As contas de utilizador do Active Directory representam entidades físicas, tais como, pessoas. Pode também utilizar contas de utilizador como contas de serviço dedicadas para algumas aplicações.

As contas de utilizador são também denominadas principais de segurança. Os principais de segurança são objectos de directório aos quais são atribuídos automaticamente SIDs (identificadores de segurança) e que podem ser utilizados no acesso aos recursos do domínio. Fundamentalmente, uma conta de utilizador:

  • Autentica a identidade de um utilizador.

    Uma conta de utilizador permite a um utilizador iniciar sessão em computadores e domínios com uma identidade que o domínio consegue autenticar. Cada utilizador que inicie sessão na rede deve ter uma conta de utilizador e uma palavra-passe exclusivas. Para maximizar a segurança, evite que diversos utilizadores partilhem uma conta.

  • Autoriza ou nega o acesso aos recursos do domínio.

    Após a autenticação do utilizador, é-lhe permitido ou negado acesso aos recursos do domínio com base nas permissões explícitas atribuídas ao utilizador no recurso.

Contas de utilizador

O contentor Utilizadores no snap-in Utilizadores e Computadores do Active Directory apresenta as três contas de utilizador integradas: Administrador, Convidado e Assistência na Ajuda. Estas contas de utilizador integradas são criadas automaticamente quando cria o domínio.

Cada conta integrada tem uma combinação diferente de direitos e permissões. A conta Administrador tem os direitos e as permissões mais abrangentes para o domínio, enquanto que a conta Convidado tem direitos e permissões limitados. A tabela seguinte descreve cada conta de utilizador predefinida em controladores de domínio com o sistema operativo Windows Server® 2008 R2.

Conta de utilizador predefinida Descrição

Administrador

A conta Administrador tem controlo total sobre o domínio. Pode atribuir direitos de utilizador e permissões de controlo de acesso a utilizadores de domínio, conforme necessário. Utilize esta conta apenas para as tarefas que exigem credenciais administrativas. Recomendamos que configure esta conta com uma palavra-passe segura.

A conta Administrador é um membro predefinido dos seguintes grupos do Active Directory: Administradores, Admins do Domínio, Admins da Empresa, Proprietários do Criador de Políticas de Grupo e Admins de Esquemas. A conta de administrador nunca pode ser eliminada ou removida do grupo Administradores, mas pode ser desactivada ou o nome pode ser mudado. Uma vez que se sabe que a conta Administrador existe em muitas versões do Windows, mudar-lhe o nome ou desactivá-la tornará mais difícil o seu acesso, por parte de utilizadores mal intencionados.

A conta Administrador é a primeira conta criada quando configura um novo domínio com o Assistente de Instalação dos Serviços de Domínio do Active Directory.

Importante

Mesmo quando está desactivada, a conta Administrador pode continuar a ser utilizada no acesso a um controlador de domínio em Modo de Segurança.

Convidado

Pessoas que não tenham uma conta real no domínio podem utilizar a conta Convidado. Um utilizador cuja conta esteja desactivada (mas não eliminada), pode utilizar também a conta Convidado. A conta Convidado não exige uma palavra-passe.

Pode definir direitos e permissões para a conta Convidado da mesma forma que para qualquer conta de utilizador. Por predefinição, a conta Convidado é um membro do grupo Convidados integrado e do grupo global Convidados do Domínio, que permite a um utilizador iniciar sessão num domínio. A conta Convidado está desactivada por predefinição e recomenda-se que permaneça desactivada.

Assistência na Ajuda (instalada com uma sessão de Assistência Remota)

A conta primária para estabelecer uma sessão de Assistência Remota. Esta conta é criada automaticamente quando solicita uma sessão de Assistência Remota. Tem acesso limitado ao computador. A conta Assistência na Ajuda é gerida pelo serviço Gestor de Sessões de Ajuda do Ambiente de Trabalho Remoto. Esta conta é eliminada automaticamente se não existirem pedidos de Assistência Remota pendentes.

Proteger contas de utilizador

Se os direitos de conta e as permissões integrados não forem modificados nem desactivados por um administrador de rede, podem ser utilizados por um utilizador mal intencionado (ou serviço malicioso) para iniciar sessão ilegalmente num domínio através da conta Administrador ou Convidado. Um bom procedimento de segurança para a protecção destas contas é mudar o nome ou desactivá-las. Uma vez que retém o respectivo SID, uma conta de utilizador cujo nome tenha sido mudado retém todas as respectivas propriedades, tais como a descrição, a palavra-passe, as associações de grupo, o perfil de utilizador, as informações de conta e quaisquer permissões e direitos de utilizador atribuídos.

Para usufruir dos benefícios de segurança proporcionados pela autenticação e autorização de utilizador, utilize Utilizadores e Computadores do Active Directory para criar uma conta de utilizador individual para cada utilizador com acesso à rede. Em seguida, pode adicionar cada conta de utilizador (incluindo as contas Administrador e Convidado) a um grupo para controlar os direitos e as permissões atribuídas à conta. Ao obter contas e grupos adequados à rede, garante a identificação dos utilizadores que iniciam sessão na rede, limitando o respectivo acesso apenas aos recursos permitidos.

Pode proteger o domínio contra atacantes requerendo palavras-passe seguras e implementando uma política de bloqueio de conta. As palavas-passe seguras reduzem o risco de descodificação inteligente de palavras-passe e ataques de dicionário às palavras-passe. Uma política de bloqueio de conta reduz a possibilidade de um atacante pôr em causa o domínio através de repetidas tentativas de início de sessão. Uma política de bloqueio de conta determina o número de tentativas de início de sessão falhadas permitidas antes de a conta de utilizador ser desactivada.

Opções de conta

Cada conta de utilizador do Active Directory tem diversas opções de conta que determinam a forma como alguém que inicie sessão com uma conta de utilizador específica é autenticado na rede. Pode utilizar as opções na tabela seguinte para configurar as definições de palavra-passe e as informações de segurança para as contas de utilizador.

Opção de conta Descrição

O utilizador tem de alterar a palavra-passe no próximo início de sessão

Força o utilizador a alterar a palavra-passe quando voltar a iniciar sessão na rede. Active esta opção se pretender que o utilizador seja a única pessoa a conhecer a palavra-passe.

O utilizador não pode alterar a palavra-passe

Impede o utilizador de alterar a palavra-passe. Active esta opção se pretender manter o controlo de uma conta de utilizador, como, por exemplo, uma conta Convidado ou uma conta temporária.

A palavra-passe nunca expira

Impede uma palavra-passe de utilizador de expirar. Recomendamos que as contas de serviço tenham esta opção activada e utilizem palavras-passe seguras.

Armazenar palavras-passe utilizando a encriptação reversível

Permite a um utilizador iniciar sessão numa rede Windows a partir de computadores Apple. Se o utilizador não estiver a iniciar sessão a partir de um computador Apple, não active esta opção.

A conta está desactivada

Impede um utilizador de iniciar sessão com a conta seleccionada. Muitos administradores utilizam contas desactivadas como modelos para contas de utilizador comuns.

Para início de sessão interactivo é exigido um cartão Smart Card

Exige que um utilizador tenha um Smart Card para iniciar sessão interactivamente na rede. O utilizador necessita de ter também um leitor de Smart Card ligado ao computador e um PIN (número de identificação pessoal) válido para o Smart Card. Quando esta opção está activada, a palavra-passe da conta de utilizador é definida automaticamente como um valor aleatório e complexo e a opção de conta A palavra-passe nunca expira é definida.

A conta é fidedigna para delegação

Permite que um serviço executado com esta conta efectue operações em nome de outras contas de utilizador na rede. Um serviço executado numa conta de utilizador (também designada conta de serviço) fidedigna para delegação pode representar um cliente para obter acesso aos recursos do computador onde o serviço é executado ou a recursos noutros computadores. Numa floresta definida como nível de funcionalidade Windows Server 2008 R2, esta opção é apresentada no separador Delegação. Só está disponível para contas com SPNs (nomes dos principais de serviço) atribuídos, tal como definido com o comando setspn no Windows Server 2008 R2. (Abra uma janela de comandos, e em seguida, escreva setspn.) Trata-se de uma capacidade de segurança; atribua-a com cuidado.

Esta opção está disponível apenas em controladores de domínio com o Windows Server 2008 R2, cuja funcionalidade de domínio está definida para o Windows® 2000 misto ou Windows 2000 nativo. Em controladores de domínio com o Windows Server 2008 e o Windows Server 2008 R2, cujo nível de funcionalidade do domínio está definido para o Nível de funcionalidade da floresta do Windows Server 2008 ou do Windows Server 2008 R2, utilize o separador Delegação na caixa de diálogo de propriedades do utilizador para configurar as definições de delegação. O separador Delegação só é apresentado para as contas com SPN atribuído.

A conta é sensível e não pode ser objecto de delegação

Pode utilizar esta opção se não for possível atribuir a conta (por exemplo, uma conta Convidado ou temporária) para delegação através de outra conta.

Utilizar os tipos de encriptação DES para esta conta.

Fornece suporte para o DES (Data Encryption Standard). O DES suporta diversos níveis de encriptação, incluindo MPPE Standard (encriptação ponto a ponto da Microsoft) (40 bits), MPPE Standard (56 bits), MPPE Strong (128 bits), IPsec (protocolo IPsec) DES (40 bits), IPsec DES de 56 bits e IPsec Triple DES (3DES)

Não é exigida pré-autenticação Kerberos

Fornece suporte para implementações alternativas do protocolo Kerberos. No entanto, tome atenção quando activar esta opção pois a pré-autenticação Kerberos fornece segurança adicional e exige sincronização de hora entre o cliente e o servidor.

Contas InetOrgPerson

Os Serviços de Domínio do Active Directory (AD DS) fornecem suporte para a classe de objecto InetOrgPerson e respectivos atributos associados como definido no Request for Comments (RFC) 2798. A classe de objecto InetOrgPerson é utilizada em diversos serviços de directório não Microsoft, protocolo LDAP (Lightweight Directory Access Protocol) e X.500 para representar as pessoas de uma organização.

O suporte para InetOrgPerson torna a migração de outros directórios LDAP para o AD DS mais eficiente. O objecto InetOrgPerson deriva da classe user. Pode funcionar como um principal de segurança tal como a classe user. Para obter informações sobre a criação de uma conta de utilizador inetOrgPerson, consulte Criar uma Nova Conta de Utilizador.

Quando o nível de funcionalidade de domínio está definido para o Windows Server 2008 ou o Windows Server 2008 R2, pode definir o atributo userPassword em InetOrgPerson e os objectos de utilizador como sendo a palavra-passe efectiva, tal como acontece como o atributo unicodePwd.

Referências adicionais


Sumário