Noções sobre Contas de Utilizador

O contentor Utilizadores no Centro de Administração do Active Directory contém três contas de utilizador incorporadas: Administrador, Convidado e Assistente de Ajuda. Estas contas de utilizador incorporadas são criadas automaticamente quando cria o domínio.

Cada conta incorporada tem uma combinação diferente de direitos e permissões. A conta Administrador tem os direitos e permissões mais abrangentes para o domínio. A conta Convidado tem direitos e permissões limitados. A seguinte tabela descreve cada conta de utilizador predefinida em controladores de domínio com o Windows Server 2008 R2.

Conta de utilizador predefinida	Descrição
Administrador	A conta Administrador tem controlo total sobre o domínio. Pode atribuir direitos de utilizador e permissões de controlo de acesso a utilizadores do domínio, conforme necessário. Utilize esta conta apenas para as tarefas que exigem credenciais administrativas. Recomendamos que configure esta conta com uma palavra-passe segura. A conta Administrador é um membro predefinido dos seguintes grupos do Active Directory: Administradores, Admins do Domínio, Admins de Empresa, Proprietários do Criador de Políticas de Grupo e Admins de Esquemas. A conta Administrador nunca pode ser eliminada ou removida do grupo Administradores, mas pode ser desactivada ou o nome pode ser mudado. Uma vez que a conta Administrador existe em muitas versões do Windows, mudar-lhe o nome ou desactivá-la dificultará o acesso à mesma por parte de utilizadores mal intencionados. A conta Administrador é a primeira conta que é criada quando configura um novo domínio com o Assistente de Instalação dos Serviços de Domínio do Active Directory. Importante Mesmo quando está desactivada, a conta Administrador pode continuar a ser utilizada para obter acesso a um controlador de domínio em Modo de Segurança.
Convidado	As pessoas que não têm uma conta real no domínio podem utilizar a conta Convidado. Um utilizador cuja conta esteja desactivada (mas não eliminada), pode utilizar também a conta Convidado. A conta Convidado não exige uma palavra-passe. Pode definir direitos e permissões para a conta Convidado da mesma forma que para qualquer conta de utilizador. Por predefinição, a conta Convidado é um membro do grupo Convidados incorporado e do grupo global Convidados do Domínio, que permite a um utilizador iniciar sessão num domínio. A conta Convidado está desactivada por predefinição e recomenda-se que permaneça desactivada.
Assistente de Ajuda (instalado com uma sessão de Assistência Remota)	A conta Assistente de Ajuda é a conta principal para estabelecer uma sessão de Assistência Remota. Esta conta é criada automaticamente quando é solicitada uma sessão de Assistência Remota. Tem acesso limitado ao computador. O serviço Gestor de Sessões de Ajuda do Ambiente de Trabalho Remoto gere a conta Assistente de Ajuda. Esta conta é eliminada automaticamente se não existirem pedidos de Assistência Remota pendentes.

Se um administrador de rede não modificar os direitos e permissões de contas incorporadas, um utilizador malicioso (ou serviço) poderá utilizá-los para iniciar sessão num domínio ilegalmente utilizando a conta Administrador ou Convidado. Um bom procedimento de segurança para proteger estas contas consiste em mudar o nome ou desactivá-las. Uma vez que o SID é mantido, uma conta de utilizador cujo nome tenha sido mudado mantém todas as propriedades, tais como a descrição, a palavra-passe, as associações a grupos, o perfil de utilizador, as informações de conta e quaisquer permissões e direitos de utilizador atribuídos.

Para usufruir das vantagens em termos de segurança proporcionadas pela autenticação e autorização de utilizador, utilize o Centro de Administração do Active Directory para criar uma conta de utilizador individual para cada utilizador que pretenda ter acesso à rede. Em seguida, pode adicionar cada conta de utilizador (incluindo as contas Administrador e Convidado) a um grupo para controlar os direitos e as permissões atribuídos à conta. Ao ter contas e grupos adequados na rede, garante a identificação dos utilizadores que iniciam sessão na rede e que estes têm acesso apenas aos recursos permitidos.

Pode proteger o domínio contra atacantes exigindo palavras-passe seguras e implementando uma política de bloqueio de conta. As palavras-passe seguras reduzem o risco de descodificação inteligente de palavras-passe e ataques de dicionário às palavras-passe. Uma política de bloqueio de conta reduz a possibilidade de um atacante comprometer o domínio através de repetidas tentativas de início de sessão. Uma política de bloqueio de conta determina o número de tentativas de início de sessão falhadas permitidas numa conta de utilizador antes de esta ser desactivada.

Os Serviços de Domínio do Active Directory (AD DS) fornecem suporte para a classe de objecto InetOrgPerson e respectivos atributos associados, como definido no Request for Comments (RFC) 2798. A classe de objecto InetOrgPerson é utilizada em diversos serviços de directório que não são da Microsoft, protocolo LDAP (Lightweight Directory Access Protocol) e X.500, para representar as pessoas de uma organização.

O suporte para InetOrgPerson torna a migração de outros directórios LDAP para o AD DS mais eficiente. O objecto InetOrgPerson deriva da classe user. Pode funcionar como um principal de segurança, tal como um objecto da classe user. Para obter informações sobre a criação de uma conta de utilizador inetOrgPerson, consulte Criar uma Nova Conta de Utilizador.

Quando o nível funcional do domínio está definido como Windows Server 2008 ou Windows Server 2008 R2, pode definir o atributo userPassword em InetOrgPerson e os objectos de utilizador como sendo a palavra-passe efectiva, tal como acontece como o atributo unicodePwd.

• Gerir Utilizadores