Exportar (0) Imprimir
Expandir Todos

Contas de utilizador e computador

Contas de utilizador e computador

As contas de utilizador e as contas de computador do Active Directory representam uma entidade física, tal como um computador ou uma pessoa. As contas de utilizador também podem ser utilizadas como contas de serviço dedicadas para algumas aplicações.

As contas de utilizador e de computador (tal como grupos) são também denominadas principais de segurança. Os principais de segurança são objectos de directório aos quais são atribuídos automaticamente identificadores de segurança (SID, Security IDs) que podem ser utilizados para aceder a recursos de domínio. Uma conta de utilizador ou computador é utilizada para:

  • Autenticar a identidade de um utilizador ou computador.
    Uma conta de utilizador permite a um utilizador iniciar sessão em computadores e domínios com uma identidade que pode ser autenticada pelo domínio. Para obter informações sobre autenticação, consulte Controlo de acesso no Active Directory. Cada utilizador que inicie sessão na rede deve ter uma conta de utilizador exclusiva e a respectiva palavra-passe. Para maximizar a segurança, deve evitar que vários utilizadores partilhem uma conta.
  • Autorizar ou recusar o acesso a recursos de domínio.
    Quando o utilizador tiver sido autenticado, é-lhe autorizado ou recusado o acesso a recursos de domínio com base nas permissões explícitas atribuídas a esse utilizador no recurso. Para mais informações, consulte Informações sobre segurança para o Active Directory.
  • Administrar outros principais de segurança.
    O Active Directory cria um objecto principal de segurança externo no domínio local para representar cada principal de segurança de um domínio externo fidedigno. Para mais informações sobre principais de segurança externos, consulte Quando deve criar uma fidedignidade externa.
  • Efectuar a auditoria de acções executadas utilizando a conta de utilizador ou computador.
    A auditoria pode ajudá-lo a monitorizar a segurança da conta. Para mais informações sobre auditoria, consulte Auditing overview.

Contas de utilizador

O contentor Utilizadores localizado em Utilizadores e Computadores do Active Directory apresenta as três contas de utilizador incorporadas: a conta de administrador, convidado e assistente de ajuda. Estas contas de utilizador incorporadas são criadas automaticamente quando cria o domínio.

Cada conta incorporada tem uma combinação diferente de direitos e permissões. A conta de administrador é a que tem mais direitos e permissões no domínio, enquanto a conta de convidado tem um número limitado de direitos e permissões. A tabela abaixo descreve cada conta de utilizador predefinida em controladores de domínio com o Windows Server 2003.

 

Conta de utilizador predefinida Descrição

Conta de administrador

A conta de Administrador tem controlo total do domínio e pode atribuir direitos de utilizador e permissões de controlo de acesso a utilizadores do domínio, conforme necessário. Esta conta deve ser utilizada apenas para tarefas que exijam credenciais administrativas. Recomenda-se que configure esta conta com uma palavra-passe segura. Para mais informações, consulte Palavras-passe seguras. Para considerações adicionais sobre segurança para contas com credenciais administrativas, consulte Active Directory - Procedimentos Recomendados.

A conta de Administrador é um membro predefinido dos grupos Administradores, Admins do Domínio, Admins da Empresa, Proprietários do Criador de Políticas de Grupo e Admins de Esquemas no Active Directory. A conta de administrador nunca pode ser eliminada ou removida do grupo Administradores, mas pode ser desactivada ou o nome pode ser mudado. Uma vez que a conta de administrador existe em muitas versões do Windows, mudar-lhe o nome ou desactivá-la tornará mais difícil o seu acesso por parte de utilizadores mal intencionados. Para mais informações sobre como mudar o nome ou desactivar uma conta de utilizador, consulte Mudar o nome de uma conta de utilizador local ou Desactivar ou activar uma conta de utilizador.

A conta de administrador é a primeira conta criada quando configurar um novo domínio utilizando o Assistente de instalação do Active Directory.

  • Importante Quando a conta de Administrador é desactivada, ainda pode ser utilizada para obter acesso a um controlador de domínio utilizando o Modo de Segurança.

Conta de convidado

A conta de Convidado é utilizada por pessoas que não possuem uma conta no domínio. Um utilizador cuja conta tenha sido desactivada (mas não eliminada) também pode utilizar a conta de convidado. A conta de convidado não necessita de uma palavra-passe.

Pode configurar direitos e permissões para a conta de Convidado da mesma forma que para qualquer conta de utilizador. Por predefinição, a conta de Convidado é membro do grupo Convidados incorporado e do grupo global Convidados do Domínio que permite a um utilizador iniciar sessão num domínio. A conta de convidado está desactivada por predefinição e é aconselhável que permaneça desactivada.

Conta de assistente de ajuda (instalada com uma sessão de Assistência remota)

A conta primária utilizada para estabelecer uma sessão de Assistência remota. Esta conta é criada automaticamente quando solicita uma sessão de Assistência remota e tem acesso limitado ao computador. A conta de assistente de ajuda é gerida pelo serviço Gestor de sessões de ajuda do 'Ambiente de trabalho remoto' e será automaticamente eliminada se não existirem pedidos de Assistência remota pendentes. Para mais informações sobre Assistência Remota, consulte Administrar a Assistência Remota.

Proteger contas de utilizador

Se os direitos e permissões das contas incorporadas não forem alterados nem desactivados por um administrador de rede, podem ser utilizados por um utilizador (ou serviço) mal intencionado para iniciar sessão num domínio de forma ilegal utilizando a identidade de Administrador ou de Convidado. Um bom procedimento de segurança para proteger estas contas consiste em mudar-lhes o nome ou desactivá-las. Uma vez que retém o respectivo identificador de segurança (SID, Security ID), uma conta de utilizador com outro nome retém todas as outras propriedades, tais como a descrição, a palavra-passe, os membros de grupos, o perfil de utilizador, informações de conta e quaisquer permissões e direitos de utilizador atribuídos.

Para obter a segurança da autenticação e autorização de utilizadores, crie uma conta de utilizador individual para cada utilizador que participe na rede utilizando Utilizadores e computadores do Active Directory. Cada conta de utilizador (incluindo as contas de administrador e de convidado) pode ser adicionada a um grupo para controlar os direitos e permissões atribuídos à conta. Utilizar contas e grupos adequados para a rede é uma garantia de que os utilizadores com sessão iniciada numa rede podem ser identificados e ter acesso apenas aos recursos permitidos.

Pode ajudar a defender o domínio de intrusos requerendo palavras-passe seguras e implementando uma política de bloqueio de conta. As palavras-passe seguras reduzem o risco de detecção inteligente e de ataques de dicionários de palavras-passe. Para mais informações, consulte Palavras-passe seguras e Procedimentos Recomendados Para Palavras-passe para palavras-passe.

Uma política de bloqueio de conta diminui a possibilidade de um intruso pôr em risco o domínio através de tentativas repetidas de início de sessão. Isto acontece porque uma política de bloqueio de conta determina o número de tentativas de início de sessão sem êxito possíveis para uma conta de utilizador antes de ser desactivada. Para mais informações, consulte Aplicar ou modificar uma política de bloqueio de conta.

Para mais informações sobre como proteger contas de utilizador, consulte Proteger o Active Directory.

Opções de conta

Cada conta de utilizador do Active Directory tem um número de opções de conta que determinam a forma como alguém com sessão iniciada com essa conta de utilizador específica é autenticado na rede. Pode utilizar as seguintes opções para configurar definições de palavra-passe e informações específicas de segurança para contas de utilizador:

 

Opções de conta Descrição

O utilizador tem de alterar a palavra-passe no próximo início de sessão

Faz com que o utilizador altere a respectiva palavra-passe na próxima vez que o utilizador iniciar sessão na rede. Utilize esta opção quando pretender garantir que o utilizador será a única pessoa que sabe a respectiva palavra-passe.

O utilizador não pode alterar a palavra-passe

Impede que um utilizador altere a respectiva palavra-passe. Utilize esta opção quando pretender manter o controlo de uma conta de utilizador como, por exemplo, uma conta de convidado ou uma conta temporária.

A palavra-passe nunca expira

Impede que a palavra-passe do utilizador expire. Recomenda-se que as contas de serviço tenham esta opção activada e que utilizem palavras-passe seguras. Para mais informações sobre palavras-passe seguras, consulte Palavras-passe seguras.

Armazenar palavras-passe utilizando a encriptação reversível

Permite ao utilizador iniciar sessão numa rede do Windows a partir de computadores Apple. Se o utilizador não iniciar sessão a partir de um computador Apple, esta opção não deve ser utilizada. Para mais informações, consulte Armazenar palavras-passe utilizando a encriptação reversível.

A conta está desactivada

Impede que um utilizador inicie sessão com a conta seleccionada. Muitos administradores utilizam contas desactivadas como modelos para contas de utilizador comuns. Para mais informações, consulte Desactivar ou activar uma conta de utilizador.

O cartão Smart Card é necessário para início de sessão interactivo

Requer que um utilizador tenha um cartão Smart Card para iniciar sessão na rede interactivamente. O utilizador terá também de ter um leitor de cartões Smart Card ligado ao computador e um número de identificação pessoal (PIN) válido para o Smart Card. Quando esta opção é seleccionada, a palavra-passe para a conta de utilizador é automaticamente definida para um valor aleatório e complexo e é definida a opção de conta A palavra-passe nunca expira. Para mais informações sobre cartões Smart Card, consulte Iniciar sessão num computador com um cartão Smart Card e Processo de autenticação.

A conta é fidedigna para delegação

Permite que um serviço em execução nesta conta execute operações em nome de outras contas de utilizador na rede. Um serviço em execução numa conta de utilizador (também conhecida como conta de serviço) que seja fidedigna para delegação pode representar um cliente para obter acesso a recursos no computador onde o serviço está a ser executado ou noutros computadores. Numa floresta definida para o nível de funcionalidade do Windows Server 2003, esta definição encontra-se no separador Delegação e só está disponível para contas às quais tenham sido atribuídos nomes principais de serviço (SPN, Service Principal Names), definidos utilizando o comando setspn das Ferramentas de Suporte do Windows. Esta é uma capacidade de segurança importante e deve ser atribuída cuidadosamente. Para mais informações, consulte Permitir que um utilizador seja considerado fidedigno para delegação e Delegar autenticação.

Esta opção só está disponível em controladores de domínio com o Windows Server 2003, em que a funcionalidade de domínio está definida para o Windows 2000 misto ou para o Windows 2000 nativo. Nos controladores de domínio com o Windows Server 2003, em que o nível de funcionalidade de domínio está definido para o Windows Server 2003, é utilizado o separador Delegação para configurar as definições de delegação. O separador Delegação aparece apenas nas contas às quais tenha sido atribuído um SPN. Para mais informações sobre a funcionalidade de domínio, consulte Domain and forest functionality. Para mais informações sobre como configurar a delegação num domínio do Windows Server 2003, consulte Permitir que um utilizador seja considerado fidedigno para delegação.

A conta é sensível e não pode ser objecto de delegação

Permite controlar uma conta de utilizador como, por exemplo, uma conta de convidado ou uma conta temporária. Esta opção pode ser utilizada se esta conta não puder ser atribuída para delegação por outra conta.

Utilizar os tipos de encriptação DES para esta conta

Fornece suporte para DES (Data Encryption Standard). O DES suporta vários níveis de encriptação, incluindo o MPPE Standard (40 bits), o MPPE Standard (56 bits), o MPPE Strong (128 bits), o IPSec DES (40 bits), o IPSec DES de 56 bits e o IPSec DES triplo (3DES). Para mais informações sobre encriptação DES, consulte Encriptação de dados.

Não é necessária pré-autenticação Kerberos

Fornece suporte para implementações alternativas do protocolo de Kerberos. Os controladores de domínio com o Windows 2000 ou o Windows Server 2003 podem utilizar outros mecanismos para sincronizar o tempo. Tendo em conta que a pré-autenticação fornece segurança adicional, tenha atenção quando activar esta opção. Para mais informações sobre Kerberos, consulte Autenticação Kerberos V5.

Contas InetOrgPerson

O Active Directory fornece suporte para a classe de objecto InetOrgPerson e para os respectivos atributos associados, definidos no RFC 2798. A classe de objecto InetOrgPerson é utilizada em vários serviços de directório LDAP e X.500 que não são da Microsoft para representar as pessoas de uma empresa.

O suporte para InetOrgPerson torna as migrações efectuadas a partir de outros directórios LDAP para o Active Directory mais eficazes. O objecto InetOrgPerson deriva da classe de utilizador e pode ser utilizado como um principal de segurança tal como a classe de utilizador. Para obter informações sobre como criar uma conta de utilizador InetOrgPerson, consulte Criar uma nova conta de utilizador.

Quando o nível de funcionalidade de domínio for definido para o Windows Server 2003, pode definir o atributo userPassword em InetOrgPerson e os objectos de utilizador como sendo a palavra-passe efectiva, tal como acontece com o atributo unicodePwd.

Contas de computador

Qualquer computador com o Windows NT, Windows 2000, Windows XP ou um servidor com o Windows Server 2003 que esteja associado a um domínio tem uma conta de computador. Tal como as contas de utilizador, as contas de computador fornecem um meio de autenticação e de auditoria do acesso de computador à rede e a recursos do domínio. Cada conta de computador tem de ser exclusiva.

Nota Os computadores com o Windows 95 e o Windows 98 não têm funcionalidades avançadas de segurança e não têm contas de computador atribuídas.

As contas de utilizador e computador podem ser adicionadas, desactivadas, repostas e eliminadas utilizando Utilizadores e Computadores do Active Directory. Também é possível criar uma conta de computador quando associar um computador a um domínio. Para mais informações sobre contas de utilizador e computador, consulte atribuição de nomes do Active Directory e Nomes de objectos.

Quando o nível de funcionalidade do domínio for definido para o Windows Server 2003, é utilizado um novo atributo lastLogonTimestamp para controlar o último início de sessão de uma conta de utilizador ou computador. Este atributo é replicado no domínio e pode fornecer-lhe informações importantes relativamente ao histórico de um utilizador ou computador.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft