Exportar (0) Imprimir
Expandir Tudo

Grupos padrão

Grupos padrão

Os grupos padrão, como Admins. do Domínio, são grupos de segurança criados automaticamente quando você cria um domínio do Active Directory. Você pode usar esses grupos predefinidos para ajudar a controlar o acesso a recursos compartilhados e delegar funções administrativas específicas de todo o domínio. Para obter informações sobre os grupos padrão armazenados em computadores locais, consulte Grupos locais padrão.

Muitos grupos padrão recebem automaticamente a atribuição de um conjunto de direitos de usuário que autorizam os membros do grupo a executar ações específicas, como fazer logon em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup tem o direito de executar operações de backup para todos os controladores de domínio no domínio.

Quando você adiciona um usuário a um grupo, o usuário recebe todos os direitos de usuário e as permissões atribuídas ao grupo sobre quaisquer recursos compartilhados. Para obter mais informações sobre direitos do usuário e permissões, consulte Tipos de grupos.

Você pode gerenciar grupos usando Usuários e Computadores do Active Directory. Os grupos padrão estão localizados no recipiente <b>Internos</b> e no recipiente <b>Usuários</b>. O recipiente <b>Internos</b> contém grupos definidos com escopo de domínio local. O recipiente <b>Usuários</b> contém grupos definidos com escopo global e grupos definidos com escopo de domínio local. Você pode mover grupos localizados nesses recipientes para outros grupos ou unidades organizacionais no domínio, mas não pode movê-los para outros domínios.

Como prática de segurança, é recomendável que os membros de grupos padrão com acesso administrativo amplo usem <b>Executar como</b> para executar tarefas de administração. Para obter mais informações, consulte Usando Executar como. Para obter mais informações sobre práticas recomendadas de segurança, consulte Práticas recomendadas para o Active Directory. Para obter informações sobre medidas de segurança adicionais que podem ser usadas para proteger o Active Directory, consulte Protegendo o Active Directory.

Observação

  • Para saber de qual grupo você precisa ser membro para executar um procedimento específico, há muitos tópicos sobre procedimentos em Como... no Centro de Ajuda e Suporte que fornecem uma observação que identifica essa informação.

Grupos no recipiente Interno

A tabela a seguir fornece descrições dos grupos padrão localizados no recipiente <b>Internos</b> e lista os direitos de usuário atribuídos a cada grupo. Para obter descrições completas dos direitos de usuário listados na tabela, consulte Atribuição de direitos de usuário. Para obter informações sobre como editar esses direitos, consulte Editar configurações de segurança em um objeto de Diretiva de Grupo.

 

Grupo Descrição Direitos de usuário padrão

Operadores de Contas

Os membros deste grupo podem criar, modificar e excluir contas para usuários, grupos e computadores localizados nos recipientes <b>Usuários</b> ou <b>Computadores</b> e nas unidades organizacionais no domínio, exceto a unidade organizacional <b>Controladores de domínio</b>. Os membros deste grupo não têm permissão para modificar os grupos <b>Administradores</b> ou <b>Admins. do Domínio</b>, nem têm permissão para modificar as contas de membros desses grupos. Os membros deste grupo podem fazer logon localmente em controladores de domínio no domínio e encerrá-los. Como o grupo tem poder significativo no domínio, adicione usuários com cuidado.

Permitir logon local; Desligar o sistema.

Administradores

Os membros deste grupo têm controle total sobre todos os controladores de domínio no domínio. Por padrão, os grupos Admins. do Domínio e Administração de Empresa são membros do grupo Administradores. A conta <b>Administrador</b> também é um membro padrão. Como o grupo tem controle total no domínio, adicione usuários com cuidado.

Acesso a este computador pela rede; Ajustar quotas de memória para um processo; Fazer backup de arquivos e pastas; Ignorar a verificação completa; Alterar a hora do sistema; Criar um arquivo de permuta; Depurar programas; Habilitar computador e contas de usuário para serem confiáveis para delegação; Forçar o desligamento apartir de um sistema remoto; Aumentar a prioridade de planejamento; Carregar e descarregar drivers de dispositivo; Permitir logon local; Gerenciar a auditoria e o log de segurança; Alterar valores de ambiente de firmware; Traçar um perfil de um único processo; Traçar um perfil do desempenho do sistema; Remover o computador da estação de encaixe; Restaurar arquivos e pastas; Desligar o sistema; Ter propriedade dos arquivos ou de outros objetos.

Operadores de Backup

Os membros deste grupo podem fazer backup e restaurar todos os arquivos em controladores de domínio no domínio, independentemente de suas permissões individuais sobre esses arquivos. Os <b>Operadores de cópia</b> também podem fazer logon em controladores de domínio e desativá-los. Este grupo não possui membros padrão. Como o grupo tem poder significativo sobre controladores de domínio, adicione usuários com cuidado.

Fazer backup de arquivos e diretórios; Permitir logon localmente; Restaurar arquivos e diretórios; Encerrar o sistema.

Convidados

Por padrão, o grupo Convidados do Domínio é membro deste grupo. A conta <b>Convidado</b> (que é desativada por padrão) também é um membro padrão deste grupo.

Nenhum direito de usuário padrão.

Criadores de Confiança de Floresta de Entrada (aparece somente no domínio raiz da floresta)

Os membros deste grupo podem criar relações de confiança de floresta de entrada unidirecionais com o domínio raiz da floresta. Por exemplo, os membros deste grupo que residem na floresta A podem criar uma relação de confiança de floresta de entrada unidirecional a partir da floresta B. Essa relação de confiança de floresta de entrada unidirecional permite que os usuários na floresta A acessem os recursos localizados na floresta B. Os membros desse grupo recebem a permissão <b>Criar confiança de floresta de entrada</b> no domínio raiz da floresta. Este grupo não possui membros padrão. Para obter mais informações sobre como criar relações de confiança de floresta, consulte Criar uma relação de confiança de floresta.

Nenhum direito de usuário padrão.

Operadores de Configuração de Rede

Os membros deste grupo podem alterar configurações TCP/IP e renovar e liberar endereços TCP/IP em controladores de domínio no domínio. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

Usuários de Monitor do Sistema

Os membros deste grupo podem monitorar contadores de desempenho em controladores de domínio no domínio, localmente e a partir de clientes remotos, sem serem membros dos grupos <b>Administradores</b> ou <b>Usuários de log de desempenho</b>.

Nenhum direito de usuário padrão.

Usuários de Log de Desempenho

Os membros deste grupo podem gerenciar contadores de desempenho, logs e alertas em controladores de domínio no domínio, localmente e a partir de clientes remotos, sem serem membros do grupo <b>Administradores</b>.

Nenhum direito de usuário padrão.

Acesso compatível com versões anteriores ao Windows 2000

Os membros deste grupo podem ler o acesso em todos os usuários e grupos no domínio. Este grupo é fornecido para compatibilidade com versões anteriores para computadores executando Windows NT 4.0 e versões anteriores. Por padrão, a identidade especial <b>Todos</b> é membro deste grupo. Para obter mais informações sobre identidades especiais, consulte Identidades especiais. Só adicione usuários a este grupo se eles estiverem usando o Windows NT 4.0 ou versões anteriores.

Acesso a este computador pela rede; Ignorar verificação contrária.

Operadores de Impressão

Os membros deste grupo podem gerenciar, criar, compartilhar e excluir impressoras conectadas a controladores de domínio no domínio. Também podem gerenciar objetos de impressora do Active Directory no domínio. Os membros deste grupo podem fazer logon localmente em controladores de domínio no domínio e encerrá-los. Este grupo não possui membros padrão. Como os membros deste grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio no domínio, adicione usuários com cuidado.

Permitir logon local; Desligar o sistema.

Usuários da Área de Trabalho Remota

Os membros deste grupo podem fazer logon remotamente em controladores de domínio no domínio. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

Replicador

Este grupo fornece suporte a funções de replicação de diretórios e é usado pelo <b>Serviço de duplicação de arquivos</b> em controladores de domínio no domínio. Este grupo não possui membros padrão. Não adicione usuários a este grupo.

Nenhum direito de usuário padrão.

Opers. de Servidores

Em controladores de domínio, os membros deste grupo podem fazer logon interativamente, criar e excluir recursos compartilhados, iniciar e interromper alguns serviços, fazer backup e restaurar arquivos, formatar o disco rígido e desligar o computador. Este grupo não possui membros padrão. Como o grupo tem poder significativo sobre os controladores de domínio, adicione usuários com cuidado.

Fazer backup de arquivos e diretórios; Alterar a hora do sistema; Forçar o desligamento a partir de um sistema remoto; Permitir logon localmente; Restaurar arquivos e diretórios; Encerrar o sistema.

Usuários

Os membros deste grupo podem executar as tarefas mais comuns, como executar aplicativos, utilizar impressoras locais e de rede, e bloquear o servidor. Por padrão, o grupo Usuários do Domínio, Usuários Autenticados e Interativos são membros deste grupo. Portanto, qualquer conta de usuário criada no domínio torna-se membro deste grupo.

Nenhum direito de usuário padrão.

Grupos no recipiente Usuários

A tabela a seguir fornece uma descrição dos grupos padrão localizados no recipiente <b>Usuários</b> e lista os direitos de usuário atribuídos a cada grupo. Para obter descrições completas dos direitos de usuário listados na tabela, consulte Atribuição de direitos de usuário. Para obter informações sobre como editar esses direitos, consulte Editar configurações de segurança em um objeto de Diretiva de Grupo.

 

Grupo Descrição Direitos de usuário padrão

Editores de Certificados

Os membros deste grupo têm autorização para publicar certificados para usuários e computadores. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

DnsAdmins (instalado com o DNS)

Os membros deste grupo possuem acesso de administração ao serviço de servidor DNS. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

DnsUpdateProxy (instalado com o DNS)

Os membros deste grupo são clientes DNS que podem executar atualizações dinâmicas em nome de outros clientes, como servidores DHCP. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

Admins. do Domínio

Os membros deste grupo têm controle total sobre o domínio. Por padrão, este grupo é um membro do grupo Administradores em todos os controladores de domínio, em todas as estações de trabalho de domínio e em todos os servidores membros do domínio no momento em que ingressam no domínio. Por padrão, a conta <b>Administrador</b> é membro deste grupo. Como o grupo tem controle total no domínio, adicione usuários com cuidado.

Acesso a este computador pela rede; Ajustar quotas de memória para um processo; Fazer backup de arquivos e pastas; Ignorar a verificação completa; Alterar a hora do sistema; Criar um arquivo de permuta; Depurar programas; Habilitar computador e contas de usuário para serem confiáveis para delegação; Forçar o desligamento apartir de um sistema remoto; Aumentar a prioridade de planejamento; Carregar e descarregar drivers de dispositivo; Permitir logon local; Gerenciar a auditoria e o log de segurança; Alterar valores de ambiente de firmware; Traçar um perfil de um único processo; Traçar um perfil do desempenho do sistema; Remover o computador da estação de encaixe; Restaurar arquivos e pastas; Desligar o sistema; Ter propriedade dos arquivos ou de outros objetos.

Computadores do Domínio

Este grupo contém todas as estações de trabalho e servidores incluídos no domínio. Por padrão, qualquer conta de computador criada torna-se membro deste grupo automaticamente.

Nenhum direito de usuário padrão.

Controladores de Domínio

Este grupo contém todos os controladores de domínio no domínio.

Nenhum direito de usuário padrão.

Convidados Domínio

Este grupo contém todos os convidados do domínio.

Nenhum direito de usuário padrão.

Usuários do Domínio

Este grupo contém todos os usuários do domínio. Por padrão, qualquer conta de usuário criada no domínio torna-se membro deste grupo automaticamente. Esse grupo pode ser usado para representar todos os usuários no domínio. Por exemplo, se você desejar que todos os usuários do domínio tenham acesso a uma impressora, poderá atribuir permissões para a impressora ao grupo (ou adicionar o grupo <b>Usuários do domínio</b> a um grupo local, no servidor de impressão, que tenha permissões para a impressora).

Nenhum direito de usuário padrão.

Administração de Empresa (aparece somente no domínio raiz da floresta)

Os membros deste grupo têm controle total sobre todos os domínios na floresta. Por padrão, este grupo é membro do grupo Administradores em todos os controladores de domínio na floresta. Por padrão, a conta <b>Administrador</b> é membro deste grupo. Como o grupo tem controle total na floresta, adicione usuários com cuidado.

Acesso a este computador pela rede; Ajustar cotas de memória para um processo; Fazer backup de arquivos e diretórios; Ignorar verificação contrária; Alterar a hora do sistema; Criar um arquivo de páginas; Depurar programas; Ativar contas de computador e de usuário de forma a serem confiáveis para a delegação; Aplicar um encerramento do sistema remoto; Aumentar a prioridade do agendamento; Carregar e descarregar drivers de dispositivo; Permitir logon localmente; Gerenciar auditoria e log de segurança; Modificar valores de ambiente de firmware; Processo único de perfil; Desempenho do sistema de perfis; Remover o computador da estação acoplada; Restaurar arquivos e diretórios; Desligar o sistema; Ter propriedade dos arquivos ou de outros objetos.

Proprietários Criadores de Diretiva de Grupo

Os membros deste grupo podem modificar a <b>Diretiva de grupo</b> no domínio. Por padrão, a conta <b>Administrador</b> é membro deste grupo. Como o grupo tem poder significativo no domínio, adicione usuários com cuidado.

Nenhum direito de usuário padrão.

IIS_WPG (instalado com o IIS)

O grupo IIS_WPG é o grupo de processos de trabalho dos Serviços de Informações da Internet (IIS) 6.0. No funcionamento do IIS 6.0, são os processos de operador que servem espaços para nome específicos. Por exemplo, www.microsoft.com é um espaço para nome servido por um processo de operador, que pode ser executado sob uma identidade adicionada ao grupo IIS_WPG, como MicrosoftAccount. Este grupo não possui membros padrão.

Nenhum direito de usuário padrão.

Servidores RAS e IAS

Os servidores neste grupo têm acesso às propriedades de acesso remoto de usuários.

Nenhum direito de usuário padrão.

Administradores de Esquemas (aparece somente no domínio raiz da floresta)

Os membros deste grupo podem modificar o esquema do Active Directory. Por padrão, a conta <b>Administrador</b> é membro deste grupo. Como o grupo tem poder significativo na floresta, adicione usuários com cuidado.

Nenhum direito de usuário padrão.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft