Exportar (0) Imprimir
Expandir Tudo

Contas de usuário e de computador

Contas de usuário e de computador

As contas de usuário e as contas de computador do Active Directory representam uma entidade física, como um computador ou uma pessoa. As contas de usuário também podem ser usadas como contas de serviço dedicadas para alguns aplicativos.

As contas de usuário e de computador (bem como os grupos) também são chamadas de objetos de segurança. Os objetos de segurança são objetos de diretório aos quais os identificadores de segurança (SID) são atribuídos automaticamente, e que podem ser usados para acessar recursos de domínio. Uma conta de usuário ou de computador é usada para:

  • Autenticar a identidade de um usuário ou computador.
    Uma conta de usuário permite que o usuário faça logon em computadores e domínios com uma identidade que possa ser autenticada pelo domínio. Para obter mais informações sobre autenticação, consulte Controle de acesso no Active Directory. Cada usuário que faz logon na rede deve ter sua própria conta de usuário e senha exclusivas. Para maximizar a segurança, evite que vários usuários compartilhem uma conta.
  • Autorizar ou negar acesso a recursos de domínio.
    Depois que o usuário foi autenticado, seu acesso a recursos do domínio é negado ou autorizado com base nas permissões explícitas atribuídas ao usuário no recurso. Para obter mais informações, consulte Informações sobre segurança do Active Directory.
  • Administrar outros objetos de segurança.
    O Active Directory cria um objeto de segurança externo no domínio local para representar cada objeto de segurança de um domínio externo confiável. Para obter mais informações sobre objetos de segurança externos, consulte Quando criar uma relação de confiança externa.
  • Auditar ações executadas usando a conta de usuário ou de computador.
    A auditoria pode ajudar a monitorar a segurança de contas. Para obter mais informações sobre auditoria, consulte Visão geral sobre auditoria.

Contas de usuários

O recipiente Usuários, localizado em Usuários e Computadores do Active Directory, exibe três contas de usuário internas: Administrador, Convidado e HelpAssistant. As contas de usuário internas são criadas automaticamente quando você cria o domínio.

Cada conta interna tem uma combinação diferente de direitos e permissões. A conta Administrador tem os direitos e permissões mais abrangentes sobre o domínio, enquanto a conta Convidado tem direitos e permissões limitados. A tabela a seguir descreve cada conta de usuário padrão em controladores de domínio que executam o Windows Server 2003.

 

Conta de usuário padrão Descrição

Conta Administrador

A conta de Administrador tem controle total do domínio e pode atribuir direitos do usuário e permissões de controle de acesso a usuários, conforme necessário. Essa conta deve ser usada somente para tarefas que requerem credenciais administrativas. É altamente recomendável que você a configure para usar uma senha de alto nível. Para obter mais informações, consulte Senhas de alta segurança. Para obter considerações de segurança adicionais sobre contas com credenciais administrativas, consulte Práticas recomendadas para o Active Directory.

A conta Administrador é um membro padrão dos grupos Administradores, Admins. do Domínio, Administração de Empresa, Proprietários Criadores de Diretiva de Grupo e Administradores de Esquemas no Active Directory. Essa conta nunca pode ser excluída ou removida do grupo Administradores, mas pode ser renomeada ou desabilitada. Como se sabe que a conta Administrador existe em várias versões do Windows, os usuários maliciosos terão mais dificuldades para acessá-la se você renomeá-la ou desativá-la. Para obter mais informações sobre como renomear ou desabilitar uma conta de usuário, consulte Renomear uma conta de usuário local e Desativar ou ativar uma conta de usuário.

A conta Administrador é a primeira conta criada quando um novo domínio é configurado usando o Assistente para instalação do Active Directory.

  • Importante Mesmo quando a conta Administrador está desabilitada, ela ainda poderá ser usada para obter acesso a um controlador de domínio se você usar o Modo de Segurança.

Conta Convidado

A conta Convidado é usada por pessoas que não têm uma conta no domínio. Um usuário cuja conta está desabilitada (mas não excluída) também pode usar a conta Convidado. Não é necessário ter senha para essa conta.

Você pode definir direitos e permissões para a conta Convidado, exatamente como para qualquer conta de usuário. Por padrão, a conta Convidado é membro do grupo interno Convidados e do grupo global Convidados domínio, que permite que um usuário faça logon em um domínio. A conta Convidado é desabilitada por padrão e recomenda-se que permaneça desabilitada.

Conta HelpAssistant (instalada com uma sessão da Assistência remota)

A conta primária usada para estabelecer uma sessão da Assistência remota. Esta conta é criada automaticamente quando você solicita uma sessão da Assistência remota e tem acesso limitado ao computador. A conta HelpAssistant é gerenciada pelo serviço Gerenciador de sessões da 'Ajuda' de área de trabalho remota e será excluída automaticamente se nenhuma solicitação da assistência remota estiver pendente. Para obter mais informações sobre a Assistência Remota, consulte Administrando a Assistência Remota.

Protegendo contas de usuário

Se os direitos e permissões de contas internas não forem modificados ou desabilitados por um administrador de rede, poderão ser usados por qualquer usuário (ou serviço) mal-intencionado que faça logon ilegalmente em um domínio usando a identidade Administrador ou Convidado. Uma boa prática de segurança para proteger essas contas é renomeá-las ou desabilitá-las. Como mantém o seu identificador de segurança (SID), a conta de usuário renomeada mantém todas as outras propriedades, como descrição, senha, membros de grupo, perfil do usuário, dados da conta e todas as permissões e direitos de usuário atribuídos.

Para obter a segurança de autenticação e autorização de usuário, crie uma conta de usuário individual para cada usuário que participará da rede usando Usuários e computadores do Active Directory. Cada conta de usuário (inclusive as contas Administrador e Convidado) pode ser adicionada a um grupo para controlar os direitos e permissões atribuídos à conta. O uso de contas e grupos apropriados à sua rede garante que os usuários que fizerem logon em uma rede possam ser identificados e possam acessar somente os recursos permitidos.

Você pode ajudar a proteger seu domínio contra atacantes, requerendo senhas de alto nível e implementando uma política de bloqueio de conta. As senhas de alto nível reduzem o risco de adivinhações inteligentes e ataques com dicionário. Para obter mais informações, consulte Senhas de alta segurança e Práticas recomendadas de senhas para senhas.

Uma política de bloqueio de conta reduz a possibilidade de um ataque que comprometa o domínio por meio de tentativas de logon repetidas. Isso ocorre porque uma política de bloqueio de conta determina quantas tentativas de logon com falha podem ocorrer em uma conta de usuário antes que ela seja desabilitada. Para obter mais informações, consulte Aplicar ou modificar a diretiva de bloqueio de conta.

Para obter mais informações sobre como proteger contas de usuário, consulte Protegendo o Active Directory.

Opções de conta

Cada conta de usuário do Active Directory tem uma série de opções relacionadas à segurança que determinam como alguém que faça logon com uma determinada conta de usuário será autenticado na rede. Você pode usar as opções a seguir para configurar senhas e informações específicas de segurança para contas de usuário:

 

Opção de conta Descrição

O usuário deve alterar a senha no próximo logon

Força um usuário a alterar a senha na próxima vez que fizer logon na rede. Use esta opção quando deseja garantir que o usuário será a única pessoa a conhecer a senha.

O usuário não pode alterar a senha

Impede que os usuários alterem suas senhas. Use esta opção quando desejar manter o controle sobre uma conta de usuário, como uma conta de convidado ou temporária.

A senha nunca expira

Impede que uma senha do usuário expire. É recomendável que as contas de Serviço tenham esta opção habilitada e usem senhas de alto nível. Para obter mais informações sobre senhas de alta segurança, consulte Senhas de alta segurança.

Armazenar senhas usando criptografia reversível

Permite que um usuário faça logon em uma rede Windows usando computadores Apple. Se o usuário não estiver fazendo logon de um computador Apple, não utilize esta opção. Para obter mais informações, consulte Armazenar senhas usando criptografia reversível.

Conta desabilitada

Impede que um usuário faça logon com a conta selecionada. Muitos administradores usam contas desabilitadas como modelos para contas de usuário comuns. Para obter mais informações, consulte Desativar ou ativar uma conta de usuário.

O cartão inteligente é necessário para o logon interativo

Requer que um usuário possua um cartão inteligente para fazer logon na rede interativamente. O usuário também deve ter um leitor de cartão inteligente conectado ao computador e um número de identificação pessoal (PIN) válido para o cartão inteligente. Quando essa opção for selecionada, a senha para a conta do usuário será automaticamente definida com um valor complexo e aleatório e a opção da conta A senha nunca expira será definida. Para obter mais informações sobre cartões inteligentes, consulte Fazendo logon em um computador com um cartão inteligente e Processo de autenticação.

A conta é confiável para delegação

Permite que um serviço que está sendo executado sob esta conta execute operações em nome de outras contas de usuário na rede. Um serviço executado sob uma conta de usuário (também conhecido como conta de serviço) que é confiável para delegação pode representar um cliente para obter acesso a recursos no computador onde o serviço está sendo executado ou em outros computadores. Em uma floresta definida com o nível funcional de Windows Server 2003, esta configuração localiza-se na guia Delegação e só está disponível para contas às quais foram atribuídos nomes principais de serviço (SPNs), conforme definidos usando o comando setspn das Ferramentas de suporte do Windows. É um campo relacionado à segurança e deve ser atribuído com cuidado. Para obter mais informações, consulte Permitir que um usuário seja confiável para delegação e Delegando a autenticação.

Esta opção só está disponível em controladores de domínio executando Windows Server 2003 onde a funcionalidade de domínio é definida como Windows 2000 misto ou Windows 2000 nativo. Em controladores de domínio que executam Windows Server 2003 onde o nível funcional de domínio é definido como Windows Server 2003, a guia Delegação é usada para definir configurações de delegação. A guia Delegação somente aparece para contas às quais foi atribuído um SPN. Para obter mais informações sobre a funcionalidade de domínio, consulte Funcionalidade de domínio e de floresta. Para obter mais informações sobre a configuração de delegação em um domínio do Windows Server 2003, consulte Permitir que um usuário seja confiável para delegação.

A conta é sensível à segurança e não pode ser delegada

Permite o controle sobre uma conta de usuário, como uma conta de convidado ou temporária. Esta opção pode ser usada se esta conta não puder ser atribuída para delegação por outra conta.

Use os tipos de criptografia DES para esta conta

Fornece suporte para o padrão de criptografia de dados (DES). O DES fornece suporte a vários níveis de criptografia, inclusive o MPPE padrão (40 bits), o MPPE padrão (56 bits), o MPPE de alta segurança (128 bits), o DES IPSec (40 bits), o DES IPSec de 56 bits e o IPSec Triple DES (3DES). Para obter mais informações sobre a criptografia DES, consulte Criptografia de dados.

Não exigir pré-autenticação Kerberos

Fornece suporte para implementações alternativas do protocolo Kerberos V5. Os controladores de domínio que executam o Windows 2000 ou Windows Server 2003 podem usar outros mecanismos para sincronizar o tempo. Como a pré-autenticação fornece segurança adicional, tenha cuidado ao habilitar esta opção. Para obter mais informações sobre o Kerberos, consulte Autenticação Kerberos V5.

Contas InetOrgPerson

O Active Directory fornece suporte para a classe de objeto InetOrgPerson e seus atributos associados definidos na RFC 2798. A classe de objeto InetOrgPerson é usada em vários serviços de diretório LDAP e X.500 não-Microsoft para representar pessoas em uma organização.

O suporte para InetOrgPerson torna mais eficientes as migrações de outros diretórios LDAP para o Active Directory. O objeto InetOrgPerson é derivado da classe de usuário e pode ser usado como objeto de segurança, assim como a classe de usuário. Para obter informações sobre a criação de uma conta de usuário inetOrgPerson, consulte Crie uma nova conta de usuário.

Quando o nível de domínio funcional foi definido como Windows Server 2003, você pode definir o atributo userPassword em InetOrgPerson e objetos de usuário como sendo a senha efetiva, assim como ocorre com o atributo unicodePwd.

Contas de computador

Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um servidor que executa Windows Server 2003 que se associa a um domínio têm uma conta de computador. Semelhantes a contas de usuário, as contas de computador fornecem um meio de autenticar e auditar o acesso do computador à rede e aos recursos de domínio. Cada conta de computador deve ser exclusiva.

Observação Computadores executando Windows 95 e Windows 98 não têm recursos de segurança avançados e não têm contas de computador atribuídas a eles.

As contas de usuário e computador são adicionadas, desabilitadas, redefinidas e excluídas usando Usuários e Computadores do Active Directory. Uma conta de computador também pode ser criada quando você inclui um computador em um domínio. Para obter mais informações sobre usuários e contas de usuário, consulte Nomeação do Active Directory e Nomes de objeto.

Quando o nível funcional de domínio foi definido como Windows Server 2003, um novo atributo lastLogonTimestamp é usado para rastrear o último horário de logon de uma conta de usuário ou computador. Este atributo é replicado no domínio e pode fornecer informações importantes sobre o histórico de um usuário ou computador.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft