Grupos de segurança do Active Directory

Este artigo discute grupos de segurança, escopo de grupo e funções de grupo padrão do Active Directory.

O que é um grupo de segurança no Active Directory?

O Active Directory tem duas formas de entidades de segurança comuns: contas de usuário e contas de computador. Essas contas representam uma entidade física que é uma pessoa ou um computador. Uma conta de usuário também pode ser usada como uma conta de serviço dedicada para alguns aplicativos.

Os grupos de segurança são uma forma de coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis.

No sistema operacional windows server (sistema operacional), várias contas internas e grupos de segurança são pré-configurados com os direitos e permissões apropriados para executar tarefas específicas. No Active Directory, as responsabilidades administrativas são separadas em dois tipos de administradores:

• Administradores de serviços: responsável por manter e fornecer O AD DS (Active Directory Domain Services), incluindo o gerenciamento de controladores de domínio e a configuração do AD DS
• Administradores de dados: responsável por manter os dados armazenados no AD DS e em servidores membros do domínio e estações de trabalho

Como funcionam os grupos de segurança do Active Directory

Você pode usar grupos para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de usuários individuais ajuda você a simplificar a manutenção e a administração da rede.

O Active Directory tem dois tipos de grupos:

• Grupos de segurança: usado para atribuir permissões a recursos compartilhados.
• Grupos de distribuição: usado para criar listas de distribuição de email.

Grupos de segurança

Os grupos de segurança podem fornecer uma forma eficiente de atribuir acesso aos recursos na sua rede. Ao usar grupos de segurança, você pode:

• Atribua direitos de usuário a grupos de segurança no Active Directory.

  Você pode atribuir direitos de usuário a um grupo de segurança para determinar o que os membros desse grupo podem fazer dentro do escopo de um domínio ou floresta. Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança quando o Active Directory é instalado para ajudar os administradores a definir a função administrativa de uma pessoa no domínio.

  Por exemplo, um usuário que você adiciona ao grupo Operadores de Backup no Active Directory pode fazer backup e restaurar arquivos e diretórios localizados em cada controlador de domínio no domínio. O usuário pode realizar essas ações porque, por padrão, os direitos de usuário Fazer backup de arquivos e diretórios e Restaurar arquivos e diretórios são atribuídos automaticamente ao grupo Operadores de Backup. Portanto, os membros desse grupo herdam os direitos de usuário atribuídos ao grupo.

  Use a Política de Grupo para atribuir direitos de usuário aos grupos de segurança para delegar tarefas específicas. Para obter mais informações sobre como usar a Política de Grupo, confira Atribuição de direitos de usuário.

• Atribua permissões a grupos de segurança para recursos.

  As permissões são diferentes dos direitos de usuário. As permissões são atribuídas a um grupo de segurança para um recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle completo ou Leitura. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso aos grupos de segurança padrão, como Operadores de Conta ou Administradores de Domínio.

  Os grupos de segurança são listados em DACLs (listas de controle de acesso discricionário) que definem permissões em recursos e objetos. Quando os administradores atribuem permissões para recursos como compartilhamentos de arquivos ou impressoras, eles devem atribuir essas permissões a um grupo de segurança em vez de a usuários individuais. As permissões são atribuídas uma vez ao grupo em vez de várias vezes a cada usuário individual. Cada conta adicionada a um grupo recebe os direitos atribuídos a esse grupo no Active Directory. O usuário recebe as permissões definidas para o grupo.

Você pode usar um grupo de segurança como uma entidade de email. O envio de uma mensagem de email a um grupo de segurança envia a mensagem a todos os membros do grupo.

Grupos de distribuição

Você só pode usar grupos de distribuição para enviar emails para coleções de usuários usando um aplicativo de email como o Exchange Server. Os grupos de distribuição não estão habilitados para segurança, ou seja, você não pode incluí-los em DACLs.

Escopo do grupo

Cada grupo tem um escopo que identifica até que ponto o grupo é aplicado à árvore de domínio ou à floresta. O escopo de um grupo define as áreas da rede em que as permissões podem ser concedidas para o grupo. O Active Directory define os três escopos de grupo a seguir:

• Universal
• Global
• Local de Domínio

A seguinte tabela descreve os três escopos de grupo e como eles funcionam como grupos de segurança:

Grupos de identidade especiais

Um grupo de identidade especial é onde determinadas identidades especiais são agrupadas. Grupos de identidades especiais não têm associações específicas que você pode modificar, mas elas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias. Esses grupos incluem Proprietário do Criador, Lote e Usuário Autenticado.

Para obter mais informações, confira Grupos de identidades especiais.

Grupos de segurança padrão

Grupos padrão como o grupo Administradores de Domínio são grupos de segurança que são criados automaticamente quando você cria um domínio do Active Directory. Esses grupos predefinidos podem ajudá-lo a controlar o acesso a recursos compartilhados e delegar funções administrativas específicas em todo o domínio.

Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário. Esses direitos autorizam os membros do grupo a executar ações específicas em um domínio, como entrar em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup pode executar operações de backup em todos os controladores de domínio do domínio.

Quando você adiciona um usuário ao grupo, o usuário recebe todos os direitos de usuário atribuídos ao grupo, incluindo todas as permissões atribuídas ao grupo em qualquer recurso compartilhado.

Os grupos padrão estão localizados no contêiner Builtin ou no contêiner Usuários na ferramenta Usuários e Computadores do Active Directory. O contêiner Interno inclui os grupos definidos com o escopo Local de Domínio. O contêiner Usuários contém os grupos definidos com o escopo Global e os grupos definidos com o escopo Local de Domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou unidades organizacionais dentro do domínio. Mas você não pode movê-los para outros domínios.

Alguns dos grupos administrativos listados neste artigo e todos os membros desses grupos são protegidos por um processo em segundo plano que verifica periodicamente se há um descritor de segurança específico e o aplica. Esse descritor é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em um grupos ou em uma das contas administrativas seja substituída pelas configurações protegidas.

O descritor de segurança está presente no objeto AdminSDHolder. Caso você deseje modificar as permissões em um dos grupos de administradores de serviços ou em uma das respectivas contas membro, modifique o descritor de segurança no objeto AdminSDHolder para que ele seja aplicado de maneira consistente. Tenha cuidado ao fazer essas modificações, porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.

Cada grupo de segurança padrão tem um identificador exclusivo que consiste em vários componentes. Entre esses componentes está uma ID relativa (RID), que é exclusiva dentro do domínio do grupo.

Grupos de segurança padrão do Active Directory

Os links a seguir levam a descrições dos grupos padrão localizados no contêiner Builtin ou no contêiner Usuários no Active Directory.

• Operadores de Assistência do Controle de Acesso
• Operadores de Contas
• Administradores
• Replicação de Senha do RDOC Permitida
• Operadores de cópia
• Acesso DCOM do Serviço de Certificado
• Editores de Certificados
• Controladores de Domínio Clonáveis
• Operadores criptográficos
• Replicação de Senha do RDOC Negada
• Proprietários de Dispositivos
• Administradores de DHCP
• Usuários de DHCP
• Usuários COM Distribuídos
• DnsUpdateProxy
• DnsAdmins
• Administradores do domínio
• Computadores de Domínio
• Controladores de domínio
• Convidados do Domínio
• Usuários do Domínio
• Admins corporativos
• Administradores de chave corporativa
• Controladores de domínio somente leitura da empresa
• Leitores de Log de Eventos
• Proprietários criadores de política de grupo
• Convidados
• Administradores do Hyper-V
• IIS_IUSRS
• Criadores de confiança de floresta de entrada
• Administradores chave
• Operadores de Configuração de Rede
• Usuários do Log de Desempenho
• Usuários do monitor de desempenho
• Acesso Compatível com versões anteriores ao Windows 2000
• Operadores de Impressão
• Usuários protegidos
• Servidores RAS e IAS
• Servidores de Ponto de Extremidade do RDS
• Servidores de gerenciamento do RDS.
• Servidores de Acesso Remoto do RDS
• Controladores de domínio somente leitura
• Usuários da Área de Trabalho Remota
• Usuários do gerenciamento remoto
• Replicador
• Administradores de esquemas
• Operadores de Servidores
• Administradores da Réplica de Armazenamento
• Contas Gerenciadas pelo Sistema
• Servidores de Licença do Terminal Server
• Usuários
• Acesso de Autorização do Windows
• WinRMRemoteWMIUsers__

Operadores de Assistência do Controle de Acesso

Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões nos recursos do computador. Esse grupo não pode ser renomeado, excluído nem removido.

Operadores de Contas

O grupo Operadores de Conta concede privilégios limitados de criação de conta a um usuário. Os membros desse grupo podem criar e modificar a maioria dos tipos de contas, incluindo contas de usuários, grupos Locais e grupos Globais. Os membros do grupo podem entrar localmente em controladores de domínio.

Os membros do grupo Operadores de Conta não podem modificar os direitos do usuário. Além disso, os membros desse grupo não podem gerenciar as seguintes contas e grupos:

• Conta de usuário do administrador
• Contas de usuário de administradores
• Administradores
• Operadores de Servidores
• Operadores de Contas
• Operadores de cópia
• Operadores de Impressão

Esse grupo não pode ser renomeado, excluído nem removido.

Administradores

Os membros do grupo Administradores têm acesso completo e irrestrito ao computador. Se o computador for promovido a um controlador de domínio, os membros do grupo Administradores terão acesso irrestrito ao domínio.

Replicação de Senha do RDOC Permitida

A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha do RODC (controlador de domínio somente leitura). Esse grupo não tem membros por padrão. Como resultado, novos RODCs não armazenam credenciais de usuário em cache. O grupo Replicação de Senha do RODC Negada contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha do RODC Negada substitui o grupo Replicação de Senha do RODC Permitida. Esse grupo não pode ser renomeado, excluído nem removido.

Operadores de cópia

Os membros do grupo Operadores de Backup podem fazer backup de todos os arquivos de um computador e restaurá-los, independentemente das permissões que protegem esses arquivos. Os Operadores de Backup também podem entrar e desligar o computador. Esse grupo não pode ser renomeado, excluído nem removido. Por padrão, esse grupo interno não tem membros e pode executar operações de backup e restauração nos controladores de domínio. Os membros dos seguintes grupos podem modificar a associação de grupo dos Operadores de Backup: administradores de serviço padrão, Administradores de Domínio no domínio e Administradores Corporativos. Os membros do grupo Operadores de Backup não podem modificar a associação a nenhum grupo administrativo. Embora os membros desse grupo não possam alterar as configurações do servidor ou modificar a configuração do diretório, eles têm as permissões necessárias para substituir arquivos (incluindo arquivos do sistema operacional) em controladores de domínio. Como os membros desse grupo podem substituir arquivos em controladores de domínio, eles são considerados administradores de serviços.

Acesso DCOM do Serviço de Certificado

Os membros desse grupo podem se conectar às autoridades de certificação na empresa. Esse grupo não pode ser renomeado, excluído nem removido.

Editores de Certificados

Os membros do grupo Cert Publishers estão autorizados a publicar certificados para objetos de usuário no Active Directory. Esse grupo não pode ser renomeado, excluído nem removido.

Controladores de Domínio Clonáveis

Membros do grupo Controladores de Domínio Clonável que são controladores de domínio podem ser clonados. No Windows Server 2012 R2 e no Windows Server 2012, você pode implantar controladores de domínio copiando um controlador de domínio virtual existente. Em um ambiente virtual, você não pode implantar repetidamente uma imagem de servidor preparada usando a Sysprep.exe ferramenta. A promoção do servidor a um controlador de domínio e, em seguida, a conclusão de mais requisitos de configuração para implantar cada controlador de domínio (incluindo a adição do controlador de domínio virtual a esse grupo de segurança), também não é permitida. Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações, consulte AD DS (Active Directory Domain Services) com segurança.

Operadores criptográficos

Os membros desse grupo estão autorizados a executar operações criptográficas. Esse grupo de segurança configura o Firewall do Windows para IPsec no modo Critérios Comuns. Esse grupo não pode ser renomeado, excluído nem removido.

Replicação de Senha do RDOC Negada

As senhas dos membros do grupo Replicação de Senha do RDOC Negada não podem ser replicadas para nenhum RODC.

A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha do RODC. Esse grupo contém várias contas de alto privilégio e grupos de segurança. O grupo Replicação de Senha do RODC Negada substitui o grupo Replicação de Senha do RODC Permitida.

Proprietários de Dispositivos

Quando o grupo Proprietários de Dispositivos não tiver membros, recomendaremos que você não altere a configuração padrão desse grupo de segurança. Alterar a configuração padrão pode dificultar cenários futuros que dependem desse grupo. Atualmente, o grupo Proprietários de Dispositivos não é usado no Windows.

Administradores de DHCP

Os membros do grupo Administradores dhcp podem criar, excluir e gerenciar várias áreas do escopo do servidor. Os direitos de grupo incluem a capacidade de fazer backup e restaurar o banco de dados DHCP (Dynamic Host Configuration Protocol). Embora esse grupo tenha direitos administrativos, ele não faz parte do grupo Administradores, porque essa função é limitada aos serviços do DHCP.

Usuários de DHCP

Os membros do grupo Usuários DHCP podem ver quais escopos estão ativos ou inativos, incluindo quais endereços IP são atribuídos. Os membros do grupo também poderão exibir problemas de conectividade se o servidor DHCP não estiver configurado corretamente. Esse grupo é limitado a acesso somente leitura ao servidor DHCP.

Usuários COM Distribuídos

Os membros do grupo Usuários COM Distribuídos podem iniciar, ativar e usar objetos DCOM (Distributed Component Object Model) no computador. O Microsoft COM (Component Object Model) é um sistema distribuído, orientado a objeto e independente de plataforma usado para a criação de componentes de software binários que possam interagir. Ao usar objetos DCOM, você pode distribuir seus aplicativos entre locais que fazem mais sentido para você e para os aplicativos. Esse grupo aparece como um SID até que o controlador de domínio se torne o controlador de domínio primário e assuma a função de mestre de operações, também chamada de função FSMO (operações mestre únicas flexíveis). Esse grupo não pode ser renomeado, excluído nem removido.

DnsUpdateProxy

Os membros do grupo DnsUpdateProxy são clientes DNS (Sistema de Nomes de Domínio). Eles têm permissão para executar atualizações dinâmicas em nome de outros clientes, como servidores DHCP. Um servidor DNS pode desenvolver registros de recursos obsoletos quando um servidor DHCP é configurado para registrar dinamicamente registros de recursos de host (A) e de ponteiro (PTR) em nome dos clientes DHCP usando a atualização dinâmica. A adição de clientes a esse grupo de segurança atenua esse cenário.

Para proteger contra registros não seguros ou permitir que os membros do grupo DnsUpdateProxy registrem registros em zonas que permitem apenas atualizações dinâmicas protegidas, você deve criar uma conta de usuário dedicada. Você também deve configurar servidores DHCP para executar atualizações dinâmicas de DNS usando o nome de usuário, a senha e o domínio dessa conta. Vários servidores DHCP podem usar as credenciais de uma conta de usuário dedicada. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada em um controlador de domínio no domínio.

Para obter mais informações, confira Propriedade do registro DNS e o grupo DnsUpdateProxy.

DnsAdmins

Os membros do grupo DnsAdmins têm acesso às informações de DNS da rede. Por padrão, os membros desse grupo recebem as seguintes permissões de permissão: Permissões de leitura, gravação, criação de todos os objetos filho, exclusão de objetos filho e permissões especiais. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada em um controlador de domínio no domínio.

Para obter mais informações sobre a segurança e o DNS, confira DNSSEC no Windows Server 2012.

Administradores do domínio

Os membros do grupo de segurança Administradores de Domínio estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é um membro do grupo Administradores em todos os computadores que ingressam em um domínio, incluindo os controladores de domínio. O grupo Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory para o domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores.

O grupo Administradores de Domínio controla o acesso a todos os controladores de domínio de um domínio e pode modificar a associação a todas as contas administrativas no domínio. Os membros dos grupos de administradores de serviços no respectivo domínio (Administradores e Administradores de Domínio) e os membros do grupo Administradores Corporativos podem modificar a associação a Administradores de Domínio. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso total aos controladores de domínio em um domínio.

Computadores de Domínio

Esse grupo pode incluir todos os computadores e servidores que ingressam no domínio, excluindo controladores de domínio. Por padrão, qualquer conta de computador criada se torna um membro desse grupo automaticamente.

Controladores de Domínio

O grupo Controladores de Domínio pode incluir todos os controladores de domínio no domínio. Os novos controladores de domínio são adicionados automaticamente a esse grupo.

Convidados do Domínio

O grupo Convidados do Domínio inclui a conta Convidado integrada do domínio. Quando os membros desse grupo entram como convidados locais em um computador ingressado no domínio, um perfil de domínio é criado no computador local.

Usuários do Domínio

O grupo Usuários do Domínio inclui todas as contas de usuário de um domínio. Quando você cria uma conta de usuário em um domínio, ela é adicionada a esse grupo por padrão.

Você pode usar esse grupo para representar todos os usuários do domínio. Por exemplo, se você quiser que todos os usuários de domínio tenham acesso a uma impressora, você poderá atribuir permissões para a impressora a esse grupo. Ou você pode adicionar o grupo Usuários de Domínio a um grupo local no servidor de impressão que tenha permissões para a impressora.

Admins corporativos

O grupo administradores corporativos existe apenas no domínio raiz de uma floresta de domínios do Active Directory. O grupo será um grupo Universal se o domínio estiver no modo nativo. O grupo será um grupo Global se o domínio estiver no modo misto. Os membros desse grupo estão autorizados a fazer alterações em toda a floresta no Active Directory, como adicionar domínios filho.

Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo é adicionado automaticamente ao grupo Administradores em todos os domínios da floresta e fornece acesso completo à configuração de todos os controladores de domínio. Os membros desse grupo podem modificar a associação a todos os grupos administrativos. Os membros dos grupos de administradores de serviço padrão no domínio raiz podem modificar a associação a Administradores Corporativos. Esse grupo é considerado uma conta de administrador de serviços.

Administradores de chave corporativa

Os membros desse grupo podem executar ações administrativas em objetos de chave na floresta.

Controladores de domínio somente leitura da empresa

Os membros desse grupo são RODCs na empresa. Com exceção das senhas de conta, um RODC contém todos os objetos e atributos do Active Directory que um controlador de domínio gravável contém. No entanto, não é possível fazer alterações no banco de dados armazenado no RODC. As alterações precisam ser feitas em um controlador de domínio gravável e, depois, replicadas para o RODC.

Os RODCs resolvem alguns dos problemas que normalmente são encontrados em filiais. Esses locais podem não ter um controlador de domínio ou podem ter um controlador de domínio gravável, mas não a segurança física, a largura de banda de rede ou a experiência local para dar suporte a ele.

Para obter mais informações, consulte o que é um RODC?.

Leitores de Log de Eventos

Os membros desse grupo podem ler os logs de eventos dos computadores locais. O grupo é criado quando o servidor é promovido a um controlador de domínio. Esse grupo não pode ser renomeado, excluído nem removido.

Proprietários criadores de política de grupo

Esse grupo está autorizado a criar, editar e excluir Objetos de Política de Grupo no domínio. Por padrão, o único membro do grupo é Administrador.

Para obter informações sobre outros recursos que você pode usar com esse grupo de segurança, confira Visão geral da Política de Grupo.

Convidados

Os membros do grupo Convidados e Usuários têm acesso semelhante por padrão. A diferença é que a conta convidado tem mais restrições. Por padrão, o único membro do grupo de Convidados é a conta de Convidado. O grupo Convidados possibilita que usuários ocasionais ou únicos entrem com privilégios limitados para a conta de convidado interna de um computador.

Quando um membro do grupo Convidados sai do grupo, todo o perfil é excluído. A exclusão de perfil inclui tudo que é armazenado no diretório %userprofile%, incluindo o hive de registro do usuário, os ícones personalizados da área de trabalho e outras configurações específicas do usuário. Esse fato implica que um convidado precisa usar um perfil temporário para entrar no sistema. Esse grupo de segurança interage com a seguinte configuração de Política de Grupo: Não faça logon dos usuários com perfis temporários. Para acessar essa configuração, abra o editor de Gerenciamento de Política de Grupo e vá para Configuração do Computador>Modelos Administrativos>Sistema>Perfis de Usuário.

Esse grupo não pode ser renomeado, excluído nem removido.

Administradores do Hyper-V

Os membros do grupo Administradores do Hyper-V têm acesso completo e irrestrito a todos os recursos do Hyper-V. A adição de membros a esse grupo ajuda a reduzir o número de membros necessários no grupo Administradores e separa ainda mais o acesso. Esse grupo não pode ser renomeado, excluído nem removido.

IIS_IUSRS

IIS_IUSRS é um grupo interno usado pelos Serviços de Informações da Internet (IIS), começando pelo IIS 7. O sistema operacional garante que cada conta interna e grupo tenham um SID exclusivo. O IIS 7 substitui a conta IUSR_MachineName e o grupo IIS_WPG pelo grupo IIS_IUSRS, a fim de garantir que os nomes reais usados pela nova conta e pelo grupo nunca sejam localizados. Por exemplo, independentemente do idioma do sistema operacional Windows instalado, o nome da conta do IIS é IUSR e o nome do grupo é IIS_IUSRS.

Para obter mais informações, confira Noções básicas sobre as contas internas de usuário e de grupo no IIS 7.

Criadores de confiança de floresta de entrada

Os membros do grupo Construtores de Confiança de Floresta de Entrada podem criar relações unidirecionais de entrada para uma floresta. O Active Directory fornece segurança em vários domínios ou florestas por meio de relações de confiança de domínio e floresta. Antes que a autenticação possa ocorrer entre relações de confiança, o Windows deve determinar se o domínio solicitado é de um usuário, computador ou serviço que tenha uma relação de confiança com o domínio de entrada da conta solicitante.

Para determinar isso, o sistema de segurança do Windows calcula um caminho de confiança entre o controlador de domínio do servidor que recebe a solicitação e um controlador de domínio do domínio da conta solicitante. Um canal protegido se estende a outros domínios do Active Directory por meio de relações de confiança de interdomínio. Esse canal protegido é usado para obter informações de segurança e verificá-las, incluindo SIDs para usuários e grupos.

Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações, consulte Como funcionam as relações de confiança de domínio e floresta.

Administradores chave

Os membros desse grupo podem executar ações administrativas em objetos de chave no domínio.

Operadores de Configuração de Rede

Os membros do grupo Operadores de Configuração de Rede têm os seguintes privilégios administrativos para gerenciar a configuração de recursos de rede:

• Modifique as propriedades TCP/IP (Protocolo de Controle de Transmissão) para uma conexão LAN (rede local), que inclui o endereço IP, a máscara de sub-rede, o gateway padrão e os servidores de nome
• Renomear as conexões lan ou conexões de acesso remoto que estão disponíveis para todos os usuários
• Habilitar ou desabilitar uma conexão LAN
• Modificar as propriedades de todas as conexões de acesso remoto de usuários
• Excluir todas as conexões de acesso remoto dos usuários
• Renomear todas as conexões de acesso remoto dos usuários
• Emita os comandos ipconfig, ipconfig /release e ipconfig /renew
• Insira a chave de desbloqueio pin (PUK) para dispositivos de banda larga móvel que dão suporte a um cartão SIM

Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.

Usuários do Log de Desempenho

Os membros do grupo Usuários do Log de Desempenho podem gerenciar contadores de desempenho, logs e alertas localmente no servidor e em clientes remotos, sem serem membros do grupo Administradores. Especificamente, os membros desse grupo de segurança:

• Podem usar todos os recursos disponíveis para o grupo Usuários do Monitor de Desempenho.
• Não podem usar o provedor de eventos de Rastreamento de Kernel do Windows nos conjuntos de coletores de dados.

Para que os membros do grupo Usuários do Log de Desempenho iniciem o log de dados ou modifiquem os conjuntos de coletores de dados, primeiro, o grupo precisa receber o direito de usuário Fazer logon como um trabalho em lotes. Para atribuir esse direito de usuário, use o snap-in Política de Segurança Local no MMC (Console de Gerenciamento Microsoft).

Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Essa conta não pode ser renomeada, excluída nem movida.

Usuários do monitor de desempenho

Os membros desse grupo podem monitorar os contadores de desempenho nos controladores de domínio, localmente e em clientes remotos, sem serem membros dos grupos Administradores ou Usuário do Log de Desempenho. O Monitor de Desempenho do Windows é um snap-in do MMC que fornece ferramentas para analisar o desempenho do sistema. Em um só console, você pode monitorar o desempenho de aplicativos e do hardware, personalizar os dados que deseja coletar nos logs, definir limites para alertas e ações automáticas, gerar relatórios e visualizar os dados de desempenho passados de várias maneiras.

Especificamente, os membros desse grupo de segurança:

• Podem usar todos os recursos disponíveis para o grupo Usuários.
• Podem visualizar dados de desempenho em tempo real no Monitor de Desempenho.
• Podem alterar as propriedades de exibição do Monitor de Desempenho durante a exibição de dados.
• Não podem criar nem modificar conjuntos de coletores de dados.

Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.

Acesso Compatível com Versões Anteriores ao Windows 2000

Os membros do grupo Acesso Compatível com Versões Anteriores ao Windows 2000 têm acesso de leitura em todos os usuários e grupos do domínio. Esse grupo é fornecido para compatibilidade com versões anteriores para computadores que executam o Windows NT 4.0 e anteriores. Por padrão, o grupo de identidade especial Todos é membro desse grupo. Adicione usuários a esse grupo somente se eles executarem o Windows NT 4.0 ou anterior.

Esse grupo não pode ser renomeado, excluído nem removido.

Operadores de Impressão

Os membros desse grupo podem gerenciar, criar, compartilhar e excluir impressoras que estão conectadas aos controladores de domínio no domínio. Eles também podem gerenciar objetos de impressora do Active Directory no domínio. Os membros desse grupo podem se conectar localmente e desligar os controladores de domínio do domínio.

Esse grupo não tem membros padrão. Como os membros desse grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio do domínio, adicione usuários com cautela. Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações, confira Atribuir configurações de permissão de impressora e de administrador de impressão delegado no Windows Server 2012.

Usuários protegidos

Os membros do grupo Usuários Protegidos têm proteção extra contra o comprometimento de credenciais durante os processos de autenticação.

Este grupo de segurança foi projetado como parte de uma estratégia para proteger e gerenciar com eficiência as credenciais na empresa. Os membros desse grupo têm automaticamente proteção não configurável aplicada às suas contas. A associação ao grupo Usuários protegidos visa restringir e proteger proativamente por padrão. A única forma de modificar a proteção de uma conta é removê-la do grupo de segurança.

Esse grupo global relacionado ao domínio dispara proteção não configurável em dispositivos e computadores host, começando com o Windows Server 2012 R2 e o Windows 8.1. Ele também dispara proteção não configurável em controladores de domínio em domínios que têm um controlador de domínio primário que executa o Windows Server 2012 R2 ou posterior. Essa proteção reduz consideravelmente o uso de memória das credenciais quando os usuários fazem login em computadores na rede a partir de um computador não comprometido.

Dependendo do nível funcional de domínio da conta, os membros do grupo Usuários Protegidos são protegidos ainda mais devido a alterações de comportamento nos métodos de autenticação com suporte no Windows:

• Os membros do grupo Usuários Protegidos não podem se autenticar usando os seguintes SSPs (Provedores de Suporte de Segurança): NTLM (New Technology LAN Manager), Autenticação Digest ou CredSSP (Provedor de Suporte à Segurança de Credenciais). As senhas não são armazenadas em cache em um dispositivo que executa o Windows 10 ou o Windows 8.1. O dispositivo falha ao autenticar em um domínio quando a conta é membro do grupo Usuários Protegidos.
• O protocolo Kerberos não usa os tipos de criptografia DES (Data Encryption Standard) ou Rivest Cipher 4 (RC4) mais fracos no processo de pré-autenticação. O domínio deve ser configurado para dar suporte pelo menos ao pacote de criptografia AES (Advanced Encryption Standard).
• A conta do usuário não pode ser delegada com delegação restrita ou não restrita do Kerberos. Se o usuário for membro do grupo Usuários Protegidos, as conexões anteriores com outros sistemas poderão falhar.
• Você pode alterar a configuração de duração padrão dos TGTs (tickets de concessão de tickets) Kerberos de quatro horas, usando políticas de autenticação e silos no Centro Administrativo do Active Directory. Na configuração padrão, o usuário deve autenticar-se após quatro horas.

Esse grupo foi introduzido no Windows Server 2012 R2. Para obter mais informações sobre como esse grupo funciona, confira Grupo de segurança Usuários Protegidos.

Servidores RAS e IAS

Os computadores que são membros do grupo Servidores RAS e IAS, quando configurados corretamente, podem usar os serviços de acesso remoto. Por padrão, esse grupo não tem membros. Computadores que executam o RRAS (Serviço de Roteamento e Acesso Remoto) e serviços de acesso remoto, como IAS (Serviço de Autenticação da Internet) e Servidores de Política de Rede, são adicionados ao grupo automaticamente. Os membros desse grupo têm acesso a determinadas propriedades de objetos de usuário, como leitura de restrições de conta, leitura de informações de logon e ler informações de acesso remoto.

Servidores de Ponto de Extremidade do RDS

Os servidores que são membros do grupo Servidores de Ponto de Extremidade RDS podem executar máquinas virtuais e hospedar sessões em que os programas de usuário do recurso RemoteApp e áreas de trabalho virtuais pessoais são executados. Você deve configurar esse grupo em servidores que executam o "Broker de Conexão de Área de Trabalho Remota" (Agente de Conexão de Área de Trabalho Remota). Os servidores host de sessão e os servidores do Host de Virtualização de Área de Trabalho Remota (Host de Virtualização de Área de Trabalho Remota) usados na implantação devem estar nesse grupo. Esse grupo não pode ser renomeado, excluído nem removido.

Para obter informações sobre os Serviços de Área de Trabalho Remota (RDS), consulte Visão geral dos Serviços de Área de Trabalho Remota no Windows Server.

Servidores de Gerenciamento do RDS

Você pode usar servidores que são membros do grupo servidores de gerenciamento de RDS para concluir ações administrativas rotineiras em servidores que executam o RDS. Você precisa preencher esse grupo em todos os servidores em uma implantação do RDS. Os servidores que executam o serviço de Gerenciamento Central de RDS devem ser incluídos nesse grupo. Esse grupo não pode ser renomeado, excluído nem removido.

Servidores de Acesso Remoto do RDS

Os servidores no grupo servidores de acesso remoto rds fornecem aos usuários acesso aos programas do recurso RemoteApp e áreas de trabalho virtuais pessoais. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Você deve preencher esse grupo em servidores que executam o Agente de Conexão de RD. Os servidores do Gateway de Área de Trabalho Remota (RD Gateway) e os servidores de Acesso Web da Área de Trabalho Remota (RD Web Access) que são usados na implantação devem estar neste grupo. Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações, consulte Visão geral dos Serviços de Área de Trabalho Remota no Windows Server.

Controladores de Domínio somente leitura

Esse grupo é composto pelos RODCs do domínio. Um RODC possibilita que as organizações implantem facilmente um controlador de domínio em cenários em que a segurança física não pode ser garantida. Um cenário de exemplo é um local de filial ou armazenamento local de todas as senhas de domínio consideradas uma ameaça primária, como em uma extranet ou função voltada para o aplicativo.

Como você pode delegar a administração de um RODC a um usuário de domínio ou grupo de segurança, um RODC é adequado para um site que não deve ter um usuário que seja membro do grupo Administradores de Domínio. Um RODC tem as seguintes funcionalidades:

• Um banco de dados do AD DS somente leitura
• Replicação unidirecional
• Cache de credenciais
• Separação de funções de administrador
• Um DNS somente leitura

Para obter mais informações, consulte Noções básicas sobre planejamento e implantação de controladores de domínio somente leitura.

Usuários da Área de Trabalho Remota

Você pode usar o grupo Usuários da Área de Trabalho Remota em um servidor Host de Sessão da Área de Trabalho Remota (Host de Sessão RD) para conceder permissões a usuários e grupos para se conectar remotamente a um servidor Host de Sessão RD. Esse grupo não pode ser renomeado, excluído nem removido. O grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações).

Usuários do gerenciamento remoto

Os membros do grupo Usuários de Gerenciamento Remoto podem acessar recursos da WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como Serviços Web para Gerenciamento (WS-Management) por meio do serviço de Gerenciamento Remoto do Windows. O acesso aos recursos do WMI só se aplica aos namespaces do WMI que permitem acesso ao usuário.

Use o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores por meio do console do Gerenciador de Servidores. Use o grupo WinRMRemoteWMIUsers__ para permitir que os usuários executem comandos do Windows PowerShell remotamente.

Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações, consulte Sobre o WMI e Novidades no MI.

Replicador

Os computadores que são membros do grupo Replicador dão suporte à replicação de arquivo em um domínio. O Windows Server usa o FRS (Serviço de Replicação de Arquivos) para replicar políticas do sistema e scripts de entrada armazenados na pasta Volume do Sistema (pasta sysvol). Cada controlador de domínio mantém uma cópia da pasta sysvol para os clientes de rede acessarem. O FRS também pode replicar dados para o DFS (Sistema de Arquivos Distribuído) e sincronizar o conteúdo de cada membro em um conjunto de réplicas, conforme definido pelo DFS. O FRS pode copiar e manter arquivos e pastas compartilhados em vários servidores simultaneamente. Quando ocorrem alterações, o conteúdo é sincronizado imediatamente nos sites e de acordo com um agendamento entre sites.

Para obter mais informações, consulte os seguintes recursos:

• O FRS (Serviço de Replicação de Arquivos) foi preterido no Windows Server 2008 R2 (Windows)
• Visão geral dos namespaces e da Replicação do DFS

Esse grupo não pode ser renomeado, excluído nem removido.

Administradores de esquemas

Os membros do grupo Administradores de Esquema podem modificar o esquema do Active Directory. Esse grupo existe apenas no domínio raiz de uma floresta de domínios do Active Directory. Esse grupo será um grupo Universal se o domínio estiver no modo nativo. Esse grupo será um grupo Global se o domínio estiver no modo misto.

Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo tem acesso administrativo completo ao esquema.

Qualquer um dos grupos de administradores de serviços no domínio raiz pode modificar a associação a esse grupo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros podem modificar o esquema, que rege a estrutura e o conteúdo de todo o diretório.

Para obter mais informações, confira O que é o esquema do Active Directory?

Operadores de Servidores

Os membros do grupo Operadores de Servidor podem administrar controladores de domínio. Esse grupo só existe nos controladores de domínio. Por padrão, esse grupo não tem membros e não pode ser renomeado, excluído ou removido. Os membros do grupo Operadores de Servidor podem executar as seguintes ações:

• Entrar em um servidor interativamente
• Criar e excluir recursos compartilhados de rede
• Parar e iniciar serviços
• Fazer backup e restaurar arquivos
• Formatar a unidade de disco rígido do dispositivo
• Desligar o dispositivo

Por padrão, esse grupo interno não tem membros. Esse grupo tem acesso às opções de configuração do servidor em controladores de domínio. A associação é controlada por meio dos grupos de administradores de serviços Administradores e Administradores de Domínio no domínio e pelo grupo Administradores Corporativos no domínio raiz da floresta. Os membros desse grupo não podem alterar nenhuma associação a um grupo administrativo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso físico aos controladores de domínio. Os membros desse grupo podem executar tarefas de manutenção, como backup e restauração, e podem alterar os binários instalados nos controladores de domínio. Para obter os direitos de usuário padrão do grupo, consulte a tabela a seguir.

Administradores da Réplica de Armazenamento

Os membros do grupo Administradores de Réplica de Armazenamento têm acesso completo e irrestrito a todos os recursos da ferramenta de Réplica de Armazenamento.

Contas Gerenciadas pelo Sistema

A associação ao grupo Contas Gerenciadas pelo Sistema é controlada pelo sistema. Esse grupo inclui a DSMA (Conta Gerenciada do Sistema Padrão), que facilita as funções do sistema.

Servidores de Licença do Terminal Server

Os membros do grupo Servidores de Licença do Terminal Server podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças. O grupo é usado para rastrear e relatar o uso de Licença de Acesso ao Cliente por Usuário (TS Per User CAL) do Terminal Server. Um TS CAL Por Usuário dá a um usuário o direito de acessar uma instância do Terminal Server em um número ilimitado de dispositivos ou computadores cliente. Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.

Para obter mais informações sobre esse grupo de segurança, confira Configuração do grupo de segurança servidor de licenças dos Serviços de Terminal.

Usuários

Os membros do grupo Usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema. Os membros desse grupo podem executar a maioria dos aplicativos. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. Quando um computador ingressa em um domínio, o grupo Usuários do Domínio é adicionado ao grupo Usuários no computador.

Os usuários podem executar tarefas como executar um aplicativo, usar impressoras locais e de rede e desligar e bloquear o computador. Os usuários poderão instalar aplicativos que só poderão usar se o programa de instalação do aplicativo der suporte à instalação por usuário. Esse grupo não pode ser renomeado, excluído nem removido.

Acesso de Autorização do Windows

Os membros desse grupo têm acesso ao tokenGroupsGlobalAndUniversal atributo em objetos de usuário. Esse acesso é útil, pois alguns recursos do aplicativo leem o token-groups-global-and-universal atributo (TGGAU) em objetos de conta de usuário ou em objetos de conta de computador no AD DS. Algumas funções Win32 facilitam a leitura do TGGAU atributo. Mas os aplicativos que leem esse atributo ou que chamam uma API que lê esse atributo não têm êxito se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo facilita a concessão de acesso de leitura ao atributo.

Esse grupo é exibido como um SID até que o controlador de domínio se torne o controlador de domínio primário e receba a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído nem removido.

WinRMRemoteWMIUsers__

Começando com o Windows Server 2012 e o Windows 8, a interface do usuário configurações de segurança avançada contém uma guia Compartilhar . Essa guia exibe as propriedades de segurança de um compartilhamento de arquivos remoto. Para exibir essas informações, você deve ter as seguintes permissões e associações:

• Você precisa ser membro do grupo WinRMRemoteWMIUsers__ ou do grupo INTERNO\Administradores.
• Você precisa ter permissões de leitura no compartilhamento de arquivo.

No Windows Server 2012, a funcionalidade Assistência para acesso negado adiciona o grupo Usuários Autenticados ao grupo local WinRMRemoteWMIUsers__. Quando a funcionalidade Assistência para acesso negado está habilitada, todos os usuários autenticados que têm permissões de leitura no compartilhamento de arquivo podem ver as permissões do compartilhamento de arquivo.

Conteúdo relacionado

• Objetos de segurança
• Grupos de identidade especiais
• Visão geral do controle de acesso