Apêndice B: Contas privilegiadas e grupos no Active Directory

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice B: Contas privilegiadas e grupos no Active Directory

Contas e grupos "privilegiados" no Active Directory são aqueles aos quais são concedidos direitos, privilégios e permissões poderosos que lhes permitem executar quase qualquer ação no Active Directory e em sistemas conectados ao domínio. Esse apêndice começa discutindo direitos, privilégios e permissões, seguido por informações sobre as contas e grupos de "privilégios mais altos" no Active Directory, ou seja, as contas e os grupos mais poderosos.

Também são fornecidas informações sobre contas e grupos internos e padrão no Active Directory, além de seus direitos. Embora recomendações de configuração específicas para proteger as contas e grupos de privilégios mais altos sejam fornecidas como apêndices separados, esse apêndice fornece informações em segundo plano que ajudam você a identificar os usuários e os grupos em que você deve se concentrar na proteção. Você deve fazer isso porque invasores podem usá-los para comprometer e até mesmo destruir sua instalação do Active Directory.

Direitos, privilégios e permissões no Active Directory

As diferenças entre direitos, permissões e privilégios podem ser confusas e contraditórias, mesmo na documentação da Microsoft. Esta seção descreve algumas das características de cada uma como elas são usadas neste documento. Essas descrições não devem ser consideradas autoritativas para outras documentações da Microsoft, que podem usar esses termos de maneira diferente.

Direitos e privilégios

Direitos e privilégios são efetivamente as mesmas funcionalidades em todo o sistema concedidos a entidades de segurança, como usuários, serviços, computadores ou grupos. Em interfaces normalmente usadas por profissionais de TI, costumam ser chamadas de "direitos" ou "direitos do usuário" e ser são atribuídas por objetos de Política de Grupo. A captura de tela a seguir mostra alguns dos direitos do usuário mais comuns que podem ser atribuídos a entidades de segurança (ela representa o GPO de Controladores de Domínio Padrão em um domínio do Windows Server 2012). Alguns desses direitos se aplicam ao Active Directory, como o direito de usuário Habilitar contas de usuário e computador para serem confiáveis para delegação, enquanto outros direitos se aplicam ao sistema operacional Windows, como Alterar a hora do sistema.

privileged accounts and groups

Em interfaces como o Editor de Objeto de Política de Grupo, todas essas funcionalidades atribuíveis são chamadas amplamente de direitos do usuário. Porém, na realidade, alguns direitos do usuário são chamados programaticamente de direitos, enquanto outros são chamados programaticamente de privilégios. Tabela B-1: os direitos e privilégios do usuário fornecem alguns dos direitos do usuário atribuíveis mais comuns e suas constantes programáticas. Embora Política de Grupo e outras interfaces se refiram a todos eles como direitos do usuário, alguns são identificados programaticamente como direitos, enquanto outros são definidos como privilégios.

Para mais informações sobre cada um dos direitos do usuário listados na tabela a seguir, use os links na tabela ou confira o Guia de ameaças e contramedidas: direitos do usuário no guia de Mitigação de Ameaças e Vulnerabilidades do Windows Server 2008 R2 no site do Microsoft TechNet. Para informações aplicáveis ao Windows Server 2008, confira direitos do usuário na documentação de Mitigação de Ameaças e Vulnerabilidades no site do Microsoft TechNet. No momento da redação deste documento, a documentação correspondente para Windows Server 2012 ainda não havia sido publicada.

Observação

Para os fins deste documento, os termos "direitos" e "direitos do usuário" são usados para identificar direitos e privilégios, a menos que especificado de outra forma.

Tabela B-1: Direitos e privilégios do usuário
Direito do usuário em Política de Grupo Nome da constante
Acessar Gerenciador de credenciais como chamador confiável SeTrustedCredManAccessPrivilege
Acesso a este computador da rede SeNetworkLogonRight
Atuar como parte do sistema operacional SeTcbPrivilege
Adicionar estações de trabalho ao domínio SeMachineAccountPrivilege
Ajustar cotas de memória para um processo SeIncreaseQuotaPrivilege
Permitir logon localmente SeInteractiveLogonRight
Permitir logon pelos Serviços de Terminal SeRemoteInteractiveLogonRight
Fazer backup de arquivos e pastas SeBackupPrivilege
Ignorar verificação completa SeChangeNotifyPrivilege
Alterar a hora do sistema SeSystemtimePrivilege
Alterar o fuso horário SeTimeZonePrivilege
Criar um arquivo de página SeCreatePagefilePrivilege
Criar um objeto token SeCreateTokenPrivilege
Create global objects SeCreateGlobalPrivilege
Criar objetos compartilhados permanentemente SeCreatePermanentPrivilege
Criar vínculos simbólicos SeCreateSymbolicLinkPrivilege
Depurar programas SeDebugPrivilege
Negar acesso a este computador pela rede SeDenyNetworkLogonRight
Negar o logon como um trabalho em lotes SeDenyBatchLogonRight
Negar o logon como um serviço SeDenyServiceLogonRight
Negar o logon localmente SeDenyInteractiveLogonRight
Negar logon por meio dos serviços do terminal SeDenyRemoteInteractiveLogonRight
Permitir que contas de computador e usuário sejam confiáveis para delegação SeEnableDelegationPrivilege
Forçar o desligamento a partir de um sistema remoto SeRemoteShutdownPrivilege
Gerar auditorias de segurança SeAuditPrivilege
Representar um cliente após a autenticação SeImpersonatePrivilege
Aumentar um conjunto de trabalho de processo SeIncreaseWorkingSetPrivilege
Aumentar prioridade de agendamento SeIncreaseBasePriorityPrivilege
Carregar e descarregar drivers de dispositivo SeLoadDriverPrivilege
Bloquear páginas na memória SeLockMemoryPrivilege
Fazer logon como um trabalho em lotes SeBatchLogonRight
Fazer logon como um serviço SeServiceLogonRight
Gerenciar a auditoria e o log de segurança SeSecurityPrivilege
Modificar um rótulo de objeto SeRelabelPrivilege
Modificar valores de ambiente de firmware SeSystemEnvironmentPrivilege
Executar tarefas de manutenção de volume SeManageVolumePrivilege
Traçar um perfil de um único processo SeProfileSingleProcessPrivilege
Traçar um perfil do desempenho do sistema SeSystemProfilePrivilege
Remover o computador da estação de encaixe SeUndockPrivilege
Substituir um token de nível de processo SeAssignPrimaryTokenPrivilege
Restaurar arquivos e diretórios SeRestorePrivilege
Desligar o sistema SeShutdownPrivilege
Sincronizar dados do serviço de diretório SeSyncAgentPrivilege
Apropriar-se de arquivos ou de outros objetos SeTakeOwnershipPrivilege

Permissões

As permissões são controles de acesso aplicados a objetos protegíveis, como o sistema de arquivos, o Registro, o serviço e os objetos do Active Directory. Cada objeto protegível tem uma ACL (lista de controle de acesso) associada, que contém ACEs (entradas de controle de acesso) que concedem ou negam às entidades de segurança (usuários, serviços, computadores ou grupos) a capacidade de executar várias operações no objeto. Por exemplo, as ACLs de muitos objetos no Active Directory contêm ACEs que permitem que usuários autenticados leiam informações gerais sobre os objetos, mas não permite que leiam informações confidenciais nem alterem objetos. Com exceção da conta de convidado interna de cada domínio, cada entidade de segurança que faz logon e é autenticada por um controlador de domínio em uma floresta do Active Directory ou uma floresta confiável tem o SID (identificador de segurança) de usuários autenticados adicionado ao token de acesso por padrão. Portanto, se uma conta de usuário, serviço ou computador tentar ler as propriedades gerais em objetos de usuário em um domínio, a operação de leitura será bem-sucedida.

Se uma entidade de segurança tentar acessar um objeto para o qual nenhum ACEs é definido e que contém um SID que está presente no token de acesso da entidade de segurança, a entidade de segurança não poderá acessar o objeto. Além disso, se um ACE na ACL de um objeto contiver uma entrada de negação para um SID que corresponda ao token de acesso do usuário, o ACE "negar" geralmente substituirá um ACE "permitir" conflitante. Para mais informações sobre o controle de acesso no Windows, confira Controle de Acesso no site do MSDN.

Neste documento, as permissões se referem a recursos concedidos ou negados a entidades de segurança em objetos protegíveis. Sempre que há um conflito entre um direito de usuário e uma permissão, o direito do usuário geralmente tem precedência. Por exemplo, se um objeto no Active Directory tiver sido configurado com uma ACL que nega aos administradores todo o acesso de leitura e gravação a um objeto, um usuário que é membro do grupo Administradores do domínio não poderá visualizar muitas informações sobre o objeto. No entanto, como o grupo Administradores recebe o direito de usuário "Assumir a propriedade de arquivos ou outros objetos", o usuário pode simplesmente assumir a propriedade do objeto em questão e então reescrever a ACL do objeto para conceder aos Administradores controle total do objeto.

É por isso que este documento incentiva você a evitar o uso de contas e grupos poderosos para a administração diária, em vez de tentar restringir os recursos das contas e grupos. Não é efetivamente possível impedir que um dado usuário com acesso a credenciais poderosas use essas credenciais para obter acesso a qualquer recurso protegível.

Contas e grupos privilegiados internos

O Active Directory tem como objetivo facilitar a delegação de administração e o princípio de privilégios mínimos na atribuição de direitos e permissões. Os usuários "comuns" que têm contas em um domínio do Active Directory podem, por padrão, ler grande parte do que é armazenado no diretório, mas só podem alterar um conjunto muito limitado de dados no diretório. Os usuários que exigem privilégios adicionais podem receber associação a vários grupos privilegiados integrados ao diretório para que possam executar tarefas específicas relacionadas às respectivas funções, mas não podem executar tarefas que não são relevantes para as funções.

No Active Directory, há três grupos internos que compõem os grupos de privilégios mais altos no diretório, além de um quarto grupo, o grupo Administradores de Esquema (SA):

Um quarto grupo, de Administradores de Esquema (SA) tem privilégios que, se abusados, podem danificar ou destruir uma floresta inteira do Active Directory, mas esse grupo é mais restrito nos seus recursos do que os grupos de EA, DA e BA.

Além desses quatro grupos, há uma série de contas e grupos internos e padrão adicionais no Active Directory, cada um dos quais recebe direitos e permissões que permitem a execução de tarefas administrativas específicas. Embora este apêndice não apresente uma discussão completa sobre cada grupo interno ou padrão no Active Directory, ele fornece uma tabela dos grupos e das contas que você provavelmente verá em suas instalações.

Por exemplo, se você instalar o Microsoft Exchange Server em uma floresta do Active Directory, contas e grupos adicionais poderão ser criados nos contêineres Interno e Usuários em seus domínios. Este apêndice descreve apenas os grupos e as contas criados nos contêineres Interno e Usuários no Active Directory com base em funções e recursos nativos. Contas e grupos criados pela instalação do software empresarial não estão incluídos.

Administrador corporativo

O grupo de EA (administradores corporativos) está localizado no domínio raiz da floresta e, por padrão, é membro do grupo administradores interno em todos os domínios da floresta. A conta de Administrador interno no domínio raiz da floresta é o único membro padrão do grupo EA. Os EAs recebem direitos e permissões que lhes permitem realizar alterações em toda a floresta. Essas são alterações que afetam todos os domínios na floresta, como adicionar ou remover domínios, estabelecer relações de confiança de floresta ou elevar os níveis funcionais da floresta. Em um modelo de delegação projetado e implementado corretamente, a associação ao EA é necessária somente ao construir a floresta pela primeira vez ou ao fazer determinadas alterações em toda a floresta, como estabelecer uma relação de confiança da floresta de saída.

O grupo de EA está localizado por padrão no contêiner Usuários no domínio raiz da floresta e é um grupo de segurança universal, a menos que o domínio raiz da floresta esteja em execução no modo misto do Windows 2000 Server, quando então será um grupo de segurança global. Embora alguns direitos sejam concedidos diretamente ao grupo de EA, muitos dos direitos desse grupo são, na verdade, herdados pelo grupo de EA porque ele faz parte do grupo Administradores em cada domínio na floresta. Os administradores corporativos não têm direitos padrão em estações de trabalho ou servidores membros.

Administradores do domínio

Cada domínio em uma floresta tem o próprio grupo de DA (administradores de domínio), que é membro do grupo de BA (administradores internos) desse domínio, além de um membro do grupo local de Administradores em cada computador ingressado no domínio. O único membro padrão do grupo DA para um domínio é a conta de Administrador interno desse domínio.

Os DAs são todos poderosos nos respectivos, enquanto os EAs têm privilégios em toda a floresta. Em um modelo de delegação projetado e implementado corretamente, a associação ao DA deve ser obrigatória apenas em cenários de emergência, como situações em que uma conta com altos níveis de privilégio em cada computador no domínio é necessária, ou quando é preciso fazer determinadas alterações em todo o domínio. Embora os mecanismos nativos de delegação do Active Directory permitam a delegação na medida em que é possível usar contas de DA apenas em cenários de emergência, criar um modelo de delegação eficaz pode ser demorado e muitas organizações usam aplicativos de terceiros para agilizar o processo.

O grupo de DA é um grupo de segurança global localizado no contêiner Usuários para o domínio. Há um grupo de DA para cada domínio na floresta, e o único membro padrão de um grupo de DA é a conta de administrador interno do domínio. Como o grupo de DA de um domínio está aninhado no grupo de BA do domínio e em cada grupo de administradores locais do sistema conectado ao domínio, os DAs não só têm as permissões concedidas especificamente aos administradores de domínio, como também herdam todos os direitos e permissões concedidos ao grupo de administradores do domínio e ao grupo de administradores locais em todos os sistemas ingressados no domínio.

Administradores

O grupo de administradores internos (BA) é um grupo local de domínio no contêiner Interno de um domínio no qual DAs e EAs estão aninhados, e é esse grupo que recebe muitos dos direitos e permissões diretos no diretório e nos controladores de domínio. Porém, o grupo Administradores de um domínio não tem privilégios em servidores membros ou em estações de trabalho. É na associação ao grupo de administradores locais de computadores ingressados no domínio que o privilégio local é concedido; e, dentre os grupos discutidos, apenas os DAs são membros de todos os grupos de administradores locais de computadores conectados ao domínio por padrão.

O grupo Administradores é um grupo local de domínio no contêiner Interno do domínio. Por padrão, cada grupo de BA do domínio contém a conta de administrador interno do domínio local, o grupo de DA do domínio local e o grupo de EA do domínio raiz da floresta. Muitos direitos do usuário no Active Directory e em controladores de domínio são concedidos especificamente ao grupo de administradores, não a EAs ou DAs. O grupo de BA de um domínio recebe permissões de controle total na maioria dos objetos do directory e pode assumir a propriedade de objetos de diretório. Embora os grupos de EA e DA tenham determinadas permissões específicas de objeto na floresta e nos domínios, grande parte do poder dos grupos é realmente "herdada" de sua associação a grupos de BA.

Observação

Embora essas sejam as configurações padrão desses grupos privilegiados, um membro de qualquer um dos três grupos pode manipular o diretório para obter associação em qualquer um dos outros grupos. Em alguns casos, isso é trivial de alcançar, enquanto em outros é mais difícil, porém, do ponto de vista do potencial privilégio, todos os três grupos devem ser considerados efetivamente equivalentes.

Administradores de esquemas

O grupo de SA (administradores de esquema) é um grupo universal no domínio raiz da floresta e tem apenas a conta de administrador interno desse domínio como um membro padrão, semelhante ao grupo de EA. Embora a associação no grupo de SA possa permitir que um invasor comprometa o esquema do Active Directory, que é a estrutura para toda a floresta do Active Directory, os SAs têm poucos direitos e permissões padrão além do esquema.

Você deve gerenciar e monitorar cuidadosamente a associação no grupo de SA, mas, em alguns aspectos, esse grupo é "menos privilegiado" do que os três grupos privilegiados mais altos descritos anteriormente porque o escopo de seu privilégio é muito estreito; ou seja, os SAs não têm direitos administrativos em nenhum lugar diferente do esquema.

Grupos internos e padrão adicionais no Active Directory

Para facilitar a delegação de administração no diretório, o Active Directory tem vários grupos internos e padrão que receberam direitos e permissões específicos. Esses grupos são descritos brevemente na tabela a seguir.

A tabela a seguir lista os grupos internos e padrão no Active Directory. Ambos os conjuntos de grupos existem por padrão; no entanto, grupos internos estão localizados (por padrão) no contêiner interno no Active Directory, enquanto os grupos padrão estão localizados (por padrão) no contêiner Usuários no Active Directory. Os grupos no contêiner Interno são todos grupos locais de domínio, enquanto os grupos no contêiner Usuários são uma mistura de grupos Locais, Globais e Universais do Domínio, além de três contas de usuário individuais (Administrador, Convidado e Krbtgt).

Além dos grupos privilegiados mais altos descritos anteriormente neste apêndice, algumas contas e grupos internos e padrão recebem privilégios elevados e também devem ser protegidos e usados apenas em hosts administrativos seguros. Esses grupos e contas podem ser encontrados nas linhas sombreadas na Tabela B-1: Grupos e contas internos e padrão no Active Directory. Como alguns desses grupos e contas recebem direitos e permissões que podem ser mal utilizados para comprometer o Active Directory ou os controladores de domínio, eles recebem proteções adicionais, como descreve o Apêndice C: Contas e grupos protegidos no Active Directory.

Tabela B-1: Contas e grupos internos e padrão no Active Directory
Conta ou grupo Contêiner padrão, escopo e tipo de grupo Descrição e direitos do usuário padrão
Operadores de Assistência Controle de Acesso (Active Directory no Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões para recursos neste computador.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Opers. de contas Contêiner integrado

Grupo de segurança local de domínio

Os membros podem administrar contas de usuário e grupo de domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Conta de administrador Contêiner de usuários

Não é um grupo

Conta interna para administrar o domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar cotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Grupo de administradores Contêiner integrado

Grupo de segurança local de domínio

Os administradores têm acesso completo e irrestrito ao domínio.

direitos do usuário diretos:

Acesso a este computador da rede

Ajustar quotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Grupo de replicação de senha RDOC permitido Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo podem ter suas senhas replicadas para todos os controladores de domínio somente leitura no domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de cópia Contêiner integrado

Grupo de segurança local de domínio

Operadores de backup podem substituir as restrições de segurança com o único objetivo de fazer backup ou restaurar arquivos.

direitos do usuário diretos:

Permitir logon localmente

Fazer backup de arquivos e pastas

Fazer logon como um trabalho em lotes

Restaurar arquivos e diretórios

Desligar o sistema

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Editores de Certificados Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo têm permissão para publicar certificados no diretório.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso DCOM do Serviço de Certificado Contêiner integrado

Grupo de segurança local de domínio

Se os Serviços de Certificados estiverem instalados em um controlador de domínio (não recomendado), esse grupo concederá acesso de registro DCOM a Usuários de Domínio e Computadores de Domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de domínio clonáveis (AD DS no Windows Server 2012AD DS) Contêiner de usuários

Grupo de segurança global

Os membros desse grupo que são controladores de domínio podem ser clonados.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores criptográficos Contêiner integrado

Grupo de segurança local de domínio

Os membros estão autorizados a executar operações de criptografia.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do depurador Isso não é um padrão nem um grupo interno, mas, quando presente no AD DS, é motivo para uma investigação mais aprofundada. A presença de um grupo Usuários do Depurador indica que as ferramentas de depuração foram instaladas no sistema em algum momento, seja por meio do Visual Studio, de SQL, do Office ou de outros aplicativos que exigem e dão suporte a um ambiente de depuração. Esse grupo permite o acesso de depuração remota a computadores. Quando esse grupo existe no nível do domínio, ele indica que um depurador ou um aplicativo que contém um depurador foi instalado em um controlador de domínio.
Grupo de replicação de senha RDOC negado Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo não podem ter suas senhas replicadas para controladores de domínio somente leitura no domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do DHCP Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do DHCP Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo têm acesso somente visualização para o serviço do servidor DHCP.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários COM Distribuídos Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo têm permissão para iniciar, ativar e usar objetos COM distribuídos neste computador.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

DnsAdmins Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo têm acesso administrativo para o serviço do servidor DHCP.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

DnsUpdateProxy Contêiner de usuários

Grupo de segurança global

Os membros desse grupo são clientes DNS com permissão para executar atualizações dinâmicas em nome de clientes que não podem executar atualizações dinâmicas. Os membros desse grupo normalmente são servidores DHCP.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do domínio Contêiner de usuários

Grupo de segurança global

Administradores designados do domínio; os administradores de domínio são membros de cada grupo de administradores locais do computador conectados ao domínio e recebem direitos e permissões concedidos ao grupo administradores local, além do grupo de administradores do domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar cotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Computadores de Domínio Contêiner de usuários

Grupo de segurança global

Todas as estações de trabalho e servidores ingressados no domínio são, por padrão, membros desse grupo.

direitos do usuário diretos padrão: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio Contêiner de usuários

Grupo de segurança global

Todos os controladores de domínio no domínio. Observação: os controladores de domínio não são membros do grupo Computadores de Domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados do Domínio Contêiner de usuários

Grupo de segurança global

Todos os convidados no domínio

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Domínio Contêiner de usuários

Grupo de segurança global

Todos os usuários do domínio

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores de esquema (aparecem somente para o domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Os administradores corporativos têm permissões para alterar as definições de configuração em toda a floresta; os administradores corporativos são membros do grupo de administradores de cada domínio e recebem os direitos e as permissões concedidos a esse grupo.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ajustar cotas de memória para um processo

Permitir logon localmente

Permitir logon por meio dos Serviços de Área de Trabalho Remota

Fazer backup de arquivos e pastas

Ignorar verificação completa

Alterar a hora do sistema

Alterar o fuso horário

Criar um arquivo de página

Create global objects

Criar vínculos simbólicos

Depurar programas

Permitir que contas de computador e usuário sejam confiáveis para delegação

Forçar o desligamento a partir de um sistema remoto

Representar um cliente após a autenticação

Aumentar um conjunto de trabalho de processo

Aumentar prioridade de agendamento

Carregar e descarregar drivers de dispositivo

Fazer logon como um trabalho em lotes

Gerenciar a auditoria e o log de segurança

Modificar valores de ambiente de firmware

Executar tarefas de manutenção de volume

Traçar um perfil de um único processo

Traçar um perfil do desempenho do sistema

Remover o computador da estação de encaixe

Restaurar arquivos e diretórios

Desligar o sistema

Apropriar-se de arquivos ou de outros objetos

Controladores de domínio somente leitura da empresa Contêiner de usuários

Grupo de segurança universal

Esse grupo contém as contas de todos os controladores de domínio somente leitura na floresta.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Leitores de Log de Eventos Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo em podem ler os logs de eventos em controladores de domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Proprietários criadores de política de grupo Contêiner de usuários

Grupo de segurança global

Os membros desse grupo podem criar e modificar Objetos de Política de Grupo no domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidado Contêiner de usuários

Não é um grupo

Essa é a única conta em um domínio do AD DS que não tem o SID de Usuários Autenticados adicionado ao token de acesso. Portanto, os recursos configurados para permitir acesso ao grupo Usuários Autenticados não estarão acessíveis a essa conta. Esse comportamento não se aplica aos membros dos grupos Convidados e Convidados do Domínio. No entanto, os membros desses grupos têm o SID de Usuários Autenticados adicionado aos tokens de acesso.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Convidados Contêiner integrado

Grupo de segurança local de domínio

Os convidados têm o mesmo acesso que os membros do grupo Usuários por padrão, exceto pela conta Convidado, que é ainda mais restrita, conforme descrito anteriormente.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores do Hyper-V (Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

IIS_IUSRS Contêiner integrado

Grupo de segurança local de domínio

Grupo interno usado pelos Serviços de Informações da Internet.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Criadores de Confiança de Floresta de Entrada (existem apenas no domínio raiz da floresta) Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem criar relações de confiança unidirecionais de entrada para esta floresta. (A criação de relações de confiança de floresta de saída é reservada para administradores corporativos.)

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Krbtgt Contêiner de usuários

Não é um grupo

A conta Krbtgt é a conta de serviço do Centro de Distribuição de Chaves Kerberos no domínio. Essa conta tem acesso às credenciais de todas as contas armazenadas no Active Directory. Essa conta está desabilitada por padrão e nunca deve ser habilitada

Direitos do usuário: N/A

Operadores de Configuração de Rede Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo recebem privilégios que permitem gerenciar a configuração de recursos de rede.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do Log de Desempenho Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem agendar o registro em log de contadores de desempenho, habilitar provedores de rastreamento e coletar rastreamentos de eventos localmente e por meio do acesso remoto ao computador.

direitos do usuário diretos:

Fazer logon como um trabalho em lotes

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários do monitor de desempenho Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem acessar dados do contador de desempenho local e remotamente.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Acesso compatível com versões anteriores ao Windows 2000 Contêiner integrado

Grupo de segurança local de domínio

Esse grupo existe para compatibilidade com versões anteriores com sistemas operacionais anteriores ao Windows 2000 Server e permite que os membros leiam informações de usuário e grupo no domínio.

direitos do usuário diretos:

Acesso a este computador da rede

Ignorar a verificação completa

direitos do usuário herdados:

Adicionar estações de trabalho ao domínio

Aumentar um conjunto de trabalho de processo

Operadores de Impressão Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem administrar impressoras de domínio.

direitos do usuário diretos:

Permitir logon localmente

Carregar e descarregar drivers de dispositivo

Desligar o sistema

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores RAS e IAS Contêiner de usuários

Grupo de segurança local de domínio

Os servidores nesse grupo podem ler as propriedades de acesso remoto em contas de usuário no domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Ponto de Extremidade de RDS (Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os servidores desse grupo executam máquinas virtuais e sessões de host em que os programas RemoteApp e as áreas de trabalho virtuais pessoais são executados. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores Host da Sessão da Área de Trabalho Remota e os servidores Host de Virtualização de Área de Trabalho Remota usados na implantação precisam estar nesse grupo.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Gerenciamento de RDS (Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os servidores desse grupo podem executar ações administrativas rotineiras nos servidores que executam os Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de Gerenciamento Central do RDS precisam ser incluídos nesse grupo.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Acesso Remoto de RDS (Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os servidores desse grupo permitem que os usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acessem esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso via Web de Área de Trabalho Remota usados na implantação precisam estar nesse grupo.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Controladores de Domínio somente leitura Contêiner de usuários

Grupo de segurança global

Esse grupo contém todos os controladores de domínio somente leitura no domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários da Área de Trabalho Remota Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo recebem o direito de fazer logon remotamente usando RDP.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários de Gerenciamento Remoto (Windows Server 2012) Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem acessar os recursos do WMI por meio de protocolos de gerenciamento (como o WS-Management no serviço Gerenciamento Remoto do Windows). Isso só se aplica aos namespaces do WMI que permitem acesso ao usuário.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Replicador Contêiner integrado

Grupo de segurança local de domínio

Dá suporte à replicação de arquivo herdada em um domínio.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Administradores de Esquema (existem apenas no domínio raiz da floresta) Contêiner de usuários

Grupo de segurança universal

Os administradores de esquema são os únicos usuários que podem fazer modificações no esquema do Active Directory e apenas se o esquema estiver habilitado para gravação.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Operadores de Servidores Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem administrar controladores de domínio.

direitos do usuário diretos:

Permitir logon localmente

Fazer backup de arquivos e pastas

Alterar a hora do sistema

Alterar o fuso horário

Forçar o desligamento a partir de um sistema remoto

Restaurar arquivos e diretórios

Desligar o sistema

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Servidores de Licença do Terminal Server Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças, com a finalidade de acompanhar e relatar o uso de TS CAL por usuário

direitos do usuário diretos padrão: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

Usuários Contêiner integrado

Grupo de segurança local de domínio

Os usuários têm permissões que permitem que eles leiam muitos objetos e atributos no Active Directory, embora não possam alterar a maioria. Os usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema e executar a maioria dos aplicativos.

direitos do usuário diretos:

Aumentar um conjunto de trabalho de processo

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Grupo de autorização de acesso do Windows Contêiner integrado

Grupo de segurança local de domínio

Os membros desse grupo têm acesso ao atributo tokenGroupsGlobalAndUniversal computado em objetos Usuário

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo

WinRMRemoteWMIUsers_ (Windows Server 2012) Contêiner de usuários

Grupo de segurança local de domínio

Os membros desse grupo podem acessar os recursos do WMI por meio de protocolos de gerenciamento (como o WS-Management no serviço Gerenciamento Remoto do Windows). Isso só se aplica aos namespaces do WMI que permitem acesso ao usuário.

direitos do usuário diretos: nenhum

direitos do usuário herdados:

Acesso a este computador da rede

Adicionar estações de trabalho ao domínio

Ignorar a verificação completa

Aumentar um conjunto de trabalho de processo