado interna de um computador.
Quando um membro do grupo Convidados sai do grupo, todo o perfil é excluído. A exclusão de perfil inclui tudo o que é armazenado no diretório %userprofile%, incluindo informações de hive do Registro do usuário, ícones do Desktop Personalizado e outras configurações específicas do usuário. Esse fato implica que um convidado precisa usar um perfil temporário para entrar no sistema. Esse grupo de segurança interage com a configuração de Política de Grupo. Quando esse grupo de segurança estiver habilitado, não faça logon em usuários que tenham perfis temporários. Para acessar essa configuração, acesse Configuração do Computador>Modelos Administrativos>Sistema>Perfis de Usuário.
Observação
Uma conta Convidado é um membro padrão do grupo de segurança Convidados. As pessoas que não têm uma conta real no domínio podem usar a conta Convidado. Um usuário cuja conta esteja desabilitada (mas não excluída) também pode usar a conta Convidado. Não é necessário ter senha para essa conta. Você pode definir direitos e permissões para a conta Convidado, exatamente como para qualquer conta de usuário. Por padrão, a conta Convidado é membro do grupo interno Convidados e do grupo Global Convidados do Domínio, o que permite a um usuário entrar em um domínio. A conta Convidado é desativada por padrão e é recomendável que ela permaneça assim.
O grupo Convidados se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-546 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Convidados do Domínio |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Administradores do Hyper-V
Os membros do grupo Administradores do Hyper-V têm acesso completo e irrestrito a todos os recursos do Hyper-V. A adição de membros a esse grupo ajuda a reduzir o número de membros necessários no grupo Administradores e separa ainda mais o acesso.
Observação
Antes do Windows Server 2012, o acesso aos recursos do Hyper-V era controlado, em parte, pela associação ao grupo Administradores.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-578 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
IIS_IUSRS
O IIS_IUSRS é um grupo interno usado pelo IIS (Serviços de Informações da Internet) a partir do IIS 7. É garantido pelo sistema operacional que uma conta e um grupo internos sempre tenham um SID exclusivo. O IIS 7 substitui a conta IUSR_MachineName e o grupo IIS_WPG pelo grupo IIS_IUSRS, a fim de garantir que os nomes reais usados pela nova conta e pelo grupo nunca sejam localizados. Por exemplo, seja qual for o idioma do sistema operacional Windows instalado, o nome da conta do IIS sempre será IUSR e o nome do grupo será IIS_IUSRS.
Para obter mais informações, confira Noções básicas sobre as contas internas de usuário e de grupo no IIS 7.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-568 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | IUSR |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Criadores de confiança de floresta de entrada
Os membros do grupo Criadores de Relação de Confiança de Floresta de Entrada podem criar relações de confiança unidirecionais de entrada para essa floresta. O Active Directory fornece segurança a vários domínios ou florestas por meio de relações de confiança entre domínios e florestas. Antes que ocorra a autenticação nas relações de confiança, o Windows precisa determinar se o domínio que está sendo solicitado por um usuário, um computador ou um serviço tem uma relação de confiança com o domínio de logon da conta solicitante.
Para determinar isso, o sistema de segurança do Windows calcula um caminho de confiança entre o controlador de domínio do servidor que recebe a solicitação e um controlador de domínio do domínio da conta solicitante. Um canal protegido se estende para outros domínios do Active Directory por meio de relações de confiança entre domínios. Esse canal protegido é usado para obter informações de segurança e verificá-las, incluindo SIDs para usuários e grupos.
Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.
Para obter mais informações, confira Como funcionam as relações de confiança de domínio e de floresta: relações de confiança de domínio e de floresta.
O grupo Criadores de Relação de Confiança de Floresta de Entrada se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-557 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Administradores chave
Os membros desse grupo podem executar ações administrativas em objetos de chave no domínio.
O grupo Administradores de Chaves se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-526 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Operadores de Configuração de Rede
Os membros do grupo Operadores de Configuração de Rede podem ter os seguintes privilégios administrativos para gerenciar a configuração de recursos de rede:
Modificar as propriedades do protocolo TCP/IP para uma conexão LAN (rede local), que inclui o endereço IP, a máscara de sub-rede, o gateway padrão e os servidores de nomes.
Renomear as conexões LAN ou as conexões de acesso remoto que ficam disponíveis para todos os usuários.
Habilitar ou desabilitar uma conexão LAN.
Modificar as propriedades de todas as conexões de acesso remoto dos usuários.
Excluir todas as conexões de acesso remoto dos usuários.
Renomear todas as conexões de acesso remoto dos usuários.
Emitir comandos
ipconfig,ipconfig /releaseeipconfig /renew.Inserir a PUK (chave de desbloqueio de PIN) para dispositivos de banda larga móvel que dão suporte a um cartão SIM.
Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.
O grupo Operadores de Configuração de Rede se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-556 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Usuários do Log de Desempenho
Os membros do grupo Usuários do Log de Desempenho podem gerenciar contadores de desempenho, logs e alertas localmente no servidor e em clientes remotos, sem serem membros do grupo Administradores. Especificamente, os membros desse grupo de segurança:
Podem usar todos os recursos disponíveis para o grupo Usuários do Monitor de Desempenho.
Podem criar e modificar conjuntos de coletores de dados depois que o grupo recebe o direito de usuário Fazer logon como um trabalho em lotes.
Aviso
Se você for membro do grupo Usuários do Log de Desempenho, precisará configurar conjuntos de coletores de dados criados para executá-los com suas credenciais.
Observação
No Windows Server 2016 e posterior, um membro do grupo Usuários do Log de Desempenho não pode criar conjuntos de coletores de dados. Se um membro do grupo Usuários do Log de Desempenho tentar criar conjuntos de coletores de dados, ele não poderá concluir a ação porque o acesso é negado.
Não podem usar o provedor de eventos de Rastreamento de Kernel do Windows nos conjuntos de coletores de dados.
Para que os membros do grupo Usuários do Log de Desempenho iniciem o log de dados ou modifiquem os conjuntos de coletores de dados, primeiro, o grupo precisa receber o direito de usuário Fazer logon como um trabalho em lotes. Para atribuir esse direito de usuário, use o snap-in Política de Segurança Local no MMC (Console de Gerenciamento Microsoft).
Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Essa conta não pode ser renomeada, excluída nem movida.
O grupo Usuários do Log de Desempenho se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-559 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Fazer logon como um trabalho em lotes: SeBatchLogonRight |
Usuários do monitor de desempenho
Os membros desse grupo podem monitorar os contadores de desempenho nos controladores de domínio, localmente e em clientes remotos, sem serem membros dos grupos Administradores ou Usuário do Log de Desempenho. O Monitor de Desempenho do Windows é um snap-in do MMC que fornece ferramentas para analisar o desempenho do sistema. Em um só console, você pode monitorar o desempenho de aplicativos e do hardware, personalizar os dados que deseja coletar nos logs, definir limites para alertas e ações automáticas, gerar relatórios e visualizar os dados de desempenho passados de várias maneiras.
Especificamente, os membros desse grupo de segurança:
Podem usar todos os recursos disponíveis para o grupo Usuários.
Podem visualizar dados de desempenho em tempo real no Monitor de Desempenho.
Podem alterar as propriedades de exibição do Monitor de Desempenho durante a exibição de dados.
Não podem criar nem modificar conjuntos de coletores de dados.
Aviso
Os membros do grupo Usuários do Monitor de Desempenho não podem configurar conjuntos de coletores de dados.
Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.
O grupo Usuários do Monitor de Desempenho se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-558 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Acesso Compatível com Versões Anteriores ao Windows 2000
Os membros do grupo Acesso Compatível com Versões Anteriores ao Windows 2000 têm acesso de leitura em todos os usuários e grupos do domínio. Esse grupo é fornecido para compatibilidade com versões anteriores, para computadores que executam o Windows NT 4.0 e anterior. Por padrão, o grupo de identidade especial Todos é membro desse grupo. Adicione usuários a esse grupo somente se eles estiverem executando o Windows NT 4.0 ou anterior.
Aviso
Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações).
O grupo Acesso Compatível com Versões Anteriores ao Windows 2000 se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-554 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Se você escolher o modo Permissões Compatíveis com Versões Anteriores ao Windows 2000, os grupos Todos e Anônimos serão membros. Se você escolher o modo de permissões somente do Windows 2000, os grupos Usuários Autenticados serão membros. |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Acessar este computador na rede: SeNetworkLogonRight Ignorar verificação completa: SeChangeNotifyPrivilege |
Operadores de Impressão
Os membros desse grupo podem gerenciar, criar, compartilhar e excluir impressoras que estão conectadas aos controladores de domínio no domínio. Eles também podem gerenciar os objetos de impressora do Active Directory no domínio. Os membros desse grupo podem se conectar localmente e desligar os controladores de domínio do domínio.
Esse grupo não tem membros padrão. Como os membros desse grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio do domínio, adicione usuários com cautela. Esse grupo não pode ser renomeado, excluído nem removido.
O grupo Operadores de Impressão se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
Para obter mais informações, confira Atribuir configurações de permissão de impressora e de administrador de impressão delegado no Windows Server 2012.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-550 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Carregar e descarregar drivers de dispositivo: SeLoadDriverPrivilege Desligar o sistema: SeShutdownPrivilege |
Usuários protegidos
Os membros do grupo Usuários Protegidos têm proteção extra contra o comprometimento de credenciais durante os processos de autenticação.
Este grupo de segurança foi projetado como parte de uma estratégia para proteger e gerenciar com eficiência as credenciais na empresa. Os membros desse grupo têm proteções não configuráveis automaticamente aplicadas às respectivas contas. A associação ao grupo Usuários protegidos visa restringir e proteger proativamente por padrão. A única forma de modificar a proteção de uma conta é removê-la do grupo de segurança.
Esse grupo Global relacionado ao domínio dispara a proteção não configurável em dispositivos e computadores host, a partir dos sistemas operacionais Windows Server 2012 R2 e Windows 8.1. Ele também dispara a proteção não configurável em controladores de domínio dos domínios que têm um controlador de domínio primário que executa o Windows Server 2016 ou o Windows Server 2012 R2. Essa proteção reduz consideravelmente o volume de memória das credenciais quando os usuários entram em computadores na rede de um computador não comprometido.
Dependendo do nível funcional do domínio da conta, os membros do grupo Usuários Protegidos são protegidos ainda mais devido a mudanças comportamentais nos métodos de autenticação com suporte do Windows:
Os membros do grupo Usuários Protegidos não podem se autenticar usando os seguintes SSPs (Provedores de Suporte de Segurança): NTLM, Autenticação Digest ou CredSSP. As senhas não são armazenadas em cache em um dispositivo que executa o Windows 10 ou o Windows 8.1, ou seja, o dispositivo não consegue se autenticar em um domínio quando a conta é membro do grupo Usuários Protegidos.
O protocolo Kerberos não usará os tipos de criptografia DES ou RC4 mais fracos no processo de pré-autenticação. O domínio precisa ser configurado para dar suporte a, pelo menos, ao pacote de criptografia AES.
A conta do usuário não pode ser delegada com a delegação restrita ou irrestrita de Kerberos. Se o usuário for membro do grupo Usuários Protegidos, as conexões anteriores com outros sistemas poderão falhar.
Você pode alterar a configuração padrão de tempo de vida dos TGTs (tíquetes de concessão de tíquetes) Kerberos de quatro horas usando Políticas de Autenticação e Silos no Centro Administrativo do Active Directory. Na configuração padrão, quando quatro horas se passam, o usuário precisa se autenticar novamente.
O grupo Usuários Protegidos se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
Esse grupo foi introduzido no Windows Server 2012 R2. Para obter mais informações sobre como esse grupo funciona, confira Grupo de segurança Usuários Protegidos.
A seguinte tabela especifica as propriedades do grupo Usuários Protegidos:
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-525 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Servidores RAS e IAS
Os computadores que são membros do grupo Servidores RAS e IAS, quando configurados corretamente, podem usar os serviços de acesso remoto. Por padrão, esse grupo não tem membros. Os computadores que executam o RRAS (Serviço de Roteamento e Acesso Remoto) e os serviços de acesso remoto, como o IAS (Serviço de Autenticação da Internet) e os Servidores de Políticas de Rede, são adicionados automaticamente ao grupo. Os membros desse grupo têm acesso a determinadas propriedades de objetos Usuário, como Ler Restrições da Conta, Ler Informações de Logon e Ler Informações de Acesso Remoto.
O grupo Servidores RAS e IAS se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-553 |
| Digite | Local Interno |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Servidores de Ponto de Extremidade do RDS
Os servidores que são membros do grupo Servidores de Ponto de Extremidade do RDS podem executar máquinas virtuais e sessões de host no local em que os programas RemoteApp do usuário e as áreas de trabalho virtuais pessoais são executados. Você precisa preencher esse grupo nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores host da sessão e os servidores Host de Virtualização de Área de Trabalho Remota usados na implantação precisam estar nesse grupo.
Para obter informações sobre o RDS (Serviços de Área de Trabalho Remota), confira Hospedar áreas de trabalho e aplicativos nos Serviços de Área de Trabalho Remota.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-576 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Servidores de Gerenciamento do RDS
Você pode usar servidores que são membros do grupo Servidores de Gerenciamento do RDS para realizar ações administrativas rotineiras nos servidores que executam o RDS. Você precisa preencher esse grupo em todos os servidores em uma implantação do RDS. Os servidores que executam o serviço de Gerenciamento Central do RDS precisam ser incluídos nesse grupo.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-577 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Servidores de Acesso Remoto do RDS
Os servidores do grupo Servidores de Acesso Remoto do RDS fornecem aos usuários acesso a programas RemoteApp e áreas de trabalho virtuais pessoais. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Você precisa preencher esse grupo nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso via Web de Área de Trabalho Remota que são usados na implantação precisam estar nesse grupo.
Para obter mais informações, confira Hospedar áreas de trabalho e aplicativos nos Serviços de Área de Trabalho Remota.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-575 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Controladores de Domínio somente leitura
Esse grupo é composto pelos RODCs do domínio. Um RODC possibilita que as organizações implantem com facilidade um controlador de domínio em cenários em que a segurança física não pode ser garantida, como em locais de filiais ou quando o armazenamento local de todas as senhas de domínio é considerado uma ameaça primária, como em uma função voltada para a extranet ou o aplicativo.
Como você pode delegar a administração de um RODC a um usuário de domínio ou a um grupo de segurança, um RODC é adequado para um site que não deve ter um usuário que seja membro do grupo Administradores de Domínio. Um RODC tem as seguintes funcionalidades:
Contém um banco de dados somente leitura do AD DS
Replicação unidirecional
Cache de credenciais
Separação de funções de administrador
Contém um DNS (Sistema de Nomes de Domínio) somente leitura
Para obter mais informações, confira Entender o planejamento e a implantação para controladores de domínio somente leitura.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-521 |
| Digite | Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Replicação de Senha do RDOC Negada |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Confira Replicação de Senha do RDOC Negada |
Usuários da Área de Trabalho Remota
Use o grupo Usuários da Área de Trabalho Remota em um servidor Host da Sessão da Área de Trabalho Remota para conceder permissões a usuários e grupos para se conectarem remotamente a um servidor Host da Sessão da Área de Trabalho Remota. Esse grupo não pode ser renomeado, excluído nem removido. O grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações).
O grupo Usuários da Área de Trabalho Remota se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-555 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Usuários do gerenciamento remoto
Os membros do grupo Usuários de Gerenciamento Remoto podem acessar recursos do WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como o WS-Management no serviço Gerenciamento Remoto do Windows. O acesso aos recursos do WMI só se aplica aos namespaces do WMI que permitem acesso ao usuário.
Use o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores por meio do console do Gerenciador de Servidores. Use o grupo WinRMRemoteWMIUsers\_ para permitir que os usuários executem comandos do Windows PowerShell remotamente.
Para obter mais informações, confira Novidades da MI e Sobre o WMI.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-580 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Replicador
Os computadores que são membros do grupo Replicador dão suporte à replicação de arquivo em um domínio. Os sistemas operacionais Windows Server usam o FRS (Serviço de Replicação de Arquivos) para replicar políticas do sistema e scripts de logon armazenados na pasta Volume do Sistema (pasta sysvol). Cada controlador de domínio mantém uma cópia da pasta sysvol para os clientes de rede acessarem. O FRS também pode replicar dados para o DFS (Sistema de Arquivos Distribuído) e sincronizar o conteúdo de cada membro em um conjunto de réplicas, conforme definido pelo DFS. O FRS pode copiar e manter arquivos e pastas compartilhados em vários servidores simultaneamente. Quando ocorrem alterações, o conteúdo é sincronizado imediatamente nos sites e de acordo com um agendamento entre sites.
Aviso
No Windows Server 2008 R2, não é possível usar o FRS para replicar pastas do DFS ou dados personalizados (não sysvol). Um controlador de domínio do Windows Server 2008 R2 ainda pode usar o FRS para replicar o conteúdo do recurso compartilhado da pasta sysvol em um domínio que usa o FRS para replicar o recurso compartilhado da pasta sysvol entre controladores de domínio. No entanto, os servidores do Windows Server 2008 R2 não podem usar o FRS para replicar o conteúdo de qualquer conjunto de réplicas, exceto o recurso compartilhado da pasta sysvol. O serviço de Replicação do DFS é uma substituição do FRS. Use a Replicação do DFS para replicar o conteúdo de um recurso compartilhado da pasta sysvol, de pastas do DFS e de outros dados personalizados (não sysvol). Você deve migrar todos os conjuntos de réplicas não sysvol do FRS para a Replicação do DFS.
Para obter mais informações, consulte:
- O FRS (Serviço de Replicação de Arquivos) foi preterido no Windows Server 2008 R2 (Windows)
- Visão geral dos namespaces do DFS e da Replicação do DFS
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-552 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |
Administradores de esquemas
Os membros do grupo Administradores de Esquema podem modificar o esquema do Active Directory. Esse grupo só existe no domínio raiz de uma floresta de domínios do Active Directory. Esse grupo será um grupo Universal se o domínio estiver no modo nativo. Esse grupo será um grupo Global se o domínio estiver no modo misto.
O grupo está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo tem acesso administrativo completo ao esquema.
Qualquer um dos grupos de administradores de serviços no domínio raiz pode modificar a associação a esse grupo. Esse grupo é considerado uma conta de administrador de serviços, porque os membros podem modificar o esquema, que controla a estrutura e o conteúdo de todo o diretório.
Para obter mais informações, confira O que é o esquema do Active Directory?
O grupo Administradores de Esquema se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio raiz>-518 |
| Digite | Universal (se o domínio estiver no modo nativo), caso contrário, Global |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Administrador |
| Membro padrão de | Replicação de Senha do RDOC Negada |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Confira Replicação de Senha do RDOC Negada |
Operadores de Servidores
Os membros do grupo Operadores de Servidor podem administrar controladores de domínio. Esse grupo só existe nos controladores de domínio. Por padrão, o grupo não tem membros. Os membros do grupo Operadores de Servidor podem executar as seguintes ações: entrar em um servidor de maneira interativa, criar e excluir recursos compartilhados de rede, iniciar e parar serviços, fazer backup de arquivos e restaurá-los, formatar a unidade de disco rígido do computador e desligar o computador. Esse grupo não pode ser renomeado, excluído nem removido.
Por padrão, esse grupo interno não tem membros. O grupo tem acesso às opções de configuração do servidor nos controladores de domínio. A associação a ele é controlada pelos grupos de administradores de serviço Administradores e Administradores de Domínio no domínio e pelo grupo Administradores Corporativos no domínio raiz da floresta. Os membros desse grupo não podem alterar nenhuma associação a um grupo administrativo. Esse grupo é considerado uma conta de administrador de serviços, porque os membros têm acesso físico aos controladores de domínio. Os membros desse grupo podem executar tarefas de manutenção, como backup e restauração, e podem alterar os binários instalados nos controladores de domínio. Confira os direitos de usuário padrão do grupo na tabela a seguir.
O grupo Operadores de Servidor se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-549 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Alterar a hora do sistema: SeSystemTimePrivilege Alterar o fuso horário: SeTimeZonePrivilege Forçar o desligamento por meio de um sistema remoto: SeRemoteShutdownPrivilege Restaurar arquivos e diretórios: restaurar arquivos e diretórios SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege |
Administradores da Réplica de Armazenamento
Os membros do grupo Administradores da Réplica de Armazenamento têm acesso completo e irrestrito a todos os recursos da Réplica de Armazenamento. O grupo Administradores de Réplica de Armazenamento se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-582 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Contas Gerenciadas pelo Sistema
A associação ao grupo Contas Gerenciadas pelo Sistema é gerenciada pelo sistema.
O grupo Contas Gerenciadas do Sistema se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-581 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Usuários |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Servidores de Licença do Terminal Server
Os membros do grupo Servidores de Licença do Terminal Server podem atualizar as contas de usuário no Active Directory com informações sobre a emissão de licenças. O grupo é usado para acompanhar e relatar o uso do TS CAL Por Usuário. Um TS CAL Por Usuário dá a um usuário o direito de acessar uma instância do Terminal Server em um número ilimitado de dispositivos ou computadores cliente. Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.
Para obter mais informações sobre esse grupo de segurança, confira Configuração do grupo de segurança servidor de licenças dos Serviços de Terminal.
O grupo Servidores de Licença do Terminal Server se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-561 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| Protegido por AdminSDHolder? | No |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
Usuários
Os membros do grupo Usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema. Os membros desse grupo podem executar a maioria dos aplicativos. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. Quando um computador ingressa em um domínio, o grupo Usuários do Domínio é adicionado ao grupo Usuários no computador.
Os usuários podem executar tarefas como executar um aplicativo, usar impressoras locais e de rede e desligar e bloquear o computador. Os usuários poderão instalar aplicativos que só poderão usar se o programa de instalação do aplicativo der suporte à instalação por usuário. Esse grupo não pode ser renomeado, excluído nem removido.
O grupo Usuários se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
No Windows Server 2008 R2, Interativo foi adicionado à lista de membros padrão.
No Windows Server 2012, a lista padrão Membro de foi alterada de Usuários do Domínio para nenhuma.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-545 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Usuários Autenticados |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
| Direitos de usuário padrão | Nenhum |
Acesso de Autorização do Windows
Os membros desse grupo têm acesso ao atributo GroupsGlobalAndUniversal de token computado em objetos Usuário. Alguns aplicativos têm recursos que leem o atributo TGGAU (grupos de token globais e universais) em objetos de conta de usuário ou em objetos de conta de computador no AD DS. Algumas funções do Win32 facilitam a leitura do atributo TGGAU. Os aplicativos que leem esse atributo ou que chamam uma API (uma função) que lê esse atributo não terão sucesso se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.
O grupo Acesso de Autorização do Windows se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-32-560 |
| Digite | Local Interno |
| Contêiner padrão | CN=Interno, DC=<domínio>, DC= |
| Membros padrão | Controladores de Domínio Corporativo |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Não pode ser movido |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
| Direitos de usuário padrão | Nenhum |
WinRMRemoteWMIUsers_
No Windows Server 2012 e no Windows 8, uma guia Compartilhamento foi adicionada à interface do usuário de Configurações de Segurança Avançadas. Essa guia exibe as propriedades de segurança de um compartilhamento de arquivo remoto. Para visualizar essas informações, você precisa ter as permissões e as associações a seguir, conforme apropriado para a versão do Windows Server executada pelo servidor de arquivos.
O grupo WinRMRemoteWMIUsers_ se aplica ao sistema operacional Windows Server em Grupos de segurança padrão do Active Directory.
Se o compartilhamento de arquivo está hospedado em um servidor que executa uma versão compatível do sistema operacional:
Você precisa ser membro do grupo WinRMRemoteWMIUsers__ ou do grupo INTERNO\Administradores.
Você precisa ter permissões de leitura no compartilhamento de arquivo.
Se o compartilhamento de arquivo está hospedado em um servidor que executa uma versão do Windows Server anterior ao Windows Server 2012:
Você precisa ser membro do grupo INTERNO\Administradores.
Você precisa ter permissões de leitura no compartilhamento de arquivo.
No Windows Server 2012, a funcionalidade Assistência para acesso negado adiciona o grupo Usuários Autenticados ao grupo local WinRMRemoteWMIUsers__. Quando a funcionalidade Assistência para acesso negado está habilitada, todos os usuários autenticados que têm permissões de leitura no compartilhamento de arquivo podem ver as permissões do compartilhamento de arquivo.
Observação
O grupo WinRMRemoteWMIUsers__ permite executar comandos do Windows PowerShell remotamente. Por outro lado, normalmente, o grupo Usuários de Gerenciamento Remoto é usado para permitir que os usuários gerenciem servidores usando o console do Gerenciador de Servidores.
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-21-<domínio>-<RI da variável> |
| Digite | Local de domínio |
| Contêiner padrão | CN=Usuários, DC=<domínio>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Nenhum |
| Protegido por AdminSDHolder? | No |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
| Direitos de usuário padrão | Nenhum |