Grupos de identidade especiais
Saiba mais sobre os grupos de identidade especiais do Windows Server (às vezes chamados de grupos de segurança) que são usados para o controle de acesso do Windows.
O que é um grupo de identidade especial?
Os grupos de identidade especiais são semelhantes aos grupos de segurança do Active Directory listados nos contêineres Internos e Usuários do Active Directory. Os grupos de identidade especiais podem fornecer uma maneira eficiente de atribuir acesso a recursos na sua rede. Ao usar grupos de identidade especiais, você pode:
Atribuir direitos de usuário a grupos de segurança no Active Directory.
Atribuir permissões a grupos de segurança nos recursos de acesso.
Como os grupos de identidade especiais funcionam no Windows Server
Se um servidor estiver executando uma das versões do sistema operacional Windows Server mostradas em Aplica-se a no início deste artigo, o servidor terá vários grupos de identidade especiais. Esses grupos de identidade especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias.
Embora você possa atribuir direitos e permissões para recursos específicos a um grupo de identidade especial, não é possível exibir ou modificar a associação de um grupo de identidade especial. Os escopos de grupo não se aplicam a grupos de identidade especiais. Os usuários são atribuídos automaticamente a grupos de identidade especiais ao entrar ou acessar um recurso específico.
Para obter informações sobre grupos de segurança do Active Directory e escopos de grupo, confira Grupos de segurança do Active Directory.
Grupos de identidade especiais padrão
Os grupos de identidade especiais padrão no Windows Server são descritos na seguinte lista:
- Logon Anônimo
- Propriedade de chave atestada
- Usuários Autenticados
- Identidade declarada pela autoridade de autenticação
- Batch
- Logon no console
- Creator Group (GRUPO CRIADOR)
- Criador Proprietário
- Conexão discada
- Autenticação Digest
- Controladores de Domínio Corporativo
- Controladores de domínio somente leitura da empresa
- Todos
- Nova Identidade de Chave Pública
- Interativo
- IUSR
- Confiança de chave
- Serviço Local
- LocalSystem
- Propriedade de chave de MFA
- Rede
- Serviço de Rede
- Autenticação NTLM
- Outra Organização
- Direitos de Proprietário
- Própria Entidade de Segurança
- Proxy
- Controladores de Domínio somente leitura
- Logon Interativo Remoto
- Restricted
- Autenticação SChannel
- Serviço
- Identidade declarada do serviço
- Usuário do Servidor de Terminal
- This Organization (Esta organização)
- Gerenciador de Janelas\Grupo do Gerenciador de Janelas
Logon Anônimo
Os usuários que acessam o sistema por meio de um logon anônimo têm a identidade Logon Anônimo. Essa identidade permite acesso anônimo a recursos, como a uma página da Web publicada em um servidor corporativo. Por padrão, o grupo Logon Anônimo não é membro do grupo Todos.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-7 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Propriedade de chave atestada
Um SID (identificador de segurança) que significa que o objeto confiável de chave tinha a propriedade atestada.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-6 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Usuários Autenticados
Os usuários que acessam o sistema por meio de um processo de entrada têm a identidade de Usuários Autenticados. Essa identidade permite o acesso a recursos compartilhados dentro do domínio, como arquivos em uma pasta compartilhada que devem ser acessíveis a todos os trabalhos da organização. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-11 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Acessar este computador na rede: SeNetworkLogonRight Adicionar estações de trabalho ao domínio: SeMachineAccountPrivilege Ignorar verificação completa: SeChangeNotifyPrivilege |
Identidade declarada pela autoridade de autenticação
Um SID que significa que a identidade do cliente é declarada por uma autoridade de autenticação com base na prova de posse das credenciais do cliente.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-1 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Lote
Os usuários ou processos que acessam o sistema como trabalho em lotes ou por meio da fila do lote tem a identidade do Lote. Essa identidade permite que trabalhos em lotes executem as tarefas agendadas, como um trabalho de limpeza noturna que exclui os arquivos temporários. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-3 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | nenhum |
Logon no console
Um grupo que inclui usuários conectados ao console físico. Esse SID pode ser usado para implementar políticas de segurança que concedem direitos diferentes com base no fato de que um usuário recebeu acesso físico ao console.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-2-1 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Creator Group (GRUPO CRIADOR)
A pessoa que criou um arquivo ou diretório é membro desse grupo de identidade especial. O sistema operacional do Windows Server usa essa identidade para conceder permissões de acesso automaticamente ao criador de um arquivo ou diretório.
Um SID de espaço reservado é criado em uma ACE (entrada de controle de acesso) herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do grupo primário do proprietário atual do objeto. O grupo primário é usado apenas pelo subsistema POSIX.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-3-1 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | nenhum |
Creator Owner (Proprietário criador)
A pessoa que criou um arquivo ou diretório é membro desse grupo de identidade especial. O sistema operacional do Windows Server usa essa identidade para conceder permissões de acesso automaticamente ao criador de um arquivo ou diretório. Um SID de espaço reservado é criado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do proprietário atual do objeto.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-3-0 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | nenhum |
Dialup (DIAL-UP)
Os usuários que acessam o sistema por meio de uma conexão discada tem a identidade de Conexão discada. Essa identidade distingue os usuários de conexão discada de outros tipos de usuários autenticados.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-1 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | nenhum |
Autenticação Digest
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-64-21 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | nenhum |
Controladores de Domínio Corporativo
Esse grupo inclui todos os controladores de domínio em uma floresta do Active Directory. Os controladores de domínio com funções e responsabilidades em toda a empresa têm a identidade de Controladores de Domínio Corporativo. Essa identidade permite que os controladores de domínio executem determinadas tarefas na empresa usando relações de confiança transitivas. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-9 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Acessar este computador na rede: SeNetworkLogonRight Permitir logon localmente: SeInteractiveLogonRight |
Controladores de domínio somente leitura da empresa
Esse grupo inclui todos os RODC (Controladores de Domínio Somente Leitura) em uma floresta do Active Directory. Um RODC corporativo pode replicar um subconjunto maior do banco de dados do Active Directory, incluindo o catálogo global e as partições de domínio somente leitura para todos os domínios da floresta. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-21-Domínio-raiz-498<> |
Classe Object | Grupo |
Local padrão no Active Directory | CN=Usuários, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Todos
Todos os usuários interativos, de rede, de conexão discada e autenticados são membros do grupo Todos. Esse grupo de identidade especial fornece amplo acesso aos recursos do sistema. Quando um usuário faz logon na rede, ele é adicionado automaticamente ao grupo Todos. A associação é controlada pelo sistema operacional.
Em computadores com o Windows 2000 e versões anteriores, o grupo Todos incluiu o grupo Logon Anônimo como membro padrão. A partir do Windows Server 2003, o grupo Todos contém apenas Usuários Autenticados e Convidados. O grupo não inclui mais o Logon Anônimo por padrão. Para alterar a configuração do grupo Todos para incluir o grupo Logon Anônimo, no Editor do Registro, acesse a chave Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa e defina o valor do DWORD everyoneincludesanonymous como 1.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-1-0 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Acessar este computador na rede: SeNetworkLogonRight Ignorar verificação completa: SeChangeNotifyPrivilege |
Nova Identidade de Chave Pública
Um SID que significa que a identidade do cliente é declarada por uma autoridade de autenticação com base na prova de posse atual das credenciais de chave pública do cliente.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-3 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Interativo
Os usuários conectados ao sistema local têm a identidade Interativa. Essa identidade permite que apenas os usuários locais acessem um recurso. Quando um usuário acessa um recurso específico no computador ao qual está conectado no momento, ele é adicionado automaticamente ao grupo Interativo. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-4 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
IUSR
O IIS (Serviços de Informações da Internet) usa essa conta por padrão, quando a autenticação anônima está habilitada.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-17 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Confiança de chave
Um SID que significa que a identidade do cliente é baseada na prova de posse das credenciais de chave pública, usando o objeto de confiança de chave.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-4 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Serviço Local
A conta de Serviço Local é semelhante à conta de Usuário Autenticado. Os membros da conta de Serviço Local tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajudará a salvaguardar o sistema caso serviços ou processos individuais fiquem comprometidos. Os serviços executados como a conta Serviço Local acessam os recursos de rede como uma sessão nula com credenciais anônimas. O nome dessa conta é AUTORIDADE NT\LocalService. Essa conta não tem uma senha.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-19 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Ajustar quotas de memória para um processo: SeIncreaseQuotaPrivilege Ignorar verificação completa: SeChangeNotifyPrivilege Alterar a hora do sistema: SeSystemtimePrivilege Alterar o fuso horário: SeTimeZonePrivilege Criar objetos globais: SeCreateGlobalPrivilege Gerar auditorias de segurança: SeAuditPrivilege Representar um cliente após a autenticação: SeImpersonatePrivilege Substituir um token no nível de processo: SeAssignPrimaryTokenPrivilege |
LocalSystem
A conta LocalSystem é uma conta de serviço usada pelo sistema operacional. A conta LocalSystem é uma conta importante que tem acesso total ao sistema e atua como o computador na rede. Se um serviço fizer logon na conta LocalSystem em um controlador de domínio, esse serviço terá acesso a todo o domínio. Alguns serviços são configurados por padrão para fazer logon na conta LocalSystem. Não altere a configuração de serviço padrão. O nome da conta é LocalSystem. Essa conta não tem uma senha.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-18 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Propriedade de chave de MFA
Um SID que significa que o objeto de confiança de chave tinha a propriedade MFA (autenticação multifator).
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-5 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Rede
Esse grupo inclui implicitamente todos os usuários conectados por meio de uma conexão de rede. Os usuários que acessam o sistema por meio de uma rede têm a identidade de rede. Essa identidade permite que apenas os usuários remotos acessem um recurso. Quando um usuário acessa um recurso específico na rede, esse usuário é adicionado automaticamente ao grupo Rede. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-2 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Serviço de Rede
A conta de Serviço de Rede é semelhante à conta de Usuário Autenticado. Os membros da conta de Serviço de Rede tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajudará a salvaguardar o sistema caso serviços ou processos individuais fiquem comprometidos. Os serviços que são executados como a conta Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador. O nome dessa conta é AUTORIDADE NT\NetworkService. Essa conta não tem uma senha.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-20 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Ajustar quotas de memória para um processo: SeIncreaseQuotaPrivilege Ignorar verificação completa: SeChangeNotifyPrivilege Criar objetos globais: SeCreateGlobalPrivilege Gerar auditorias de segurança: SeAuditPrivilege Representar um cliente após a autenticação: SeImpersonatePrivilege Substituir um token no nível de processo: SeAssignPrimaryTokenPrivilege |
Autenticação NTLM
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-64-10 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Outra Organização
Esse grupo inclui implicitamente todos os usuários conectados ao sistema por meio de uma conexão discada. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-1000 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Direitos de Proprietário
O grupo Direitos de Proprietário representa o proprietário atual do objeto. Quando uma ACE que carrega esse SID é aplicada a um objeto, o sistema ignora as permissões implícitas do READ_CONTROL e WRITE_DAC para o proprietário do objeto.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-3-4 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Própria Entidade de Segurança
Essa identidade é um espaço reservado em uma ACE em um usuário, grupo ou objeto de computador no Active Directory. Ao conceder permissões à Própria Entidade de Segurança, você concede permissões à entidade de segurança representada pelo objeto. Durante uma verificação de acesso, o sistema operacional substitui o SID da Própria Entidade de Segurança pelo SID da entidade de segurança representada pelo objeto.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-10 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Proxy
Identifica um proxy do SECURITY_NT_AUTHORITY.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-8 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Controladores de Domínio somente leitura
Esse grupo inclui todos os RODCs no domínio com direitos somente leitura para o banco de dados do Active Directory. Com exceção das senhas de conta, um RODC contém todos os objetos e atributos do Active Directory que um controlador de domínio gravável contém. Ele permite a implantação do controlador de domínio quando a segurança física é escassa ou não está garantida. Os RODCs são membros explícitos deste grupo.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-21-<domínio>-521 |
Classe Object | Grupo |
Local padrão no Active Directory | CN=Usuários, DC=<rootDomain> |
Direitos de usuário padrão | Nenhum |
Observação
O grupo Replicação de Senha RODC Negada é criado automaticamente quando uma conta RODC é criada na floresta. As senhas não podem ser replicadas no grupo Replicação de Senha RODC negada.
Logon Interativo Remoto
Essa identidade representa todos os usuários conectados a um computador usando uma conexão de Protocolo RDP. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-14 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Restritos
Os usuários e computadores com recursos restritos têm a identidade Restrita. Esse grupo de identidade é usado por um processo em execução em um contexto de segurança restrito, como a execução de um aplicativo com o serviço RunAs. Quando o código é executado no nível de segurança restrito, o SID Restrito é adicionado ao token de acesso do usuário.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-12 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Autenticação SChannel
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-64-14 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Serviço
Os serviços que acessas o sistema tem a identidade de Serviço. Esse grupo de identidade inclui todas as entidades de segurança conectadas como serviço. Essa identidade concede acesso aos processos que os serviços do Windows Server estão executando. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-6 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Criar objetos globais: SeCreateGlobalPrivilege Representar um cliente após a autenticação: SeImpersonatePrivilege |
Identidade declarada do serviço
Um SID que significa que a identidade do cliente é declarada por um serviço.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-18-2 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Usuário do Servidor de Terminal
Os usuários que acessam o sistema por meio dos Serviços de Terminal têm a identidade de Usuário do Servidor de Terminal. Essa identidade permite que os usuários acessem os aplicativos do Servidor de Terminal e realizem outras tarefas necessárias com os serviços do Servidor de Terminal. A associação é controlada pelo sistema operacional.
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-13 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
This Organization (Esta organização)
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-15 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Nenhum |
Gerenciador de Janelas\Grupo do Gerenciador de Janelas
Atributo | Valor |
---|---|
SID/RID conhecido | S-1-5-90 |
Classe Object | Entidade de Segurança Externa |
Local padrão no Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
Direitos de usuário padrão | Ignorar verificação completa: SeChangeNotifyPrivilege Aumentar um conjunto de trabalho de processo: SeIncreaseWorkingSetPrivilege |