Apêndice B: Contas privilegiadas e grupos no Active Directory

Conta ou Grupo Contêiner padrão, escopo de grupo e tipo Descrição e direitos de usuário padrão
Operadores de assistência de controle de acesso (Active Directory Windows Server 2012) Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos neste computador.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Opers. de contas Contêiner integrado

Grupo de segurança local do domínio

Os membros podem administrar contas de usuário e grupo de domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Conta de administrador Contêiner de usuários

Não é um grupo

Conta criada para administrar o domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Grupo de administradores Contêiner integrado

Grupo de segurança local do domínio

Os administradores têm acesso completo e irrestrito ao domínio.

Direitos diretos do usuário:

Acesso a este computador da rede

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Grupo de replicação de senha RODC permitido Contêiner de usuários

Grupo de segurança de domínio local

Os membros desse grupo podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de cópia Contêiner interno

Grupo de segurança de domínio local

Os operadores de backup podem substituir as restrições de segurança pelo único propósito de fazer backup ou restaurar arquivos.

Direitos de usuário diretos:

Permitir logon localmente

Fazer backup de arquivos e pastas

Fazer logon como um trabalho em lotes

Restaurar arquivos e diretórios

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Editores de Certificados Contêiner de usuários

Grupo de segurança de domínio local

Os membros desse grupo têm permissão para publicar certificados no diretório.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso DCOM do Serviço de Certificado Contêiner interno

Grupo de segurança de domínio local

Se os serviços de certificados estiverem instalados em um controlador de domínio (não recomendado), esse grupo concederá acesso de registro DCOM a usuários de domínio e computadores de domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

controladores de domínio clonáveis (AD DS no Windows Server 2012AD DS) Contêiner de usuários

Grupo de segurança global

Os membros desse grupo que são controladores de domínio podem ser clonados.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores criptográficos Contêiner interno

Grupo de segurança de domínio local

Os membros estão autorizados a executar operações criptográficas.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do depurador Isso não é um padrão nem um grupo interno, mas, quando presente no AD DS, é a causa de uma investigação adicional. a presença de um grupo de usuários do depurador indica que as ferramentas de depuração foram instaladas no sistema em algum momento, seja por meio de Visual Studio, SQL, Office ou outros aplicativos que exigem e dão suporte a um ambiente de depuração. Esse grupo permite o acesso de depuração remota aos computadores. Quando esse grupo existe no nível do domínio, ele indica que um depurador ou um aplicativo que contém um depurador foi instalado em um controlador de domínio.
Grupo de replicação de senha RODC negado Contêiner de usuários

Grupo de segurança de domínio local

Os membros deste grupo não podem ter suas senhas replicadas para controladores de domínio somente leitura no domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores DHCP Contêiner de usuários

Grupo de segurança de domínio local

Os membros deste grupo têm acesso administrativo ao serviço do servidor DHCP.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários DHCP Contêiner de usuários

Grupo de segurança de domínio local

Os membros deste grupo têm acesso somente exibição ao serviço do servidor DHCP.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários COM Distribuídos Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo têm permissão para iniciar, ativar e usar objetos COM distribuídos neste computador.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

DnsAdmins Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Dnsupdateproxy Contêiner de usuários

Grupo de segurança global

Os membros desse grupo são clientes DNS que têm permissão para executar atualizações dinâmicas em nome de clientes que não podem executar atualizações dinâmicas por conta própria. Os membros desse grupo normalmente são servidores DHCP.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores de Domínio Contêiner de usuários

Grupo de segurança global

Administradores designados do domínio; Administradores de Domínio é membro de cada grupo local de Administradores do computador ingressado no domínio e recebe direitos e permissões concedidas ao grupo administradores local, além do grupo Administradores do domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Computadores de Domínio Contêiner de usuários

Grupo de segurança global

Todas as estações de trabalho e servidores que ingressaram no domínio são membros padrão desse grupo.

Direitos de usuário direto padrão: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio Contêiner de usuários

Grupo de segurança global

Todos os controladores de domínio no domínio. Observação: os controladores de domínio não são membros do grupo Computadores de Domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados do Domínio Contêiner de usuários

Grupo de segurança global

Todos os convidados no domínio

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Domínio Contêiner de usuários

Grupo de segurança global

Todos os usuários no domínio

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Enterprise administradores (existe somente no domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Enterprise administradores têm permissões para alterar as definições de configuração de toda a floresta; Enterprise administradores é um membro do grupo de administradores de cada domínio e recebe direitos e permissões concedidos a esse grupo.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar a verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Controladores de domínio somente leitura da empresa Contêiner de usuários

Grupo de segurança universal

Esse grupo contém as contas de todos os controladores de domínio somente leitura na floresta.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Leitores de Log de Eventos Contêiner interno

Grupo de segurança de domínio local

Os membros desse grupo no podem ler os logs de eventos em controladores de domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Proprietários criadores de política de grupo Contêiner de usuários

Grupo de segurança global

Os membros desse grupo podem criar e modificar Política de Grupo objetos no domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidado Contêiner de usuários

Não é um grupo

Essa é a única conta em um domínio de AD DS que não tem o SID de usuários autenticados adicionado ao seu token de acesso. Portanto, todos os recursos configurados para conceder acesso ao grupo de usuários autenticados não poderão ser acessados por essa conta. Esse comportamento não é verdadeiro para membros dos grupos convidados do domínio e convidados, no entanto, os membros desses grupos têm o SID usuários autenticados adicionado aos seus tokens de acesso.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados Contêiner interno

Grupo de segurança de domínio local

Os convidados têm o mesmo acesso que os membros do grupo usuários por padrão, exceto para a conta de convidado, que é ainda mais restrita, conforme descrito anteriormente.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do Hyper-V (Windows Server 2012) Contêiner interno

Grupo de segurança de domínio local

Os membros deste grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

IIS_IUSRS Contêiner integrado

Grupo de segurança local do domínio

Grupo integrado usado por Serviços de Informações da Internet.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Construtores de confiança de floresta de entrada (existe somente no domínio raiz da floresta) Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo podem criar confianças de entrada e de ida para essa floresta. (A criação de confianças de floresta de saída é reservada para Enterprise Administradores.)

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Krbtgt Contêiner de usuários

Não é um grupo

A conta Krbtgt é a conta de serviço para o centro de distribuição de chaves Kerberos no domínio. Essa conta tem acesso às credenciais de todas as contas armazenadas no Active Directory. Essa conta está desabilitada por padrão e nunca deve ser habilitada

Direitos de usuário: N/A

Operadores de Configuração de Rede Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo têm privilégios que permitem gerenciar a configuração de recursos de rede.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Log de Desempenho Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo podem agendar o registro em log de contadores de desempenho, habilitar provedores de rastreamento e coletar rastreamentos de eventos localmente e por meio do acesso remoto ao computador.

Direitos diretos do usuário:

Fazer logon como um trabalho em lotes

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do monitor de desempenho Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo podem acessar dados do contador de desempenho local e remotamente.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso compatível com versões anteriores ao Windows 2000 Contêiner integrado

Grupo de segurança local do domínio

Esse grupo existe para compatibilidade com sistemas operacionais anteriores ao Windows 2000 Server e fornece a capacidade de os membros lerem informações de usuário e grupo no domínio.

Direitos diretos do usuário:

Acesso a este computador da rede

Ignorar a verificação completa

Direitos de usuário herdados:

Adicionar estações de trabalho ao domínio

Aumentar um conjunto de trabalho de processo

Operadores de Impressão Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo podem administrar impressoras de domínio.

Direitos diretos do usuário:

Permitir logon localmente

Carregar e descarregar drivers de dispositivo

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores RAS e IAS Contêiner de usuários

Grupo de segurança local do domínio

Os servidores nesse grupo podem ler propriedades de acesso remoto em contas de usuário no domínio.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de ponto de extremidade RDS (Windows Server 2012) Contêiner integrado

Grupo de segurança local do domínio

Os servidores nesse grupo executarão máquinas virtuais e sessões de host em que os usuários programas RemoteApp e áreas de trabalho virtuais pessoais são executados. Esse grupo precisa ser populado em servidores que executam o Agente de Conexão RD. Host da Sessão RD servidores e servidores host de virtualização RD usados na implantação precisam estar nesse grupo.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de gerenciamento RDS (Windows Server 2012) Contêiner interno

Grupo de segurança de domínio local

Os servidores desse grupo podem executar ações administrativas rotineiras em servidores que executam o Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de gerenciamento central do RDS devem ser incluídos nesse grupo.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de acesso remoto RDS (Windows Server 2012) Contêiner interno

Grupo de segurança de domínio local

Os servidores desse grupo permitem que os usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acessem esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido em servidores que executam o agente de conexão RD. Os servidores de gateway de área de trabalho remota e os servidores de Acesso via Web de trabalho remota usados na implantação precisam estar nesse grupo.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio somente leitura Contêiner de usuários

Grupo de segurança global

Esse grupo contém todos os controladores de domínio somente leitura no domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários da Área de Trabalho Remota Contêiner interno

Grupo de segurança de domínio local

Os membros desse grupo recebem o direito de fazer logon remotamente usando o RDP.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários de gerenciamento remoto (Windows Server 2012) Contêiner interno

Grupo de segurança de domínio local

os membros desse grupo podem acessar recursos do WMI por meio de protocolos de gerenciamento (como WS-Management por meio do serviço Gerenciamento Remoto do Windows). Isso se aplica somente a namespaces WMI que concedem acesso ao usuário.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Replicador Contêiner interno

Grupo de segurança de domínio local

Dá suporte à replicação de arquivo herdada em um domínio.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores de esquema (existem somente no domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Os administradores de esquema são os únicos usuários que podem fazer modificações no esquema de Active Directory e somente se o esquema estiver habilitado para gravação.

Direitos de usuário diretos: None

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de Servidores Contêiner interno

Grupo de segurança de domínio local

Os membros deste grupo podem administrar servidores de domínio.

Direitos de usuário diretos:

Permitir logon localmente

Fazer backup de arquivos e pastas

Alterar a hora do sistema

Alterar o fuso horário

Forçar o desligamento a partir de um sistema remoto

Restaurar arquivos e diretórios

Desligar o sistema

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Terminal Server servidores de licença Contêiner interno

Grupo de segurança local do domínio

Os membros desse grupo podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças, com a finalidade de acompanhar e relatar o uso da CAL TS por usuário

Direitos de usuário direto padrão: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários Contêiner integrado

Grupo de segurança local do domínio

Os usuários têm permissões que permitem que eles leiam muitos objetos e atributos no Active Directory, embora não possa alterar a maioria. Os usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema e podem executar a maioria dos aplicativos.

Direitos diretos do usuário:

Aumentar um conjunto de trabalho de processo

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Grupo de autorização de acesso do Windows Contêiner integrado

Grupo de segurança local do domínio

Os membros desse grupo têm acesso ao atributo computado tokenGroupsGlobalAndUniversal em objetos User

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

WinRMRemoteWMIUsers_ (Windows Server 2012) Contêiner de usuários

Grupo de segurança local do domínio

Os membros desse grupo podem acessar recursos WMI em protocolos de gerenciamento (como WS-Management por meio do Windows de Gerenciamento Remoto). Isso se aplica somente a namespaces WMI que concedem acesso ao usuário.

Direitos diretos do usuário: Nenhum

Direitos de usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice B: Contas privilegiadas e grupos no Active Directory

Contas e grupos "privilegiados" no Active Directory são aqueles aos quais são concedidos direitos poderosos, privilégios e permissões que permitem que eles executem quase qualquer ação no Active Directory e em sistemas ingressados no domínio. Este apêndice começa discutindo direitos, privilégios e permissões, seguido por informações sobre as contas e grupos de "privilégios mais altos" no Active Directory, ou seja, as contas e grupos mais poderosos.

Também são fornecidas informações sobre contas e grupos padrão e integrados no Active Directory, além de seus direitos. Embora as recomendações de configuração específicas para proteger as contas e grupos de privilégios mais altos sejam fornecidas como índices separados, esse apêndice fornece informações em segundo plano que ajudam a identificar os usuários e grupos que você deve se concentrar na proteção. Você deve fazer isso porque eles podem ser aproveitados pelos invasores para comprometer e até mesmo destruir sua instalação do Active Directory.

Direitos, privilégios e permissões no Active Directory

As diferenças entre direitos, permissões e privilégios podem ser confusas e contraditórias, mesmo na documentação da Microsoft. Esta seção descreve algumas das características de cada uma conforme elas são usadas neste documento. Essas descrições não devem ser consideradas autoritativas para outras documentações da Microsoft, pois podem usar esses termos de maneira diferente.

Direitos e privilégios

Direitos e privilégios são efetivamente os mesmos recursos de todo o sistema que são concedidos a entidades de segurança, como usuários, serviços, computadores ou grupos. Em interfaces normalmente usadas por profissionais de TI, elas geralmente são conhecidas como "direitos" ou "direitos de usuário", e geralmente são atribuídas por objetos Política de Grupo dados. A captura de tela a seguir mostra alguns dos direitos de usuário mais comuns que podem ser atribuídos a entidades de segurança (ele representa o GPO de Controladores de Domínio Padrão em um domínio Windows Server 2012 domínio). Alguns desses direitos se aplicam ao Active Directory, como Habilitar contas de usuário e computador para serem confiáveis para o direito de usuário de delegação, enquanto outros direitos se aplicam ao sistema operacional Windows, como Alterar a hora do sistema.

privileged accounts and groups

Em interfaces como a Editor de Objeto de Política de Grupo, todas essas funcionalidades atribuíveis são conhecidas amplamente como direitos do usuário. No entanto, na realidade, alguns direitos de usuário são chamados de direitos programaticamente, enquanto outros são chamados de privilégios programaticamente. Tabela B-1: Direitos e Privilégios do Usuário fornece alguns dos direitos de usuário atribuíveis mais comuns e suas constantes programáticas. Embora Política de Grupo e outras interfaces se refiram a todas elas como direitos de usuário, algumas são identificadas programaticamente como direitos, enquanto outras são definidas como privilégios.

Para obter mais informações sobre cada um dos direitos de usuário listados na tabela a seguir, use os links na tabela ou consulte Guia de Ameaças e Contramedidas: Direitos do Usuário no guia de mitigação de ameaças e vulnerabilidades do Windows Server 2008 R2 no site do Microsoft TechNet. Para obter informações aplicáveis ao Windows Server 2008, consulte Direitos de usuário na documentação de mitigação de ameaças e vulnerabilidades no site do Microsoft TechNet. A partir da redação deste documento, a documentação correspondente Windows Server 2012 ainda não foi publicada.

Observação

Para os fins deste documento, os termos "direitos" e "direitos de usuário" são usados para identificar direitos e privilégios, a menos que especificado de outra forma.

Tabela B-1: Direitos e Privilégios do Usuário
Direito do usuário Política de Grupo Nome da Constante
Acessar Gerenciador de credenciais como chamador confiável SeTrustedCredManAccessPrivilege
Acesso a este computador da rede SeNetworkLogonRight
Atuar como parte do sistema operacional SeTcbPrivilege
Adicionar estações de trabalho ao domínio SeMachineAccountPrivilege
Ajustar cotas de memória para um processo SeIncreaseQuotaPrivilege
Permitir logon localmente SeInteractiveLogonRight
Permitir logon pelos Serviços de Terminal SeRemoteInteractiveLogonRight
Fazer backup de arquivos e pastas SeBackupPrivilege
Ignorar verificação completa SeChangeNotifyPrivilege
Alterar a hora do sistema SeSystemtimePrivilege
Alterar o fuso horário SeTimeZonePrivilege
Criar um arquivo de página SeCreatePagefilePrivilege
Criar um objeto token SeCreateTokenPrivilege
Create global objects SeCreateGlobalPrivilege
Criar objetos compartilhados permanentemente SeCreatePermanentPrivilege
Criar vínculos simbólicos SeCreateSymbolicLinkPrivilege
Depurar programas SeDebugPrivilege
Negar acesso a este computador pela rede SeDenyNetworkLogonRight
Negar o logon como um trabalho em lotes SeDenyBatchLogonRight
Negar o logon como um serviço SeDenyServiceLogonRight
Negar o logon localmente SeDenyInteractiveLogonRight
Negar logoff por meio dos Serviços de Terminal SeDenyRemoteInteractiveLogonRight
Permitir que contas de computador e usuário sejam confiáveis para delegação SeEnableDelegationPrivilege
Forçar o desligamento a partir de um sistema remoto SeRemoteShutdownPrivilege
Gerar auditorias de segurança SeAuditPrivilege
Representar um cliente após a autenticação SeImpersonatePrivilege
Aumentar um conjunto de trabalho de processo SeIncreaseWorkingSetPrivilege
Aumentar prioridade de agendamento SeIncreaseBasePriorityPrivilege
Carregar e descarregar drivers de dispositivo SeLoadDriverPrivilege
Bloquear páginas na memória SeLockMemoryPrivilege
Fazer logoff como um trabalho em lotes SeBatchLogonRight
Fazer logon como um serviço SeServiceLogonRight
Gerenciar a auditoria e o log de segurança SeSecurityPrivilege
Modificar um rótulo de objeto SeRelabelPrivilege
Modificar valores de ambiente de firmware SeSystemEnvironmentPrivilege
Executar tarefas de manutenção de volume SeManageVolumePrivilege
Traçar um perfil de um único processo SeProfileSingleProcessPrivilege
Traçar um perfil do desempenho do sistema SeSystemProfilePrivilege
Remover o computador da estação de encaixe SeUndockPrivilege
Substituir um token de nível de processo SeAssignPrimaryTokenPrivilege
Restaurar arquivos e diretórios SeRestorePrivilege
Desligar o sistema SeShutdownPrivilege
Sincronizar dados do serviço de diretório SeSyncAgentPrivilege
Apropriar-se de arquivos ou de outros objetos SeTakeOwnershipPrivilege

Permissões

As permissões são controles de acesso que são aplicados a objetos de segurança, como o sistema de arquivos, o registro, o serviço e os objetos do Active Directory. Cada objeto seguro tem uma ACL (lista de controle de acesso) associada, que contém ACEs (entradas de controle de acesso) que concedem ou negam entidades de segurança (usuários, serviços, computadores ou grupos) a capacidade de executar várias operações no objeto. Por exemplo, as ACLs para muitos objetos no Active Directory contêm ACEs que permitem que usuários autenticados leiam informações gerais sobre os objetos, mas não concedem a eles a capacidade de ler informações confidenciais ou alterar os objetos. Com exceção da conta de Convidado interna de cada domínio, cada entidade de segurança que faz login e é autenticada por um controlador de domínio em uma floresta do Active Directory ou uma floresta confiável tem o SID (Identificador de Segurança de Usuários Autenticados) adicionado ao token de acesso por padrão. Portanto, se uma conta de usuário, serviço ou computador tentar ler propriedades gerais em objetos de usuário em um domínio, a operação de leitura será bem-sucedida.

Se uma entidade de segurança tentar acessar um objeto para o qual nenhuma ACEs está definida e que contenha um SID presente no token de acesso da entidade de segurança, a entidade de segurança não poderá acessar o objeto. Além disso, se uma ACE na ACL de um objeto contiver uma entrada de negação para um SID que corresponde ao token de acesso do usuário, a ACE "negar" geralmente substituirá uma ACE "permitir" conflitante. Para obter mais informações sobre o controle de acesso Windows, consulte Controle de acesso no site do MSDN.

Neste documento, as permissões referem-se a recursos que são concedidos ou negados a entidades de segurança em objetos que podem sercuráveis. Sempre que houver um conflito entre um direito de usuário e uma permissão, o direito do usuário geralmente tem precedência. Por exemplo, se um objeto no Active Directory tiver sido configurado com uma ACL que nega aos Administradores acesso de leitura e gravação a um objeto, um usuário que seja membro do grupo Administradores do domínio não poderá exibir muitas informações sobre o objeto. No entanto, como o grupo Administradores recebe o direito de usuário "Assumir a propriedade de arquivos ou outros objetos", o usuário pode simplesmente assumir a propriedade do objeto em questão e reescrever a ACL do objeto para conceder aos Administradores controle total do objeto.

É por esse motivo que este documento incentiva você a evitar o uso de contas e grupos avançados para administração do dia a dia, em vez de tentar restringir os recursos das contas e grupos. Não é efetivamente possível impedir que um determinado usuário que tenha acesso a credenciais poderosas use essas credenciais para obter acesso a qualquer recurso que pode ser proteger.

Contas e grupos privilegiados integrados

O Active Directory destina-se a facilitar a delegação de administração e o princípio de privilégios mínimos na atribuição de direitos e permissões. Os usuários "regulares" que têm contas em um domínio do Active Directory são, por padrão, capazes de ler grande parte do que é armazenado no diretório, mas podem alterar apenas um conjunto muito limitado de dados no diretório. Os usuários que exigem privilégios adicionais podem receber associação em vários grupos privilegiados que são integrados ao diretório para que possam executar tarefas específicas relacionadas às suas funções, mas não podem executar tarefas que não são relevantes para suas tarefas.

No Active Directory, há três grupos integrados que compõem os grupos de privilégios mais altos no diretório: o grupo EA (Administradores do Enterprise), o grupo DA (Administradores de Domínio) e o grupo ADMINISTRADORes (BA) integrado.

Um quarto grupo, o grupo SA (Administradores de Esquema), tem privilégios que, se prejudicados, podem danificar ou destruir uma floresta inteira do Active Directory, mas esse grupo é mais restrito em seus recursos do que os grupos EA, DA e BA.

Além desses quatro grupos, há várias contas e grupos padrão e integrados adicionais no Active Directory, cada um dos quais recebe direitos e permissões que permitem que tarefas administrativas específicas sejam executadas. Embora esse apêndice não forneça uma discussão completa sobre cada grupo integrado ou padrão no Active Directory, ele fornece uma tabela dos grupos e contas que você provavelmente verá em suas instalações.

Por exemplo, se você instalar Microsoft Exchange Server em uma floresta do Active Directory, contas e grupos adicionais poderão ser criados nos contêineres Interna e Usuários em seus domínios. Este apêndice descreve apenas os grupos e contas criados nos contêineres Interna e Usuários no Active Directory, com base em funções e recursos nativos. Contas e grupos criados pela instalação do software empresarial não estão incluídos.

Administradores Corporativos

O grupo Enterprise administradores (EA) está localizado no domínio raiz da floresta e, por padrão, é membro do grupo administradores integrado em cada domínio na floresta. A conta de Administrador Integrado no domínio raiz da floresta é o único membro padrão do grupo EA. Os EAs são concedidos direitos e permissões que permitem que eles afetem as alterações em toda a floresta. Essas são alterações que afetam todos os domínios na floresta, como adicionar ou remover domínios, estabelecer relações de confiança de floresta ou aumentar os níveis funcionais da floresta. Em um modelo de delegação projetado e implementado corretamente, a associação de EA é necessária apenas ao construir a floresta pela primeira vez ou ao fazer determinadas alterações em toda a floresta, como estabelecer uma relação de confiança de floresta de saída.

O grupo EA está localizado por padrão no contêiner Usuários no domínio raiz da floresta e é um grupo de segurança universal, a menos que o domínio raiz da floresta esteja em execução no modo misto de servidor do Windows 2000, caso em que o grupo é um grupo de segurança global. Embora alguns direitos sejam concedidos diretamente ao grupo EA, muitos dos direitos desse grupo são realmente herdados pelo grupo EA porque ele é membro do grupo Administradores em cada domínio na floresta. Enterprise administradores não têm direitos padrão em estações de trabalho ou servidores membros.

Administradores de Domínio

Cada domínio em uma floresta tem seu próprio grupo DE (Administradores de Domínio), que é membro do grupo DE (Administradores) integrado desse domínio, além de um membro do grupo administradores local em cada computador que está ingressado no domínio. O único membro padrão do grupo DA para um domínio é a conta de Administrador Integrado para esse domínio.

Os DAs são todos poderosos em seus domínios, enquanto as EAs têm privilégio em toda a floresta. Em um modelo de delegação projetado e implementado corretamente, a associação de DA deve ser necessária apenas em cenários de "quebra de janela", que são situações em que uma conta com altos níveis de privilégio em cada computador no domínio é necessária ou quando determinadas alterações em todo o domínio devem ser feitas. Embora os mecanismos nativos de delegação do Active Directory permitam a delegação na medida em que é possível usar contas DA somente em cenários de emergência, a construção de um modelo de delegação eficaz pode ser demorada e muitas organizações usam aplicativos de terceiros para agilizar o processo.

O grupo DA é um grupo de segurança global localizado no contêiner Usuários do domínio. Há um grupo de DA para cada domínio na floresta e o único membro padrão de um grupo DA é a conta de Administrador Integrado do domínio. Como o grupo DA de um domínio está aninhado no grupo BA do domínio e em cada grupo local de Administradores do sistema ingressado no domínio, as DAs não só têm permissões que são concedidas especificamente aos Administradores de Domínio, mas também herdam todos os direitos e permissões concedidos ao grupo Administradores do domínio e ao grupo administradores local em todos os sistemas ingressados no domínio.

Administradores

O grupo de administradores internos (BA) é um grupo de domínio local no contêiner interno de um domínio no qual o DAs e EAs são aninhados e é esse grupo que recebe muitos dos direitos e permissões diretos no diretório e nos controladores de domínio. No entanto, o grupo de administradores de um domínio não tem nenhum privilégio em servidores membros ou em estações de trabalho. A associação ao grupo de administradores locais de computadores ingressados no domínio é onde o privilégio local é concedido; e dos grupos discutidos, somente o DAs são membros de todos os grupos de administradores locais de computadores ingressados no domínio por padrão.

O grupo Administradores é um grupo de domínio local no contêiner interno do domínio. Por padrão, o grupo de BA de cada domínio contém a conta de administrador interna do domínio local, o grupo do do domínio local e o grupo EA do domínio raiz da floresta. Muitos direitos de usuário no Active Directory e em controladores de domínio são concedidos especificamente ao grupo de administradores, não a EAs ou DAs. O grupo BA de um domínio recebe permissões de controle total na maioria dos objetos de diretório e pode apropriar-se dos objetos de diretório. Embora os grupos EA e DA sejam concedidos a determinadas permissões específicas de objeto na floresta e nos domínios, grande parte da potência dos grupos é, na verdade, "herdada" de sua associação em BA grupos.

Observação

Embora essas sejam as configurações padrão desses grupos com privilégios, um membro de qualquer um dos três grupos pode manipular o diretório para obter a associação em qualquer um dos outros grupos. Em alguns casos, é trivial alcançar, enquanto em outros é mais difícil, mas da perspectiva do privilégio potencial, todos os três grupos devem ser considerados efetivamente equivalentes.

Administradores de esquemas

O grupo Administradores de esquema (SA) é um grupo universal no domínio raiz da floresta e tem apenas a conta de administrador interno do domínio como um membro padrão, semelhante ao grupo EA. Embora a associação no grupo SA possa permitir que um invasor comprometa o esquema de Active Directory, que é a estrutura de toda a floresta Active Directory, a SAs tem poucos direitos e permissões padrão além do esquema.

Você deve gerenciar e monitorar cuidadosamente a associação no grupo SA, mas, em alguns aspectos, esse grupo é "menos privilegiado" do que os três grupos com privilégios mais altos descritos anteriormente, pois o escopo de seu privilégio é muito estreito; ou seja, a SAs não tem direitos administrativos em nenhum lugar além do esquema.

Grupos internos e padrão adicionais no Active Directory

Para facilitar a delegação da administração no diretório, o Active Directory é fornecido com vários grupos internos e padrão que receberam direitos e permissões específicos. Esses grupos são descritos brevemente na tabela a seguir.

A tabela a seguir lista os grupos internos e padrão no Active Directory. Os dois conjuntos de grupos existem por padrão; no entanto, os grupos internos estão localizados (por padrão) no contêiner interno no Active Directory, enquanto os grupos padrão estão localizados (por padrão) no contêiner usuários em Active Directory. Os grupos no contêiner interno são todos os grupos locais de domínio, enquanto os grupos no contêiner usuários são uma combinação de grupos locais de domínio, globais e universais, além de três contas de usuário individuais (administrador, convidado e krbtgt).

Além dos grupos com privilégios mais altos descritos anteriormente neste apêndice, algumas contas e grupos padrão e internos recebem privilégios elevados e também devem ser protegidos e usados somente em hosts administrativos seguros. Esses grupos e contas podem ser encontrados nas linhas sombreadas na tabela B-1: grupos e contas padrão internos e em Active Directory. Como alguns desses grupos e contas recebem direitos e permissões que podem ser usados indevidomente para comprometer Active Directory ou controladores de domínio, eles recebem proteções adicionais, conforme descrito no Apêndice C: contas e grupos protegidos no Active Directory.

Tabela B-1: contas e grupos padrão e internos no Active Directory