As contas de usuário do Active Directory representam entidades físicas (como pessoas) e podem ser usadas como contas de serviço dedicado para alguns aplicativos.

Também conhecidas como entidades de segurança, as contas de usuário são objetos de diretório aos quais são atribuídos automaticamente identificadores de segurança (SIDs), que podem ser usados para acessar recursos do domínio. Basicamente, uma conta de usuário:

  • Autentica a identidade de um usuário.

    Uma conta de usuário permite que um usuário faça logon em computadores e domínios com uma identidade que o domínio possa autenticar. Cada usuário que faz logon na rede deve ter sua própria conta de usuário e senha exclusiva. Para maximizar a segurança, evite ter vários usuários compartilhando uma conta.

  • Autoriza ou nega acesso a recursos do domínio.

    Depois que um usuário é autenticado, ele tem seu acesso a recursos de domínio autorizado ou negado com base nas permissões explícitas a ele atribuídas no recurso.

Contas de usuário

O contêiner Usuários no snap-in Usuários e Computadores do Active Directory exibe as três contas de usuário internas: Administrador, Convidado e HelpAssistant. Essas contas são criadas automaticamente durante a criação do domínio.

Cada conta interna tem uma combinação diferente de direitos e permissões. A conta Administrador possui os direitos e permissões mais abrangentes sobre o domínio, enquanto a conta Convidado tem direitos e permissões limitados. A tabela a seguir descreve cada conta de usuário padrão em controladores de domínio que executam o sistema operacional Windows Server® 2008 R2.

Conta de usuário padrão Descrição

Administrador

A conta Administrador tem controle total do domínio. Ela pode atribuir direitos de usuário e permissões de controle de acesso aos usuários do domínio conforme a necessidade. Use-a somente para tarefas que requeiram credenciais administrativas. É recomendável que você configure essa conta com uma senha forte.

A conta Administrador é um membro padrão dos seguintes grupos do Active Directory: Administradores, Admins. do Domínio, Administrador corporativo, Proprietários Criadores de Diretiva de Grupo e Administradores de Esquemas. Essa conta nunca pode ser excluída ou removida do grupo Administradores, mas ela pode ser renomeada ou desativada. Como a conta Administrador é conhecida por existir em várias versões do Windows, os usuários malintencionados terão mais dificuldades para acessá-la se você renomeá-la ou desabilitá-la.

A conta Administrador é a primeira conta criada quando se configura um novo domínio com o Assistente para Instalação dos Serviços de Domínio Active Directory.

Importante

Mesmo desabilitada, a conta Administrador pode ser usada para obter acesso a um controlador de domínio com Modo Seguro.

Convidado

Pessoas que não tenham uma conta real no domínio podem usar a conta Convidado. Um usuário cuja conta esteja desativada, mas não excluída, também pode usar a conta Convidado. Não é necessário ter senha para essa conta.

Você pode definir direitos e permissões para a conta Convidado, exatamente como para qualquer conta de usuário. Por padrão, essa conta é membro do grupo interno Convidados e do grupo global Convidados do Domínio, o que permite a um usuário fazer logon em um domínio. A conta Convidado é desativada por padrão e recomendamos que continue assim.

HelpAssistant (instalada com uma sessão de Assistência Remota)

A principal conta para estabelecer uma sessão de Assistência Remota. Essa conta é criada automaticamente quando você solicita uma sessão de Assistência Remota. Tem acesso limitado ao computador e é gerenciada pelo serviço Gerenciador de Sessão de Ajuda de Área de Trabalho Remota. A conta HelpAssistant é excluída automaticamente se não houver solicitações de Assistência Remota pendentes.

Protengendo contas de usuário

Se as permissões e os direitos de contas internas não forem modificados ou desabilitados por um administrador de rede, poderão ser usados por um usuário (ou serviço) malintencionado para fazer logon ilegalmente em um domínio usando a conta Administrador ou Convidado. Uma boa prática de segurança para proteger essas contas é renomeá-las ou desabilitá-las. Como seu SID não muda, a conta de usuário renomeada mantém todas as outras propriedades, como descrição, senha, membros de grupo, perfil do usuário e dados da conta, além de todas os direitos de usuário e permissões atribuídos.

Para obter as vantagens de segurança da autorização e autenticação de usuário, use o snap-in Usuários e Computadores do Active Directory para criar uma conta individual para cada usuário que participará da rede. Você poderá então adicionar cada conta de usuário (inclusive as contas Administrador e Convidado) a um grupo para controlar os direitos e permissões a ela atribuídos. Com contas e grupos apropriados para sua rede, você garante que possa identificar os usuários que fazem logon na rede e que eles tenham acesso apenas aos recursos permitidos.

Você pode ajudar a defender seu domínio contra invasores exigindo senhas fortes e implementando uma diretiva de bloqueio de conta. Senhas fortes reduzem o risco de detecção inteligente de senhas e ataques de dicionário em senhas. Uma diretiva de bloqueio de conta reduz a possibilidade de um invasor comprometer seu domínio depois de repetidas tentativas de logon e determina quantas tentativas de logon com falha uma conta de usuário poderá ter antes de ser desabilitada.

Opções de conta

Cada conta de usuário do Active Directory tem uma série de opções de conta que determinam como alguém conectado a uma conta de usuário específica é autenticado na rede. As opções da tabela a seguir podem ser usadas para definir configurações de senha e informações específicas de segurança para contas de usuário.

Opção de conta Descrição

O usuário deverá alterar a senha no próximo logon

Força o usuário a alterar sua senha na próxima vez em que fizer logon na rede. Habilite esta opção quando quiser garantir que o usuário será a única pessoa a saber a senha.

O usuário não pode alterar a senha

Impede que um usuário altere sua senha. Habilite esta opção quando quiser manter controle sobre uma conta de usuário, como uma conta temporária ou Convidado.

A senha nunca expira

Impede que uma senha de usuário expire. É recomendável que contas de serviço tenham esta opção habilitada e usem senhas fortes.

Armazenar senhas usando criptografia reversível

Permite que um usuário faça logon em uma rede do Windows a partir de computadores Apple. Se o usuário não estiver fazendo logon a partir de um computador Apple, não habilite esta opção.

Conta desabilitada

Impede que um usuário faça logon com a conta selecionada. Muitos administradores usam contas desabilitadas como modelos para contas de usuário comuns.

Cartão inteligente necess. p/ logon interativo

Requer que um usuário possua um cartão inteligente para fazer logon na rede interativamente. O usuário também deve ter um leitor de cartão inteligente conectado ao computador e um PIN válido para o cartão inteligente. Com esta opção habilitada, a senha da conta de usuário é definida automaticamente como um valor complexo e aleatório e a opção de conta A senha nunca expira está selecionada.

A conta é confiável para delegação

Permite que um serviço executado sob esta conta execute operações em nome de outras contas de usuário na rede. Um serviço executado sob uma conta de usuário (também conhecido como conta de serviço) que seja confiável para delegação pode representar um cliente para obter acesso a recursos no computador em que o serviço está sendo executado ou em outros computadores. Em uma floresta definida para o nível funcional do Windows Server 2008 R2, esta opção pode ser encontrada na guia Delegação. Ela está disponível somente para contas às quais tenham sido atribuídos SPNs (nomes da entidade de serviço), conforme definido com o comando setspn no Windows Server 2008 R2. (Abra uma janela de comando e digite setspn.) Este é um recurso sensível à segurança; atribua-o com cautela.

Esta opção está disponível somente em controladores de domínio com o Windows Server 2008 R2 no qual a funcionalidade de domínio esteja definida como Windows® 2000 misto ou nativo. Em controladores de domínio executando o Windows Server 2008 e o Windows Server 2008 R2 nos quais o nível funcional do domínio esteja definido como o Nível funcional de floresta do Windows Server 2008 ou do Windows Server 2008 R2, use a guia Delegação na caixa de diálogo de propriedades do usuário para definir configurações de delegação. A guia Delegação aparecerá somente para contas que tenham um SPN atribuído.

Conta sensível à segurança não pode ser deleg.

Você pode usar esta opção se a conta (temporária ou Convidado, por exemplo) não puder ser atribuída para delegação por outra conta.

Use tipos de criptografia DES p/ esta conta

Oferece suporte para o Padrão de Criptografia de Dados (DES). O DES dá suporte a vários níveis de criptografia, como o MPPE (criptografia ponto a ponto da Microsoft) padrão de 40 bits, o MPPE padrão de 56 bits, o MPPE Strong de 128 bits, o IPSec DES de 40 bits, o IPSec DES de 56 bits e o IPSec DES triplo (3DES).

Não exigir pré-autenticação Kerberos

Oferece suporte para implementações alternativas do protocolo Kerberos. Entretanto, tome cuidado ao habilitar esta opção porque a pré-autenticação Kerberos fornece segurança adicional e requer sincronização de data/hora entre o cliente e o servidor.

Contas de inetOrgPerson

O AD DS (Serviços de Domínio Active Directory) oferece suporte para a classe de objeto InetOrgPerson e seus atributos associados conforme definido na RFC (Solicitação de Comentários) 2798. A classe de objeto InetOrgPerson é usada em vários serviços de diretório não-LDAP e X.500 para representar pessoas em uma organização.

O suporte para InetOrgPerson torna mais eficiente a migração de outros diretórios LDAP para o AD DS. O objeto InetOrgPerson deriva da classe user e pode funcionar como entidade de segurança exatamente como a classe user. Para obter informações sobre como criar uma conta de usuário inetOrgPerson, consulte Criar uma nova conta de computador.

Quando o nível funcional de domínio estiver definido como Windows Server 2008 ou Windows Server 2008 R2, você poderá definir o atributo userPassword no InetOrgPerson e objetos de usuário como sendo a senha efetiva, exatamente como é possível fazer com o atributo unicodePwd.

Referências adicionais


Sumário