Grupos de segurança do Ative Directory

Este artigo discute grupos de segurança padrão do Ative Directory, escopo de grupo e funções de grupo.

O que é um grupo de segurança no Ative Directory?

O Ative Directory tem duas formas de entidades de segurança comuns: contas de usuário e contas de computador. Essas contas representam uma entidade física que é uma pessoa ou um computador. Uma conta de usuário também pode ser usada como uma conta de serviço dedicada para alguns aplicativos.

Os grupos de segurança são uma maneira de coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis.

No sistema operacional Windows Server, várias contas internas e grupos de segurança são pré-configurados com os direitos e permissões apropriados para executar tarefas específicas. No Ative Directory, as responsabilidades administrativas são separadas em dois tipos de administradores:

• Administradores de serviços: responsáveis pela manutenção e entrega dos Serviços de Domínio Ative Directory (AD DS), incluindo a gestão de controladores de domínio e a configuração do AD DS
• Administradores de dados: responsáveis pela manutenção dos dados armazenados no AD DS e em servidores e estações de trabalho membros do domínio

Como funcionam os grupos de segurança do Ative Directory

Você pode usar grupos para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com utilizadores individuais ajuda-o a simplificar a manutenção e administração da rede.

O Ative Directory tem dois tipos de grupos:

• Grupos de segurança: usados para atribuir permissões a recursos compartilhados.
• Grupos de distribuição: Usado para criar listas de distribuição de e-mail.

Grupos de segurança

Os grupos de segurança podem fornecer uma maneira eficiente de atribuir acesso a recursos em sua rede. Usando grupos de segurança, você pode:

• Atribua direitos de usuário a grupos de segurança no Ative Directory.

  Você pode atribuir direitos de usuário a um grupo de segurança para determinar o que os membros desse grupo podem fazer dentro do escopo de um domínio ou floresta. Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança quando o Ative Directory é instalado para ajudar os administradores a definir a função administrativa de uma pessoa no domínio.

  Por exemplo, um usuário que você adiciona ao grupo Operadores de Backup no Ative Directory pode fazer backup e restaurar arquivos e diretórios localizados em cada controlador de domínio no domínio. O usuário pode concluir essas ações porque, por padrão, os direitos de usuário Arquivos e diretórios de backup e Restaurar arquivos e diretórios são atribuídos automaticamente ao grupo Operadores de backup. Portanto, os membros desse grupo herdam os direitos de usuário atribuídos a esse grupo.

  Você pode usar a Diretiva de Grupo para atribuir direitos de usuário a grupos de segurança para delegar tarefas específicas. Para obter mais informações sobre como usar a Diretiva de Grupo, consulte Atribuição de direitos de usuário.

• Atribua permissões a grupos de segurança para recursos.

  As permissões são diferentes dos direitos de usuário. As permissões são atribuídas a um grupo de segurança para um recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle total ou Leitura. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso a grupos de segurança padrão, como o grupo Operadores de Conta ou o grupo Administradores de Domínio.

  Os grupos de segurança são listados em listas de controle de acesso discricionário (DACLs) que definem permissões em recursos e objetos. Quando os administradores atribuem permissões para recursos como compartilhamentos de arquivos ou impressoras, eles devem atribuir essas permissões a um grupo de segurança em vez de a usuários individuais. As permissões são atribuídas uma vez ao grupo em vez de várias vezes a cada usuário individual. Cada conta adicionada a um grupo recebe os direitos atribuídos a esse grupo no Ative Directory. O usuário recebe permissões definidas para esse grupo.

Você pode usar um grupo de segurança como uma entidade de email. Enviar uma mensagem de e-mail para um grupo de segurança envia a mensagem para todos os membros do grupo.

Grupos de distribuição

Você pode usar grupos de distribuição apenas para enviar emails para coleções de usuários usando um aplicativo de email como o Exchange Server. Os grupos de distribuição não estão habilitados para segurança, portanto, não é possível incluí-los nas DACLs.

Âmbito do grupo

Cada grupo tem um escopo que identifica a extensão em que o grupo é aplicado na árvore ou floresta do domínio. O escopo de um grupo define as áreas da rede onde as permissões podem ser concedidas para o grupo. O Ative Directory define os três escopos de grupo a seguir:

• Universal
• Global
• Domínio Local

A tabela a seguir descreve os três escopos de grupo e como eles funcionam como grupos de segurança:

Grupos de identidade especiais

Um grupo de identidade especial é onde certas identidades especiais são agrupadas. Os grupos de identidade especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias. Esses grupos incluem Criador Proprietário, Lote e Utilizador Autenticado.

Para obter mais informações, consulte Grupos de identidade especiais.

Grupos de segurança padrão

Os grupos padrão, como o grupo Administradores do Domínio, são grupos de segurança criados automaticamente quando você cria um domínio do Ative Directory. Esses grupos predefinidos podem ajudá-lo a controlar o acesso a recursos compartilhados e delegar funções administrativas específicas em todo o domínio.

Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário. Esses direitos autorizam os membros do grupo a executar ações específicas em um domínio, como entrar em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup pode executar operações de backup para todos os controladores de domínio no domínio.

Quando você adiciona um usuário a um grupo, o usuário recebe todos os direitos de usuário atribuídos ao grupo, incluindo todas as permissões atribuídas ao grupo para quaisquer recursos compartilhados.

Os grupos padrão estão localizados no container Builtin ou no container Users na ferramenta Active Directory Users and Computers. O contêiner Builtin inclui grupos definidos com o escopo Local do Domínio. O contêiner Usuários inclui grupos definidos com escopo Global e grupos definidos com escopo Local de Domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou unidades organizacionais dentro do domínio. Mas não é possível movê-los para outros domínios.

Alguns dos grupos administrativos listados neste artigo e todos os membros desses grupos são protegidos por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico. Este descritor é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em uma das contas ou grupos administrativos seja substituída pelas configurações protegidas.

O descritor de segurança está presente no objeto AdminSDHolder. Se desejar modificar as permissões em um dos grupos de administradores de serviço ou em qualquer uma de suas contas de membro, modifique o descritor de segurança no objeto AdminSDHolder para que ele seja aplicado de forma consistente. Tenha cuidado ao fazer essas modificações, pois também está alterando as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.

Cada security group padrão tem um identificador exclusivo que consiste em vários componentes. Entre esses componentes está um ID relativo (RID), que é exclusivo dentro do domínio do grupo.

Grupos de segurança padrão do Ative Directory

Os links seguintes levam a descrições dos grupos padrão localizados no contêiner Builtin ou no contêiner Usuários no Active Directory.

• Operadores de Assistência ao Controlo de Acessos
• Operadores de Contas
• Administrators
• Replicação de senha RODC permitida
• Operadores de backup
• Acesso DCOM ao Serviço de Certificados
• Publicadores de Certificados
• Controladores de domínio clonáveis
• Operadores Criptográficos
• Replicação de senha RODC negada
• Proprietários de dispositivos
• Administradores DHCP
• Utilizadores DHCP
• Usuários COM distribuídos
• DnsUpdateProxy
• DnsAdmins
• Administradores de Domínio
• Computadores de Domínio
• Controladores de domínio
• Convidados do Domínio
• Utilizadores do Domínio
• Administradores Empresariais
• Administradores de chaves corporativas
• Controladores de domínio somente leitura corporativos
• Leitores de log de eventos
• Proprietários de criadores de políticas de grupo
• Guests
• Hyper-V Administradores
• IIS_IUSRS
• Construtores de confiança florestal de entrada
• Administradores-chave
• Operadores de configuração de rede
• Usuários do log de desempenho
• Usuários do Monitor de Desempenho
• Acesso compatível com pré-Windows 2000
• Operadores de impressão
• Utilizadores Protegidos
• Servidores RAS e IAS
• Servidores de ponto de extremidade RDS
• Servidores de gerenciamento RDS
• Servidores de Acesso Remoto RDS
• Controladores de Domínio Apenas de Leitura
• Utilizadores do Ambiente de Trabalho Remoto
• Usuários de gerenciamento remoto
• Replicator
• Administradores de esquema
• Operadores de servidor
• Administradores de réplica de armazenamento
• Contas gerenciadas pelo sistema
• Servidores de licença do Terminal Server
• Users
• Acesso de Autorização do Windows
• WinRMRemoteWMIUsers__

Operadores de Assistência ao Controlo de Acessos

Os membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos no computador. Esse grupo não pode ser renomeado, excluído ou removido.

Operadores de Contas

O grupo Operadores de Conta concede privilégios limitados de criação de conta a um usuário. Os membros desse grupo podem criar e modificar a maioria dos tipos de contas, incluindo contas para usuários, grupos locais e grupos globais. Os membros do grupo podem entrar localmente nos controladores de domínio.

Os membros do grupo Operadores de Conta não podem modificar os direitos de utilizador. Além disso, os membros desse grupo não podem gerenciar as seguintes contas e grupos:

• Conta de usuário administrador
• Contas de utilizador de administradores
• Administrators
• Operadores de servidor
• Operadores de Contas
• Operadores de backup
• Operadores de impressão

Esse grupo não pode ser renomeado, excluído ou removido.

Administrators

Os membros do grupo Administradores têm acesso completo e irrestrito ao computador. Se o computador for promovido a controlador de domínio, os membros do grupo Administradores terão acesso irrestrito ao domínio.

Replicação de senha RODC permitida

O objetivo desse grupo de segurança é gerenciar uma diretiva de replicação de senha de controlador de domínio somente leitura (RODC). Este grupo não tem membros por padrão. Como resultado, os novos RODCs não armazenam em cache as credenciais do usuário. O grupo Replicação de senha RODC negada contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha RODC Negada substitui o grupo Replicação de Senha RODC Permitida. Esse grupo não pode ser renomeado, excluído ou removido.

Operadores de backup

Os membros do grupo Operadores de Backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem entrar e desligar o computador. Esse grupo não pode ser renomeado, excluído ou removido. Por padrão, esse grupo interno não tem membros e pode executar operações de backup e restauração em controladores de domínio. Os membros dos seguintes grupos podem modificar a associação ao grupo Operadores de Backup: administradores de serviço padrão, administradores de domínio no domínio e administradores de empresa. Os membros do grupo Operadores de Backup não podem modificar a associação de nenhum grupo administrativo. Embora os membros desse grupo não possam alterar as configurações do servidor ou modificar a configuração do diretório, eles têm as permissões necessárias para substituir arquivos (incluindo arquivos do sistema operacional) em controladores de domínio. Como os membros desse grupo podem substituir arquivos em controladores de domínio, eles são considerados administradores de serviço.

Acesso DCOM ao Serviço de Certificados

Os membros desse grupo podem se conectar a autoridades de certificação na empresa. Esse grupo não pode ser renomeado, excluído ou removido.

Editoras de Certificados

Os membros do grupo Editores de Certificados estão autorizados a publicar certificados para objetos de usuário no Ative Directory. Esse grupo não pode ser renomeado, excluído ou removido.

Controladores de domínio clonáveis

Os membros do grupo Controladores de Domínio Cloneable que são controladores de domínio podem ser clonados. No Windows Server 2012 R2 e no Windows Server 2012, você pode implantar controladores de domínio copiando um controlador de domínio virtual existente. Em um ambiente virtual, não é possível implantar repetidamente uma imagem de servidor preparada usando a Sysprep.exe ferramenta. Promover o servidor para um controlador de domínio e, em seguida, concluir mais requisitos de configuração para implantar cada controlador de domínio (incluindo a adição do controlador de domínio virtual a este grupo de segurança) também não é permitido. Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações, consulte Virtualizando com segurança os Serviços de Domínio Ative Directory (AD DS).

Operadores Criptográficos

Os membros deste grupo estão autorizados a realizar operações criptográficas. Este grupo de segurança configura o Firewall do Windows para IPsec no modo Critérios Comuns. Esse grupo não pode ser renomeado, excluído ou removido.

Replicação de senha RODC negada

As senhas dos membros do grupo Replicação de Senha RODC Negada não podem ser replicadas para nenhum RODC.

O objetivo desse grupo de segurança é gerenciar uma política de replicação de senha RODC. Este grupo contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha RODC Negada substitui o grupo Replicação de Senha RODC Permitida .

Proprietários de dispositivos

Quando o grupo Proprietários de Dispositivos não tiver membros, recomendamos que não altere a configuração predefinida para este grupo de segurança. Alterar a configuração padrão pode prejudicar cenários futuros que dependem desse grupo. Atualmente, o grupo Proprietários de Dispositivos não é usado no Windows.

Administradores DHCP

Os membros do grupo Administradores DHCP podem criar, excluir e gerenciar várias áreas do escopo do servidor. Os direitos de grupo incluem a capacidade de fazer backup e restaurar o banco de dados DHCP (Dynamic Host Configuration Protocol). Embora esse grupo tenha direitos administrativos, ele não faz parte do grupo Administradores porque essa função é limitada aos serviços DHCP.

Utilizadores DHCP

Os membros do grupo Usuários DHCP podem ver quais escopos estão ativos ou inativos, incluindo quais endereços IP são atribuídos. Os membros do grupo também podem visualizar problemas de conectividade se o servidor DHCP não estiver configurado corretamente. Este grupo está limitado ao acesso só de leitura ao servidor DHCP.

Usuários COM distribuídos

Os membros do grupo Usuários COM Distribuídos podem iniciar, ativar e usar objetos DCOM (Distributed Component Object Model) no computador. Microsoft Component Object Model (COM) é um sistema independente de plataforma, distribuído, orientado a objetos para a criação de componentes de software binários que podem interagir. Ao usar objetos DCOM, você pode distribuir seus aplicativos entre os locais que fazem mais sentido para você e para os aplicativos. Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações, que também é chamada de função FSMO (flexible single master operations ). Esse grupo não pode ser renomeado, excluído ou removido.

DnsUpdateProxy

Os membros do grupo DnsUpdateProxy são clientes DNS (Sistema de Nomes de Domínio). Eles têm permissão para executar atualizações dinâmicas em nome de outros clientes, como servidores DHCP. Um servidor DNS pode desenvolver registros de recursos obsoletos quando um servidor DHCP é configurado para registrar dinamicamente registros de recursos de host (A) e ponteiro (PTR) em nome de clientes DHCP usando a atualização dinâmica. Adicionar clientes a esse grupo de segurança atenua esse cenário.

Para proteger contra registros não seguros ou permitir que membros do grupo DnsUpdateProxy registrem registros em zonas que permitem apenas atualizações dinâmicas seguras, você deve criar uma conta de usuário dedicada. Você também deve configurar os servidores DHCP para executar atualizações dinâmicas de DNS usando o nome de usuário, a senha e o domínio dessa conta. Vários servidores DHCP podem usar as credenciais de uma conta de usuário dedicada. Esse grupo só existe se a função de servidor DNS estiver ou tiver sido instalada em um controlador de domínio no domínio.

Para obter mais informações, consulte Propriedade do registro DNS e o grupo DnsUpdateProxy.

DnsAdmins

Os membros do grupo DnsAdmins têm acesso às informações de DNS da rede. Por padrão, os membros deste grupo recebem as seguintes permissões: Ler, Escrever, Criar todos os objetos filho, Eliminar objetos filho e Permissões especiais. Esse grupo só existe se a função de servidor DNS estiver ou tiver sido instalada em um controlador de domínio no domínio.

Para obter mais informações sobre segurança e DNS, consulte DNSSEC no Windows Server 2012.

Administradores de Domínio

Os membros do grupo de segurança Administradores do Domínio estão autorizados a administrar o domínio. Por padrão, o grupo Administradores do Domínio é membro do grupo Administradores em todos os computadores que ingressam em um domínio, incluindo os controladores de domínio. O grupo Administradores do Domínio é o proprietário padrão de qualquer objeto criado no Ative Directory para o domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores.

O grupo Administradores do Domínio controla o acesso a todos os controladores de domínio em um domínio e pode modificar a associação de todas as contas administrativas no domínio. Os membros dos grupos de administradores de serviço em seu domínio (Administradores e Administradores de Domínio) e os membros do grupo Administradores de Empresa podem modificar a associação de Administradores de Domínio. Esse grupo é considerado uma conta de administrador de serviço porque seus membros têm acesso total aos controladores de domínio em um domínio.

Computadores de Domínio

Esse grupo pode incluir todos os computadores e servidores que ingressam no domínio, excluindo controladores de domínio. Por predefinição, qualquer conta de computador criada torna-se automaticamente membro deste grupo.

Controladores de domínio

O grupo Controladores de Domínio pode incluir todos os controladores de domínio no domínio. Novos controladores de domínio são adicionados automaticamente a este grupo.

Convidados do Domínio

O grupo de Convidados do Domínio inclui a conta de Convidado interna do domínio. Quando os membros desse grupo entram como convidados locais em um computador associado a um domínio, um perfil de domínio é criado no computador local.

Utilizadores do Domínio

O grupo Usuários do Domínio inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, ela é adicionada a esse grupo por padrão.

Você pode usar esse grupo para representar todos os usuários no domínio. Por exemplo, se pretender que todos os utilizadores do domínio tenham acesso a uma impressora, pode atribuir permissões para a impressora a este grupo. Ou você pode adicionar o grupo Usuários do Domínio a um grupo Local no servidor de impressão que tenha permissões para a impressora.

Administradores Empresariais

O grupo Administradores de Empresa existe apenas no domínio raiz de uma floresta de domínios do Ative Directory. O grupo é um grupo Universal se o domínio estiver no modo nativo. O grupo é um grupo Global se o domínio estiver no modo misto. Os membros deste grupo estão autorizados a fazer alterações em toda a floresta do Active Directory, como adicionar domínios filhos.

Por padrão, o único membro do grupo é a conta de Administrador do domínio raiz da floresta. Esse grupo é adicionado automaticamente ao grupo Administradores em todos os domínios da floresta e fornece acesso completo à configuração de todos os controladores de domínio. Os membros deste grupo podem modificar a associação de todos os grupos administrativos. Os membros dos grupos de administradores de serviço padrão no domínio raiz podem modificar a associação de administradores de empresa. Este grupo é considerado uma conta de administrador de serviço.

Administradores de chaves corporativas

Os membros desse grupo podem executar ações administrativas em objetos-chave dentro da floresta.

Controladores de Domínio Somente de Leitura Empresariais

Os membros deste grupo são RODCs na empresa. Exceto para senhas de conta, um RODC contém todos os objetos e atributos do Ative Directory que um controlador de domínio gravável detém. No entanto, não é possível fazer alterações no banco de dados armazenado no RODC. As alterações devem ser feitas em um controlador de domínio gravável e, em seguida, replicadas para o RODC.

Os RODCs abordam alguns dos problemas que são comumente encontrados em filiais. Esses locais podem não ter um controlador de domínio ou podem ter um controlador de domínio gravável, mas não a segurança física, a largura de banda da rede ou a experiência local para suportá-lo.

Para obter mais informações, consulte O que é um RODC?.

Leitores de log de eventos

Os membros desse grupo podem ler logs de eventos de computadores locais. O grupo é criado quando o servidor é promovido a controlador de domínio. Esse grupo não pode ser renomeado, excluído ou removido.

Proprietários do Criador de Políticas de Grupo

Esse grupo está autorizado a criar, editar e excluir Objetos de Diretiva de Grupo no domínio. Por padrão, o único membro do grupo é Administrador.

Para obter informações sobre outros recursos que você pode usar com esse grupo de segurança, consulte Visão geral da Diretiva de Grupo.

Guests

Os membros do grupo Convidados e Usuários têm acesso semelhante por padrão. A diferença é que a conta de convidado tem mais restrições. Por padrão, o único membro do grupo Convidados é a conta Convidado. O grupo Convidados possibilita que usuários ocasionais ou únicos entrem com privilégios limitados na conta de convidado integrada de um computador.

Quando um membro do grupo Convidados termina sessão, todo o perfil é eliminado. A exclusão de perfil inclui tudo que está armazenado no diretório %userprofile%, incluindo as informações da hive de registro do usuário, ícones personalizados da área de trabalho e outras configurações específicas do usuário. Este facto implica que um hóspede tem de utilizar um perfil temporário para iniciar sessão no sistema. Este grupo de segurança interage com a seguinte definição de Política de Grupo: Não iniciar sessão de utilizadores com perfis temporários. Para aceder a esta configuração, abra o editor de Gestão de Políticas de Grupo e vá para Configuração do Computador>Modelos Administrativos>Sistema>Perfis de Utilizador.

Esse grupo não pode ser renomeado, excluído ou removido.

Administradores de Hyper-V

Os membros do grupo Administradores de Hyper-V têm acesso completo e irrestrito a todos os recursos do Hyper-V. Adicionar membros a este grupo ajuda a reduzir o número de membros necessários no grupo Administradores e separa ainda mais o acesso. Esse grupo não pode ser renomeado, excluído ou removido.

IIS_IUSRS

IIS_IUSRS é um grupo interno usado pelo IIS (Serviços de Informações da Internet), começando com o IIS 7. O SO garante que cada conta e grupo incorporado tenha um SID exclusivo. O IIS 7 substitui a conta IUSR_MachineName e o grupo IIS_WPG pelo grupo IIS_IUSRS para garantir que os nomes reais que a nova conta e o grupo usam nunca sejam localizados. Por exemplo, independentemente do idioma do sistema operacional Windows instalado, o nome da conta do IIS é IUSR e o nome do grupo é IIS_IUSRS.

Para obter mais informações, consulte Compreender contas de usuário e grupo internas no IIS 7.

Construtores de Fidedignidade de Floresta de Entrada

Os membros do grupo Construtores de Confiança de Floresta de Entrada podem criar relações de confiança unidirecionais de entrada para uma floresta. O Ative Directory fornece segurança em vários domínios ou florestas por meio de relações de confiança de domínio e floresta. Antes que a autenticação possa ocorrer entre relações de confiança, o Windows deve determinar se o domínio solicitado é por um usuário, computador ou serviço que tenha uma relação de confiança com o domínio de entrada da conta solicitante.

Para fazer essa determinação, o sistema de segurança do Windows calcula um caminho de confiança entre o controlador de domínio para o servidor que recebe a solicitação e um controlador de domínio no domínio da conta solicitante. Um canal seguro se estende a outros domínios do Ative Directory por meio de relações de confiança entre domínios. Esse canal seguro é usado para obter e verificar informações de segurança, incluindo SIDs para usuários e grupos.

Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações, consulte Como funcionam as confianças de domínio e floresta.

Administradores-chave

Os membros desse grupo podem executar ações administrativas em objetos-chave dentro do domínio.

Operadores de configuração de rede

Os membros do grupo Operadores de Configuração de Rede têm os seguintes privilégios administrativos para gerenciar a configuração de recursos de rede:

• Modifique as propriedades TCP/IP (Transmission Control Protocol/Internet Protocol) para uma conexão de rede local (LAN), que inclui o endereço IP, a máscara de sub-rede, o gateway padrão e os servidores de nomes
• Renomeie as conexões LAN ou conexões de acesso remoto que estão disponíveis para todos os usuários
• Ativar ou desativar uma ligação LAN
• Modificar as propriedades de todas as conexões de acesso remoto de usuários
• Excluir todas as conexões de acesso remoto dos usuários
• Renomeie todas as conexões de acesso remoto dos usuários
• Emitir ipconfig, ipconfig /releasee ipconfig /renew comandos
• Introduza a chave de desbloqueio de PIN (PUK) para dispositivos móveis de banda larga que suportem um cartão SIM

Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.

Utilizadores do log de desempenho

Os membros do grupo Usuários do Log de Desempenho podem gerenciar contadores de desempenho, logs e alertas localmente no servidor e de clientes remotos sem serem membros do grupo Administradores. Especificamente, os membros deste grupo de segurança:

• Pode usar todos os recursos disponíveis para o grupo Usuários do Monitor de Desempenho.
• Não é possível usar o provedor de eventos de Rastreamento do Kernel do Windows em Conjuntos de Coletores de Dados.

Para que os membros do grupo Usuários do Log de Desempenho iniciem o log de dados ou modifiquem Conjuntos de Coletores de Dados, primeiro deve ser atribuído ao grupo o direito de usuário Fazer logon como um trabalho em lote . Para atribuir esse direito de usuário, use o snap-in Diretiva de Segurança Local no Console de Gerenciamento Microsoft (MMC).

Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Essa conta não pode ser renomeada, excluída ou movida.

Usuários do Monitor de Desempenho

Os membros desse grupo podem monitorar contadores de desempenho em controladores de domínio no domínio, localmente e de clientes remotos, sem serem membros dos grupos Administradores ou Usuários do Log de Desempenho. O Monitor de Desempenho do Windows é um snap-in do MMC que fornece ferramentas para analisar o desempenho do sistema. A partir de um único console, você pode monitorar o desempenho de aplicativos e hardware, personalizar quais dados deseja coletar em logs, definir limites para alertas e ações automáticas, gerar relatórios e visualizar dados de desempenho anteriores de várias maneiras.

Especificamente, os membros deste grupo de segurança:

• Pode usar todos os recursos que estão disponíveis para o grupo Usuários.
• Pode visualizar dados de desempenho em tempo real no Monitor de Desempenho.
• Pode alterar as propriedades de exibição do Monitor de Desempenho durante a visualização de dados.
• Não é possível criar ou modificar Conjuntos de Coletores de Dados.

Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.

Acesso compatível com pré-Windows 2000

Os membros do grupo Acesso Compatível com Pré-Windows 2000 têm acesso de Leitura para todos os usuários e grupos no domínio. Este grupo é fornecido para compatibilidade com versões anteriores para computadores que executam o Windows NT 4.0 e versões anteriores. Por padrão, o grupo de identidade especial Todos é membro desse grupo. Adicione usuários a esse grupo somente se eles executarem o Windows NT 4.0 ou anterior.

Esse grupo não pode ser renomeado, excluído ou removido.

Operadores de impressão

Os membros desse grupo podem gerenciar, criar, compartilhar e excluir impressoras conectadas a controladores de domínio no domínio. Eles também podem gerenciar objetos de impressora do Ative Directory no domínio. Os membros desse grupo podem entrar localmente e desligar controladores de domínio no domínio.

Este grupo não tem membros padrão. Como os membros desse grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio no domínio, adicione usuários com cuidado. Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações, consulte Atribuir administrador de impressão delegado e configurações de permissão de impressora no Windows Server 2012.

Utilizadores Protegidos

Os membros do grupo Usuários Protegidos têm proteção extra contra o comprometimento de credenciais durante os processos de autenticação.

Esse grupo de segurança foi projetado como parte de uma estratégia para proteger e gerenciar credenciais de forma eficaz dentro da empresa. Os membros deste grupo têm automaticamente uma proteção não configurável aplicada às suas contas. A associação ao grupo Usuários Protegidos deve ser restritiva e proativamente segura por padrão. A única maneira de modificar a proteção de uma conta é remover a conta do grupo de segurança.

Esse grupo Global relacionado ao domínio aciona proteção não configurável em dispositivos e computadores host, começando com o Windows Server 2012 R2 e o Windows 8.1. Ele também aciona proteção não configurável em controladores de domínio em domínios que têm um controlador de domínio primário que executa o Windows Server 2012 R2 ou posterior. Essa proteção reduz consideravelmente o espaço de memória das credenciais quando os usuários entram em computadores na rede a partir de um computador não comprometido.

Dependendo do nível funcional de domínio da conta, os membros do grupo Usuários Protegidos ficam ainda mais protegidos devido a alterações de comportamento nos métodos de autenticação suportados no Windows:

• Os membros do grupo Usuários Protegidos não podem se autenticar usando os seguintes SSPs (Provedores de Suporte de Segurança): New Technology LAN Manager (NTLM), Digest Authentication ou CredSSP (Credential Security Support Provider). As palavras-passe não são armazenadas em cache num dispositivo com o Windows 10 ou o Windows 8.1. O dispositivo não consegue autenticar-se num domínio quando a conta é membro do grupo Utilizadores Protegidos.
• O protocolo Kerberos não usa os tipos de criptografia mais fracos Data Encryption Standard (DES) ou Rivest Cipher 4 (RC4) no processo de pré-autenticação. O domínio deve ser configurado para suportar pelo menos o pacote de codificação AES (Advanced Encryption Standard).
• A conta do utilizador não pode ser delegada com delegação restrita ou não restrita de Kerberos. Se o utilizador for membro do grupo Utilizadores Protegidos, as ligações anteriores a outros sistemas poderão falhar.
• Você pode alterar a configuração padrão do tempo de vida dos tíquetes Kerberos de concessão de tíquetes (TGTs) de quatro horas, usando políticas de autenticação e silos no Centro Administrativo do Active Directory. Na configuração padrão, o usuário deve autenticar após quatro horas.

Este grupo foi introduzido no Windows Server 2012 R2. Para obter mais informações sobre como esse grupo funciona, consulte Grupo de segurança Usuários protegidos.

Servidores RAS e IAS

Os computadores que são membros do grupo Servidores RAS e IAS, quando configurados corretamente, podem usar serviços de acesso remoto. Por padrão, esse grupo não tem membros. Os computadores que executam o RRAS (Serviço de Roteamento e Acesso Remoto) e serviços de acesso remoto, como o Serviço de Autenticação da Internet (IAS) e os Servidores de Diretivas de Rede, são adicionados ao grupo automaticamente. Os membros desse grupo têm acesso a determinadas propriedades de objetos de usuário, como Ler Restrições de Conta, Ler Informações de Logon e Ler Informações de Acesso Remoto.

Servidores de ponto de extremidade RDS

Os servidores que são membros do grupo de Servidores de Terminal RDS podem executar máquinas virtuais e hospedar sessões em que são executados programas do utilizador da funcionalidade RemoteApp e áreas de trabalho virtuais pessoais. Deve preencher este grupo nos servidores que executam o Agente de Conexão de Área de Trabalho Remota (RD Connection Broker). Os servidores Host de Sessão e os servidores Host de Virtualização de Área de Trabalho Remota (Host de Virtualização de Área de Trabalho Remota) usados na implantação devem estar nesse grupo. Esse grupo não pode ser renomeado, excluído ou removido.

Para obter informações sobre os Serviços de Área de Trabalho Remota (RDS), consulte Visão geral dos Serviços de Área de Trabalho Remota no Windows Server.

Servidores de gerenciamento RDS

Você pode usar servidores que são membros do grupo Servidores de Gerenciamento de RDS para concluir ações administrativas de rotina em servidores que executam o RDS. Você deve preencher esse grupo em todos os servidores em uma implantação do RDS. Os servidores que executam o serviço de Gerenciamento Central do RDS devem ser incluídos nesse grupo. Esse grupo não pode ser renomeado, excluído ou removido.

Servidores de Acesso Remoto RDS

Os servidores do grupo Servidores de Acesso Remoto RDS fornecem aos usuários acesso aos programas e áreas de trabalho virtuais pessoais do recurso RemoteApp. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Você deve preencher este grupo em servidores que executam o Broker de Conexão RD. Os servidores de Gateway de Área de Trabalho Remota (Gateway RD) e os servidores de Acesso via Web à Área de Trabalho Remota (Acesso via Web RD) usados na implantação devem estar nesse grupo. Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações, consulte Visão geral dos Serviços de Área de Trabalho Remota no Windows Server.

Controladores de domínio só de leitura

Este grupo é composto pelos RODCs no domínio. Um RODC possibilita que as organizações implantem facilmente um controlador de domínio em cenários nos quais a segurança física não pode ser garantida. Um cenário de exemplo é um local de filial ou armazenamento local de todas as senhas de domínio que é considerado uma ameaça principal, como em uma função de extranet ou voltada para aplicações.

Como você pode delegar a administração de um RODC a um usuário de domínio ou grupo de segurança, um RODC é adequado para um site que não deve ter um usuário que seja membro do grupo Administradores do Domínio. Um RODC tem a seguinte funcionalidade:

• Uma base de dados AD DS somente leitura
• Replicação unidirecional
• Cache de credenciais
• Separação de funções de administrador
• Um DNS somente leitura

Para obter mais informações, consulte Noções básicas sobre planejamento e implantação de controladores de domínio Read-Only.

Utilizadores do Ambiente de Trabalho Remoto

Pode utilizar o grupo Utilizadores do Ambiente de Trabalho Remoto num servidor de Anfitrião de Sessões de Ambiente de Trabalho Remoto (Anfitrião de Sessões de RD) para conceder permissões a utilizadores e grupos para se ligarem remotamente a um servidor de Anfitrião de Sessões de RD. Esse grupo não pode ser renomeado, excluído ou removido. O grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO).

Utilizadores de Gestão Remota

Os membros do grupo Usuários de Gerenciamento Remoto podem acessar recursos WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como Serviços Web para Gerenciamento (WS-Management), por meio do serviço Gerenciamento Remoto do Windows. O acesso aos recursos WMI aplica-se somente aos namespaces WMI que concedem acesso ao usuário.

Use o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores por meio do console do Gerenciador do Servidor. Use o grupo WinRMRemoteWMIUsers__ para permitir que os usuários executem comandos do Windows PowerShell remotamente.

Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações, consulte Sobre WMI e O que há de novo no MI?.

Replicator

Os computadores que são membros do grupo Replicator oferecem suporte à replicação de arquivos em um domínio. O Windows Server usa o FRS (Serviço de Replicação de Arquivos) para replicar diretivas do sistema e scripts de entrada armazenados na pasta Volume do Sistema (pasta sysvol). Cada controlador de domínio mantém uma cópia da pasta sysvol para os clientes de rede acessarem. O FRS também pode replicar dados para o DFS (Distributed File System) e sincronizar o conteúdo de cada membro em um conjunto de réplicas, conforme definido pelo DFS. O FRS pode copiar e manter arquivos e pastas compartilhados em vários servidores simultaneamente. Quando ocorrem alterações, o conteúdo é sincronizado imediatamente dentro de sites e em um cronograma entre sites.

Para obter mais informações, consulte os seguintes recursos:

• O FRS (Serviço de Replicação de Arquivos) foi preterido no Windows Server 2008 R2 (Windows)
• Visão geral dos namespaces DFS e da Replicação DFS

Esse grupo não pode ser renomeado, excluído ou removido.

Administradores de esquema

Os membros do grupo Administradores de Esquema podem modificar o esquema do Ative Directory. Esse grupo existe apenas no domínio raiz de uma floresta de domínios do Ative Directory. Este grupo é um grupo Universal se o domínio estiver no modo nativo. Este grupo é um grupo Global se o domínio estiver no modo misto.

Por padrão, o único membro do grupo é a conta de Administrador do domínio raiz da floresta. Este grupo tem acesso administrativo total ao esquema.

Qualquer um dos grupos de administradores de serviço no domínio raiz pode modificar a associação desse grupo. Esse grupo é considerado uma conta de administrador de serviço porque seus membros podem modificar o esquema, que rege a estrutura e o conteúdo de todo o diretório.

Para obter mais informações, consulte O que é o esquema do Ative Directory?

Operadores de servidor

Os membros do grupo Operadores de Servidor podem administrar controladores de domínio. Este grupo existe apenas em controladores de domínio. Por padrão, esse grupo não tem membros e não pode ser renomeado, excluído ou removido. Os membros do grupo Operadores de Servidor podem executar as seguintes ações:

• Entrar em um servidor interativamente
• Criar e excluir recursos compartilhados de rede
• Parar e iniciar serviços
• Fazer backup e restaurar arquivos
• Formatar a unidade de disco rígido do dispositivo
• Desligue o dispositivo

Por padrão, esse grupo interno não tem membros. Este grupo tem acesso às opções de configuração do servidor em controladores de domínio. Sua associação é controlada por meio dos grupos de administradores de serviço Administradores e Administradores de Domínio no domínio e pelo grupo Administradores de Empresa no domínio raiz da floresta. Os membros deste grupo não podem alterar nenhuma associação de grupo administrativo. Esse grupo é considerado uma conta de administrador de serviço porque seus membros têm acesso físico aos controladores de domínio. Os membros desse grupo podem executar tarefas de manutenção, como backup e restauração, e podem alterar binários instalados nos controladores de domínio. Para obter os direitos de usuário padrão do grupo, consulte a tabela a seguir.

Administradores de réplica de armazenamento

Os membros do grupo Administradores de Réplica de Armazenamento têm acesso completo e irrestrito a todos os recursos da ferramenta Réplica de Armazenamento.

Contas gerenciadas pelo sistema

A associação ao grupo Contas Gerenciadas pelo Sistema é gerenciada pelo sistema. Este grupo inclui a Conta Gerenciada do Sistema Padrão (DSMA), que facilita as funções do sistema.

Servidores de licença do Terminal Server

Os membros do grupo Servidores de Licenças do Terminal Server podem atualizar contas de usuário no Ative Directory com informações sobre a emissão de licenças. O grupo é usado para rastrear e relatar o uso da Licença de Acesso do Cliente por Usuário do Terminal Server (TS Per User CAL). Uma CAL TS por usuário dá a um usuário o direito de acessar uma instância do Terminal Server a partir de um número ilimitado de computadores ou dispositivos cliente. Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.

Para obter mais informações sobre esse grupo de segurança, consulte Configuração do grupo de segurança do Servidor de Licenças dos Serviços de Terminal.

Utilizadores

Os membros do grupo Usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema. Os membros desse grupo podem executar a maioria dos aplicativos. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários autenticados. Quando um computador ingressa em um domínio, o grupo Usuários do Domínio é adicionado ao grupo Usuários no computador.

Os usuários podem executar tarefas como executar um aplicativo, usar impressoras locais e de rede, desligar o computador e bloqueá-lo. Os usuários podem instalar aplicativos que só eles podem usar se o programa de instalação do aplicativo suportar a instalação por usuário. Esse grupo não pode ser renomeado, excluído ou removido.

Acesso de Autorização do Windows

Os membros desse grupo têm acesso ao tokenGroupsGlobalAndUniversal atributo em objetos de usuário. Esse acesso é útil, porque alguns recursos do aplicativo leem o token-groups-global-and-universal atributo (TGGAU) em objetos de conta de usuário ou em objetos de conta de computador no AD DS. Algumas funções do Win32 facilitam a leitura do TGGAU atributo. Mas os aplicativos que leem esse atributo ou que chamam uma API que lê esse atributo não terão êxito se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo facilita a concessão de acesso de leitura ao atributo.

Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e mantenha a função de mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.

WinRMRemoteWMIUsers__

A partir do Windows Server 2012 e do Windows 8, a interface do usuário Configurações Avançadas de Segurança contém uma guia Compartilhar . Esta guia exibe as propriedades de segurança de um compartilhamento de arquivos remoto. Para exibir essas informações, você deve ter as seguintes permissões e associações:

• Você deve ser membro do grupo WinRMRemoteWMIUsers__ ou do grupo BUILTIN\Administrators.
• Você deve ter permissões de leitura para o compartilhamento de arquivos.

No Windows Server 2012, a funcionalidade Assistência de Acesso Negado adiciona o grupo Usuários Autenticados ao grupo WinRMRemoteWMIUsers__ local. Quando a funcionalidade Assistência de Acesso Negado está habilitada, todos os usuários autenticados que têm permissões de Leitura para o compartilhamento de arquivos podem exibir as permissões de compartilhamento de arquivos.

Conteúdo relacionado

• Princípios de segurança
• Grupos de identidade especiais
• Visão geral do controle de acesso