Avançar para o conteúdo principal Não há mais suporte para esse navegador. Show
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes. Grupos de segurança do Active Directory
Neste artigo
Saiba mais sobre grupos de segurança padrão do Active Directory, escopo de grupo e funções de grupo. O que é um grupo de segurança no Active Directory?O Active Directory tem duas formas de entidades de segurança comuns: contas de usuário e contas de computador. Essas contas representam uma entidade física que é uma pessoa ou um computador. Uma conta de usuário também pode ser usada como uma conta de serviço dedicada para alguns aplicativos. Os grupos de segurança são uma maneira de coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. No sistema operacional Windows Server, várias contas internas e grupos de segurança são pré-configurados com os direitos e permissões apropriados para executar tarefas específicas. No Active Directory, as responsabilidades administrativas são separadas em dois tipos de administradores:
Como os grupos de segurança do Active Directory funcionamUse grupos para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede. O Active Directory tem dois tipos de grupos:
Grupos de segurançaOs grupos de segurança podem fornecer uma maneira eficiente de atribuir acesso aos recursos em sua rede. Ao usar grupos de segurança, você pode:
Você pode usar um grupo de segurança como uma entidade de email. Enviar uma mensagem de email para um grupo de segurança envia a mensagem a todos os membros do grupo. Grupos de distribuiçãoVocê pode usar grupos de distribuição apenas para enviar emails para coleções de usuários usando um aplicativo de email como Exchange Server. Os grupos de distribuição não estão habilitados para segurança, portanto, você não pode incluí-los em DACLs. Escopo do grupoCada grupo tem um escopo que identifica até que ponto o grupo é aplicado na árvore de domínio ou na floresta. O escopo de um grupo define onde nas permissões de rede podem ser concedidas para o grupo. O Active Directory define os três escopos de grupo a seguir:
Observação Além desses três escopos, os grupos padrão no contêiner Builtin têm um escopo de grupo do Builtin Local. Esse escopo de grupo e o tipo de grupo não podem ser alterados. A tabela a seguir descreve os três escopos de grupo e como eles funcionam como grupos de segurança:
Grupos de identidade especiaisIdentidades especiais são conhecidas como grupos. Grupos de identidades especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias. Alguns desses grupos incluem Proprietário do Criador, Lote e Usuário Autenticado. Para obter mais informações, consulte grupos de identidades especiais. Grupos de segurança padrãoGrupos padrão como o grupo administradores de domínio são grupos de segurança que são criados automaticamente quando você cria um domínio do Active Directory. Você pode usar esses grupos predefinidos para ajudar a controlar o acesso aos recursos compartilhados e a delegar funções administrativas específicas a todo o domínio. Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário que autorizam os membros do grupo a executar ações específicas em um domínio, como fazer logon em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup pode executar operações de backup para todos os controladores de domínio no domínio. Quando você adiciona um usuário a um grupo, o usuário recebe todos os direitos de usuário atribuídos ao grupo, incluindo todas as permissões atribuídas ao grupo para quaisquer recursos compartilhados. Os grupos padrão estão localizados no contêiner Builtin e no contêiner Usuários no Usuários e Computadores do Active Directory. O contêiner Builtin inclui grupos definidos com o escopo Local do Domínio. O contêiner Usuários inclui grupos definidos com escopo global e grupos que são definidos com o escopo local do domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou unidades organizacionais dentro do domínio, mas não é possível movê-los para outros domínios. Alguns dos grupos administrativos listados neste artigo e todos os membros desses grupos são protegidos por um processo em segundo plano que verifica periodicamente e aplica um descritor de segurança específico. Esse descritor é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em uma das contas administrativas ou grupos seja substituída com as configurações protegidas. O descritor de segurança está presente no objeto AdminSDHolder. Se você quiser modificar as permissões em um dos grupos de administradores de serviços ou em qualquer uma de suas contas membros, modifique o descritor de segurança no objeto AdminSDHolder para que ele seja aplicado consistentemente. Tenha cuidado ao fazer essas modificações porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas. Grupos de segurança padrão do Active DirectoryA lista a seguir fornece descrições dos grupos padrão localizados nos contêineres Builtin e Users no Active Directory:
operadores de assistência Controle de AcessoOs membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos no computador. O grupo operadores de assistência Controle de Acesso aplica-se ao sistema operacional Windows Server listado na tabela de grupos de segurança padrão do Active Directory.
Opers. de contasO grupo Operadores de Conta concede privilégios limitados de criação de conta a um usuário. Os membros desse grupo podem criar e modificar a maioria dos tipos de contas, incluindo contas para usuários, grupos locais e grupos globais. Os membros do grupo podem fazer logon localmente em controladores de domínio. Os membros do grupo Operadores de Conta não podem gerenciar a conta de usuário administrador, as contas de usuário dos administradores ou os grupos Administradores, Operadores de Servidor, Operadores de Conta, Operadores de Backup ou Operadores de Impressão . Os membros desse grupo não podem modificar os direitos do usuário. O grupo Operadores de Conta se aplica ao sistema operacional Windows Server na lista de grupos de segurança padrão do Active Directory . Observação Por padrão, esse grupo interno não tem membros. O grupo pode criar e gerenciar usuários e grupos no domínio, incluindo sua própria associação e a do grupo Operadores de Servidor. Esse grupo é considerado um grupo de administradores de serviços porque pode modificar operadores de servidor, que, por sua vez, podem modificar as configurações do controlador de domínio. Como prática recomendada, deixe a associação desse grupo vazia e não a use para nenhuma administração delegada. Esse grupo não pode ser renomeado, excluído ou removido.
AdministradoresOs membros do grupo Administradores têm acesso completo e irrestrito ao computador. Se o computador for promovido a um controlador de domínio, os membros do grupo Administradores terão acesso irrestrito ao domínio. O grupo Administradores aplica-se ao sistema operacional Windows Server na lista de grupos de segurança padrão do Active Directory . Observação O grupo Administradores tem recursos internos que dão aos seus membros controle total sobre o sistema. Esse grupo não pode ser renomeado, excluído ou removido. Esse grupo interno controla o acesso a todos os controladores de domínio em seu domínio e pode alterar a associação de todos os grupos administrativos. Os membros dos seguintes grupos podem modificar a associação de grupo administradores: os administradores de serviço padrão, os administradores de domínio no domínio e os administradores corporativos. Esse grupo tem o privilégio especial de assumir a propriedade de qualquer objeto no diretório ou qualquer recurso em um controlador de domínio. Essa conta é considerada um grupo de administradores de serviços porque seus membros têm acesso total aos controladores de domínio no domínio. Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
Replicação de senha RODC permitidaA finalidade desse grupo de segurança é gerenciar uma política de replicação de senha RODC (controlador de domínio somente leitura). Esse grupo não tem membros por padrão e resulta na condição de que os novos RODCs não armazenem credenciais de usuário em cache. O grupo Denied RODC Password Replication contém várias contas de alto privilégio e grupos de segurança. O grupo Denied RODC Password Replication substitui o grupo Denied RODC Password Replication group. O grupo de Replicação de Senha RODC permitido se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Operadores de cópiaOs membros do grupo Operadores de Backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem fazer logon e desligar o computador. Esse grupo não pode ser renomeado, excluído ou removido. Por padrão, esse grupo interno não tem membros e pode executar operações de backup e restauração em controladores de domínio. Os membros dos seguintes grupos podem modificar a associação de grupo dos Operadores de Backup: administradores de serviço padrão, administradores de domínio no domínio e administradores corporativos. Os membros do grupo Operadores de Backup não podem modificar a associação de nenhum grupo administrativo. Embora os membros desse grupo não possam alterar as configurações do servidor ou modificar a configuração do diretório, eles têm as permissões necessárias para substituir arquivos (incluindo arquivos do sistema operacional) em controladores de domínio. Como os membros desse grupo podem substituir arquivos em controladores de domínio, eles são considerados administradores de serviço. O grupo Operadores de Backup se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Acesso DCOM do Serviço de CertificadoOs membros desse grupo podem se conectar às autoridades de certificação na empresa. O grupo de acesso DCOM do Serviço de Certificado se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Editores de CertificadosOs membros do grupo Cert Publishers estão autorizados a publicar certificados para objetos de usuário no Active Directory. O grupo Cert Publishers aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Controladores de domínio clonáveisOs membros do grupo Controladores de Domínio Clonáveis que são controladores de domínio podem ser clonados. Em Windows Server 2012 R2 e Windows Server 2012, você pode implantar controladores de domínio copiando um controlador de domínio virtual existente. Em um ambiente virtual, você não precisa mais implantar repetidamente uma imagem de servidor preparada usando Sysprep.exe, promovendo o servidor para um controlador de domínio e, em seguida, concluir mais requisitos de configuração para implantar cada controlador de domínio (incluindo a adição do controlador de domínio virtual a esse grupo de segurança). Para saber mais, consulte Introdução à virtualização do AD DS (Serviços de Domínio Active Directory) (Nível 100).
Operadores criptográficosOs membros desse grupo estão autorizados a executar operações criptográficas. Esse grupo de segurança foi adicionado no Windows Vista Service Pack 1 (SP1) para configurar o Firewall do Windows para IPsec no modo de Critérios Comuns. O grupo operadores criptográficos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory. Esse grupo de segurança foi introduzido no Windows Vista SP1 e não foi alterado nas versões subsequentes.
Replicação de senha RODC negadaSenhas de membros do grupo de replicação de senha RODC negada não podem ser replicadas para nenhum RODC. A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha RODC. Esse grupo contém várias contas de alto privilégio e grupos de segurança. O grupo Denied RODC Password Replication substitui o grupo de Replicação de Senha RODC Permitido . Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
Proprietários de dispositivoQuando o grupo Proprietários de Dispositivos não tem membros, recomendamos que você não altere a configuração padrão para esse grupo de segurança. Alterar a configuração padrão pode dificultar cenários futuros que dependem desse grupo. Atualmente, o grupo Proprietários de Dispositivos não é usado no Windows. O grupo Proprietários de Dispositivos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administradores DHCPOs membros do grupo administradores dhcp podem criar, excluir e gerenciar diferentes áreas do escopo do servidor, incluindo os direitos de fazer backup e restaurar o banco de dados DHCP (Dynamic Host Configuration Protocol). Embora esse grupo tenha direitos administrativos, ele não faz parte do grupo Administradores porque essa função é limitada aos serviços DHCP. O grupo administradores DHCP aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários DHCPOs membros do grupo usuários DHCP podem ver quais escopos estão ativos ou inativos, ver quais endereços IP são atribuídos e exibir problemas de conectividade se o servidor DHCP não estiver configurado corretamente. Esse grupo está limitado ao acesso somente leitura ao servidor DHCP. O grupo usuários DHCP aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários COM DistribuídosOs membros do grupo Usuários COM Distribuídos podem iniciar, ativar e usar objetos COM distribuídos no computador. O COM (Microsoft Component Object Model) é um sistema independente de plataforma, distribuído e orientado a objetos para criar componentes de software binários que podem interagir. O DCOM (Distributed Component Object Model) permite que os aplicativos sejam distribuídos entre locais que fazem mais sentido para você e para o aplicativo. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha o mestre de operações (também chamado de função FSMO ou operações mestras simples flexíveis). O grupo Usuários COM Distribuídos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
DnsupdateproxyOs membros do grupo DnsUpdateProxy são clientes DNS. Eles têm permissão para executar atualizações dinâmicas em nome de outros clientes, como para servidores DHCP. Um servidor DNS pode desenvolver registros de recursos obsoletos quando um servidor DHCP é configurado para registrar dinamicamente registros de recursos de host (A) e ponteiro (PTR) em nome de clientes DHCP usando a atualização dinâmica. Adicionar clientes a esse grupo de segurança atenua esse cenário. No entanto, para proteger contra registros não seguros ou permitir que membros do grupo DnsUpdateProxy registrem registros em zonas que permitem apenas atualizações dinâmicas protegidas, você deve criar uma conta de usuário dedicada e configurar servidores DHCP para executar atualizações dinâmicas de DNS usando as credenciais (nome de usuário, senha e domínio) dessa conta. Vários servidores DHCP podem usar as credenciais de uma conta de usuário dedicada. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada uma vez em um controlador de domínio no domínio. Para obter mais informações, consulte a propriedade do registro DNS e o grupo DnsUpdateProxy.
DnsAdminsOs membros do grupo DnsAdmins têm acesso a informações de DNS de rede. As permissões padrão são Allow: Read, Write, Create All Child objects, Delete Child objects, Special Permissions. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada uma vez em um controlador de domínio no domínio. Para obter mais informações sobre segurança e DNS, consulte DNSSEC em Windows Server 2012.
Administradores do domínioOs membros do grupo de segurança Administradores de Domínio estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os controladores de domínio. O grupo Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory para o domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores. O grupo Administradores de Domínio controla o acesso a todos os controladores de domínio em um domínio e pode modificar a associação de todas as contas administrativas no domínio. Membros dos grupos de administradores de serviços em seu domínio (Administradores e Administradores de Domínio) e membros do grupo Administradores Corporativos podem modificar a associação de Administradores de Domínio. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso total aos controladores de domínio em um domínio. O grupo administradores de domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Computadores de DomínioEsse grupo pode incluir todos os computadores e servidores que ingressaram no domínio, excluindo os controladores de domínio. Por padrão, qualquer conta de computador criada automaticamente se torna um membro desse grupo. O grupo de Computadores de Domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Controladores de DomínioO grupo Controladores de Domínio pode incluir todos os controladores de domínio no domínio. Novos controladores de domínio são adicionados automaticamente a esse grupo. O grupo Controladores de Domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Convidados do DomínioO grupo Convidados do Domínio inclui a conta de convidado interna do domínio. Quando os membros desse grupo entram como convidados locais em um computador ingressado no domínio, um perfil de domínio é criado no computador local. O grupo Convidados do Domínio aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários do DomínioO grupo Usuários de Domínio inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, ela é adicionada automaticamente a esse grupo. Por padrão, qualquer conta de usuário criada no domínio se torna automaticamente um membro desse grupo. Você pode usar esse grupo para representar todos os usuários no domínio. Por exemplo, se você quiser que todos os usuários de domínio tenham acesso a uma impressora, poderá atribuir permissões para a impressora a esse grupo ou adicionar o grupo Usuários de Domínio a um grupo Local no servidor de impressão que tenha permissões para a impressora. O grupo Usuários de Domínio aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administrador corporativoO grupo administradores corporativos existe apenas no domínio raiz de uma floresta de domínios do Active Directory. O grupo será um grupo Universal se o domínio estiver no modo nativo. O grupo será um grupo global se o domínio estiver no modo misto. Os membros desse grupo estão autorizados a fazer alterações em toda a floresta no Active Directory, como a adição de domínios filho. Por padrão, o único membro do grupo é a conta Administrador para o domínio raiz da floresta. Esse grupo é adicionado automaticamente ao grupo Administradores em todos os domínios da floresta e fornece acesso completo à configuração de todos os controladores de domínio. Os membros desse grupo podem modificar a associação de todos os grupos administrativos. Os membros dos grupos de administradores de serviço padrão no domínio raiz podem modificar a associação de administradores corporativos. Esse grupo é considerado uma conta de administrador de serviços. O grupo administradores corporativos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administradores de chave corporativaOs membros desse grupo podem executar ações administrativas em objetos-chave dentro da floresta.
Controladores de domínio somente leitura da empresaOs membros desse grupo são RODCs na empresa. Exceto para senhas de conta, um RODC contém todos os objetos e atributos do Active Directory que um controlador de domínio gravável contém. No entanto, as alterações não podem ser feitas no banco de dados armazenado no RODC. As alterações devem ser feitas em um controlador de domínio gravável e replicadas para o RODC. Os RODCs abordam alguns dos problemas que normalmente são encontrados nas filiais. Esses locais podem não ter um controlador de domínio ou podem ter um controlador de domínio gravável, mas não a segurança física, a largura de banda de rede ou a experiência local para dar suporte a ele. Para obter mais informações, consulte O que é um controlador de domínio somente leitura? O grupo controladores de domínio somente leitura da empresa se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Leitores de Log de EventosOs membros desse grupo podem ler logs de eventos de computadores locais. O grupo é criado quando o servidor é promovido a um controlador de domínio. O grupo Leitores de Log de Eventos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Proprietários criadores de política de grupoEsse grupo está autorizado a criar, editar e excluir objetos Política de Grupo no domínio. Por padrão, o único membro do grupo é o Administrador. Para obter informações sobre outros recursos que você pode usar com esse grupo de segurança, consulte Política de Grupo visão geral. O grupo Política de Grupo Proprietários do Criador aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
ConvidadosOs membros do grupo Convidados têm o mesmo acesso que os membros do grupo Usuários por padrão, exceto que a conta convidado tem restrições adicionais. Por padrão, o único membro é a conta convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados para a conta de convidado interna de um computador. Quando um membro do grupo Convidados sai, todo o perfil é excluído. A exclusão de perfil inclui tudo o que é armazenado no diretório %userprofile%, incluindo informações do hive do registro do usuário, ícones de área de trabalho personalizados e outras configurações específicas do usuário. Esse fato implica que um convidado deve usar um perfil temporário para entrar no sistema. Esse grupo de segurança interage com a configuração de Política de Grupo. Quando esse grupo de segurança estiver habilitado, não faça logon em usuários com perfis temporários. Para acessar essa configuração, acesse perfis de usuário dosistema>de modelos administrativos> de configuração>do computador. Observação Uma conta de convidado é um membro padrão do grupo de segurança Convidados. Pessoas que não têm uma conta real no domínio podem usar a conta convidado. Um usuário cuja conta esteja desabilitada (mas não excluída) também pode usar a conta Convidado. Não é necessário ter senha para essa conta. Você pode definir direitos e permissões para a conta convidado como em qualquer conta de usuário. Por padrão, a conta convidado é membro do grupo Convidados internos e do grupo Domain Guests Global, que permite que um usuário entre em um domínio. A conta Convidado é desativada por padrão e é recomendável que ela permaneça assim. O grupo Convidados se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administradores do Hyper-VOs membros do grupo Administradores do Hyper-V têm acesso completo e irrestrito a todos os recursos no Hyper-V. Adicionar membros a esse grupo ajuda a reduzir o número de membros necessários no grupo Administradores e separa ainda mais o acesso. Observação Antes de Windows Server 2012, o acesso aos recursos no Hyper-V era controlado em parte pela associação no grupo Administradores.
IIS_IUSRSIIS_IUSRS é um grupo interno usado pelo IIS (Serviços de Informações da Internet) a partir do IIS 7. Uma conta interna e um grupo são garantidos pelo sistema operacional para sempre ter um SID exclusivo. O IIS 7 substitui a conta IUSR_MachineName e o grupo IIS_WPG pelo grupo IIS_IUSRS para garantir que os nomes reais que a nova conta e o grupo usam nunca sejam localizados. Por exemplo, independentemente do idioma do sistema operacional Windows instalado, o nome da conta do IIS sempre será IUSR e o nome do grupo será IIS_IUSRS. Para obter mais informações, consulte Noções básicas sobre contas internas de usuário e grupo no IIS 7.
Criadores de confiança de floresta de entradaOs membros do grupo Construtores de Confiança da Floresta de Entrada podem criar relações de confiança unidirecionais de entrada para essa floresta. O Active Directory fornece segurança em vários domínios ou florestas por meio de relações de confiança de domínio e floresta. Antes que a autenticação possa ocorrer entre relações de confiança, o Windows deve determinar se o domínio que está sendo solicitado por um usuário, computador ou serviço tem uma relação de confiança com o domínio de logon da conta solicitante. Para fazer essa determinação, o sistema de segurança do Windows calcula um caminho de confiança entre o controlador de domínio do servidor que recebe a solicitação e um controlador de domínio no domínio da conta solicitante. Um canal seguro se estende a outros domínios do Active Directory por meio de relações de confiança de interdomínio. Esse canal protegido é usado para obter e verificar informações de segurança, incluindo SIDs para usuários e grupos. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido. Para obter mais informações, consulte Como as relações de confiança de domínio e floresta funcionam: confianças de domínio e floresta. O grupo Construtores de Confiança de Floresta de Entrada aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administradores chaveOs membros desse grupo podem executar ações administrativas em objetos-chave dentro do domínio. O grupo Administradores de Chaves se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Operadores de Configuração de RedeOs membros do grupo Operadores de Configuração de Rede podem ter os seguintes privilégios administrativos para gerenciar a configuração de recursos de rede:
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido. O grupo Operadores de Configuração de Rede se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários do Log de DesempenhoOs membros do grupo Usuários de Log de Desempenho podem gerenciar contadores de desempenho, logs e alertas localmente no servidor e em clientes remotos sem serem membros do grupo Administradores. Especificamente, os membros deste grupo de segurança:
Para que os membros do grupo Usuários de Log de Desempenho iniciem o log de dados ou modifiquem conjuntos de coletores de dados, primeiro o grupo deve receber o logon como um direito do usuário do trabalho em lotes . Para atribuir direito a esse usuário, use o snap-in política de segurança local no Console de Gerenciamento da Microsoft (MMC). Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Essa conta não pode ser renomeada, excluída ou movida. O grupo Usuários de Log de Desempenho se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários do monitor de desempenhoOs membros desse grupo podem monitorar contadores de desempenho em controladores de domínio no domínio, localmente e de clientes remotos, sem serem membros dos grupos Administradores ou Usuários do Log de Desempenho. O Monitor de Desempenho do Windows é um snap-in do MMC que fornece ferramentas para analisar o desempenho do sistema. Em um único console, você pode monitorar o desempenho de aplicativos e hardware, personalizar quais dados deseja coletar em logs, definir limites para alertas e ações automáticas, gerar relatórios e exibir dados de desempenho anteriores de várias maneiras. Especificamente, os membros deste grupo de segurança:
Aviso Os membros do grupo Monitor de Desempenho Users não podem configurar conjuntos de coleta de dados. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido. O grupo Monitor de Desempenho Usuários se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Acesso compatível com o Windows 2000Os membros do grupo de Acesso Compatível pré-Windows 2000 têm acesso de leitura para todos os usuários e grupos no domínio. Esse grupo é fornecido para compatibilidade com versões anteriores, para computadores que executam o Windows NT 4.0 e anterior. Por padrão, o grupo de identidade especial Todos são membros desse grupo. Adicione usuários a esse grupo somente se eles estiverem executando Windows NT 4.0 ou anterior. Aviso Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). O grupo de Acesso Compatível pré-Windows 2000 se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Operadores de ImpressãoOs membros desse grupo podem gerenciar, criar, compartilhar e excluir impressoras que estão conectadas aos controladores de domínio no domínio. Eles também podem gerenciar objetos de impressora do Active Directory no domínio. Os membros desse grupo podem entrar localmente e desligar controladores de domínio no domínio. Esse grupo não tem membros padrão. Como os membros desse grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio no domínio, adicione usuários com cuidado. Esse grupo não pode ser renomeado, excluído ou removido. O grupo Operadores de Impressão se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory. Para obter mais informações, consulte Atribuir configurações de permissão de administrador de impressão delegada e impressora em Windows Server 2012.
Usuários protegidosOs membros do grupo Usuários Protegidos têm proteção extra contra o comprometimento de credenciais durante os processos de autenticação. Este grupo de segurança foi projetado como parte de uma estratégia para proteger e gerenciar com eficiência as credenciais na empresa. Os membros desse grupo têm automaticamente proteção não configurável aplicada às suas contas. A associação ao grupo Usuários protegidos visa restringir e proteger proativamente por padrão. A única maneira de modificar a proteção de uma conta é remover a conta do grupo de segurança. Esse grupo global relacionado ao domínio dispara proteção não configurável em dispositivos e computadores host, começando com os sistemas operacionais Windows Server 2012 R2 e Windows 8.1. Ele também dispara proteção não configurável em controladores de domínio em domínios que têm um controlador de domínio primário executando Windows Server 2016 ou Windows Server 2012 R2. Essa proteção reduz consideravelmente o volume de memória das credenciais quando os usuários fazem logon em computadores na rede de um computador não comprometido. Dependendo do nível funcional de domínio da conta, os membros do grupo Usuários Protegidos são protegidos ainda mais devido a alterações de comportamento nos métodos de autenticação com suporte no Windows:
O grupo Usuários Protegidos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory. Esse grupo foi introduzido no Windows Server 2012 R2. Para obter mais informações sobre como esse grupo funciona, consulte o grupo de segurança Usuários Protegidos. A tabela a seguir especifica as propriedades do grupo Usuários Protegidos:
Servidores RAS e IASOs computadores que são membros do grupo RAS e servidores IAS, quando configurados corretamente, podem usar serviços de acesso remoto. Por padrão, esse grupo não tem membros. Computadores que executam o RRAS (Serviço de Roteamento e Acesso Remoto) e serviços de acesso remoto, como IAS (Serviço de Autenticação da Internet) e Servidores de Política de Rede, são adicionados automaticamente ao grupo. Os membros desse grupo têm acesso a determinadas propriedades de objetos do Usuário, como restrições de conta de leitura, informações de logon de leitura e informações de acesso remoto de leitura. O grupo RAS e IAS Servers se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Servidores de Ponto de Extremidade do RDSOs servidores que são membros do grupo servidores de ponto de extremidade rds podem executar máquinas virtuais e sessões de host em que programas RemoteApp do usuário e áreas de trabalho virtuais pessoais são executadas. Você deve preencher esse grupo em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores host de sessão e os servidores de Host de Virtualização de Área de Trabalho Remota usados na implantação devem estar nesse grupo. Para obter informações sobre o RDS (Serviços de Área de Trabalho Remota), consulte áreas de trabalho do host e aplicativos nos Serviços de Área de Trabalho Remota.
Servidores de Gerenciamento de RDSVocê pode usar servidores que são membros do grupo servidores de gerenciamento rds para concluir ações administrativas rotineiras em servidores que executam RDS. Você deve preencher esse grupo em todos os servidores em uma implantação de RDS. Os servidores que executam o serviço de Gerenciamento Central de RDS devem ser incluídos nesse grupo.
Servidores de Acesso Remoto rdsOs servidores no grupo servidores de acesso remoto rds fornecem aos usuários acesso a programas RemoteApp e áreas de trabalho virtuais pessoais. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Você deve preencher esse grupo em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso Web de Área de Trabalho Remota que são usados na implantação devem estar nesse grupo. Para obter mais informações, consulte áreas de trabalho do host e aplicativos nos Serviços de Área de Trabalho Remota.
Controladores de Domínio somente leituraEsse grupo é composto pelos RODCs no domínio. Um RODC possibilita que as organizações implantem facilmente um controlador de domínio em cenários em que a segurança física não pode ser garantida, como em locais de filiais ou quando o armazenamento local de todas as senhas de domínio é considerado uma ameaça primária, como em uma função voltada para extranet ou aplicativo. Como você pode delegar a administração de um RODC a um usuário de domínio ou grupo de segurança, um RODC é adequado para um site que não deve ter um usuário que seja membro do grupo Administradores de Domínio. Um RODC tem a seguinte funcionalidade:
Para obter mais informações, consulte Noções básicas sobre planejamento e implantação para controladores de domínio somente leitura.
Usuários da Área de Trabalho RemotaUse o grupo Usuários da Área de Trabalho Remota em um servidor Host de Sessão de Área de Trabalho Remota para conceder aos usuários e grupos permissões para se conectarem remotamente a um servidor host de sessão de área de trabalho remota. Esse grupo não pode ser renomeado, excluído ou removido. O grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). O grupo Usuários da Área de Trabalho Remota aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Usuários do gerenciamento remotoOs membros do grupo Usuários de Gerenciamento Remoto podem acessar recursos da WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como WS-Management por meio do serviço de Gerenciamento Remoto do Windows. O acesso aos recursos do WMI aplica-se somente a namespaces WMI que concedem acesso ao usuário. Use o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores por meio do console Gerenciador do Servidor. Use o grupo WinRMRemoteWMIUsers\_ para permitir que os usuários executem remotamente Windows PowerShell comandos. Para obter mais informações, consulte o que há de novo no MI? e sobre o WMI.
ReplicadorComputadores que são membros do grupo Replicador dão suporte à replicação de arquivo em um domínio. Os sistemas operacionais Windows Server usam o FRS (Serviço de Replicação de Arquivos) para replicar políticas do sistema e scripts de logon armazenados na pasta Volume do Sistema (pasta sysvol). Cada controlador de domínio mantém uma cópia da pasta sysvol para que os clientes de rede acessem. O FRS também pode replicar dados para o DFS (Sistema de Arquivos Distribuído) e sincronizar o conteúdo de cada membro em um conjunto de réplicas conforme definido pelo DFS. O FRS pode copiar e manter arquivos e pastas compartilhados em vários servidores simultaneamente. Quando ocorrem alterações, o conteúdo é sincronizado imediatamente dentro de sites e em um agendamento entre sites. Aviso No Windows Server 2008 R2, você não pode usar o FRS para replicar pastas DFS ou dados personalizados (não sysvol). Um controlador de domínio do Windows Server 2008 R2 ainda pode usar o FRS para replicar o conteúdo do recurso compartilhado de pasta sysvol em um domínio que usa FRS para replicar o recurso compartilhado de pasta sysvol entre controladores de domínio. No entanto, os servidores do Windows Server 2008 R2 não podem usar o FRS para replicar o conteúdo de qualquer conjunto de réplicas, exceto o recurso compartilhado de pasta sysvol. O serviço de Replicação dfs é uma substituição para FRS. Você pode usar a Replicação dfs para replicar o conteúdo de um recurso compartilhado de pasta sysvol, pastas DFS e outros dados personalizados (não sysvol). Você deve migrar todos os conjuntos de réplicas FRS não sysvol para a Replicação dfs. Para obter mais informações, consulte:
Administradores de esquemasOs membros do grupo administradores de esquema podem modificar o esquema do Active Directory. Esse grupo existe apenas no domínio raiz de uma floresta de domínios do Active Directory. Esse grupo será um grupo Universal se o domínio estiver no modo nativo. Esse grupo será um grupo global se o domínio estiver no modo misto. O grupo está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo tem acesso administrativo completo ao esquema. Qualquer um dos grupos de administradores de serviços no domínio raiz pode modificar a associação desse grupo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros podem modificar o esquema, que rege a estrutura e o conteúdo de todo o diretório. Para obter mais informações, consulte O que é o esquema do Active Directory? O grupo de administradores de esquema se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Operadores de ServidoresOs membros do grupo Operadores de Servidor podem administrar controladores de domínio. Esse grupo existe somente em controladores de domínio. Por padrão, o grupo não tem membros. Os membros do grupo Operadores de Servidor podem executar as seguintes ações: entrar em um servidor interativamente, criar e excluir recursos compartilhados de rede, iniciar e parar serviços, fazer backup e restaurar arquivos, formatar a unidade de disco rígido do computador e desligar o computador. Esse grupo não pode ser renomeado, excluído ou removido. Por padrão, esse grupo interno não tem membros. O grupo tem acesso às opções de configuração do servidor em controladores de domínio. Sua associação é controlada pelos grupos de administradores de serviços Administradores e Administradores de Domínio no domínio e pelo grupo administradores corporativos no domínio raiz da floresta. Os membros deste grupo não podem alterar nenhuma associação de grupo administrativo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso físico aos controladores de domínio. Os membros desse grupo podem executar tarefas de manutenção, como backup e restauração, e podem alterar binários instalados nos controladores de domínio. Consulte os direitos de usuário padrão do grupo na tabela a seguir. O grupo Operadores de Servidor se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Administradores de réplica de armazenamentoOs membros do grupo Administradores de Réplica de Armazenamento têm acesso completo e irrestrito a todos os recursos da Réplica de Armazenamento. O grupo Administradores de Réplica de Armazenamento aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Contas Gerenciadas pelo SistemaA associação do grupo Contas Gerenciadas pelo Sistema é gerenciada pelo sistema. O grupo Contas Gerenciadas do Sistema aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Servidores de Licença do Terminal ServerOs membros do grupo Servidores de Licença do Terminal Server podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças. O grupo é usado para rastrear e relatar o uso de TS por USUÁRIO CAL. Uma CAL TS por Usuário dá a um usuário o direito de acessar uma instância do Terminal Server de um número ilimitado de computadores ou dispositivos cliente. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido. Para obter mais informações sobre esse grupo de segurança, consulte a configuração do grupo de segurança do Servidor de Licenças do Terminal Services. O grupo Servidores de Licença do Terminal Server se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
UsuáriosOs membros do grupo Usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema. Os membros desse grupo podem executar a maioria dos aplicativos. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. Quando um computador ingressa em um domínio, o grupo Usuários de Domínio é adicionado ao grupo Usuários no computador. Os usuários podem realizar tarefas como executar um aplicativo, usar impressoras locais e de rede, desligar o computador e bloquear o computador. Os usuários poderão instalar aplicativos que só poderão usar se o programa de instalação do aplicativo der suporte à instalação por usuário. Esse grupo não pode ser renomeado, excluído ou removido. O grupo Usuários se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory. Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
Acesso à Autorização do WindowsOs membros desse grupo têm acesso ao atributo GroupsGlobalAndUniversal de token computado em objetos user. Alguns aplicativos têm recursos que leem o atributo TGGAU (grupos de token- global e universal) em objetos de conta de usuário ou em objetos de conta de computador no AD DS. Algumas funções Win32 facilitam a leitura do atributo TGGAU. Os aplicativos que leem esse atributo ou que chamam uma API (uma função) que lê esse atributo não têm êxito se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido. O grupo windows Authorization Access aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
WinRMRemoteWMIUsers_Em Windows Server 2012 e Windows 8, uma guia Compartilhar foi adicionada à interface do usuário configurações de segurança avançada. Essa guia exibe as propriedades de segurança de um compartilhamento de arquivos remoto. Para exibir essas informações, você deve ter as seguintes permissões e associações, conforme apropriado para a versão do Windows Server em que o servidor de arquivos está em execução. O grupo WinRMRemoteWMIUsers_ se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Em Windows Server 2012, a funcionalidade assistência negada do Access adiciona o grupo Usuários Autenticados ao grupo de WinRMRemoteWMIUsers__ local. Quando a funcionalidade de Assistência Negada do Access estiver habilitada, todos os usuários autenticados que tiverem permissões de leitura para o compartilhamento de arquivos poderão exibir as permissões de compartilhamento de arquivos. Observação O grupo WinRMRemoteWMIUsers__ permite executar comandos Windows PowerShell remotamente. Em contraste, você normalmente usa o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores usando o console Gerenciador do Servidor.
Confira também
Recursos adicionaisRecursos adicionaisNeste artigoQuais os três dispositivos que representam exemplos de controles de acesso físico?Com a colaboração de equipes reduzidas de seguranças e/ou recepcionistas, as tecnologias de controle de acesso físico, tais como os smart locks e smart cards, identificação biométrica, catracas eletrônicas, câmeras IP, entre outras, eliminam a possibilidade de acesso não autorizado aos espaços monitorados.
Quais são os três exemplos de controlos de acesso administrativo escolha três?Tipos de controle. administrativos. ... . Políticas e procedimentos. ... . Criptografia. ... . Reports de violação. ... . Controles de aquecimento, ventilação e ar condicionado (HVAC) ... . Sensores de movimentos. ... . Autenticação.. Quais são os três dispositivos que representam exemplos de controles de acesso físico escolha três Select one or more?2 / 2 ptsPergunta 19 Quais são os três dispositivos que representam exemplos de controles de acesso físico? (Escolha três.) cadeados Correto! Correto! roteadores cartões de acesso Correto!
Quais os três protocolos que usam algoritmos de chave assimétrica escolha três?Exemplos de protocolos usando algoritmos de chave assimétrica incluem:. S/MIME.. GPG, uma implementação de OpenPGP.. Troca de chave pela Internet.. ZRTP, um protocolo seguro VoIP.. Secure Socket Layer, agora codificado como o padrão IETF.. Segurança de camada de transporte (TLS). |