Grupos de identidade especiais

Saiba mais sobre os grupos de identidade especiais do Windows Server (às vezes chamados de grupos de segurança) que são usados para o controle de acesso do Windows.

O que é um grupo de identidade especial?

Os grupos de identidade especiais são semelhantes aos grupos de segurança do Active Directory listados nos contêineres Internos e Usuários do Active Directory. Os grupos de identidade especiais podem fornecer uma maneira eficiente de atribuir acesso a recursos na sua rede. Ao usar grupos de identidade especiais, você pode:

  • Atribuir direitos de usuário a grupos de segurança no Active Directory.

  • Atribuir permissões a grupos de segurança nos recursos de acesso.

Como os grupos de identidade especiais funcionam no Windows Server

Se um servidor estiver executando uma das versões do sistema operacional Windows Server mostradas em Aplica-se a no início deste artigo, o servidor terá vários grupos de identidade especiais. Esses grupos de identidade especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias.

Embora você possa atribuir direitos e permissões para recursos específicos a um grupo de identidade especial, não é possível exibir ou modificar a associação de um grupo de identidade especial. Os escopos de grupo não se aplicam a grupos de identidade especiais. Os usuários são atribuídos automaticamente a grupos de identidade especiais ao entrar ou acessar um recurso específico.

Para obter informações sobre grupos de segurança do Active Directory e escopos de grupo, confira Grupos de segurança do Active Directory.

Grupos de identidade especiais padrão

Os grupos de identidade especiais padrão no Windows Server são descritos na seguinte lista:

Logon Anônimo

Os usuários que acessam o sistema por meio de um logon anônimo têm a identidade Logon Anônimo. Essa identidade permite acesso anônimo a recursos, como a uma página da Web publicada em um servidor corporativo. Por padrão, o grupo Logon Anônimo não é membro do grupo Todos.

Atributo Valor
SID/RID conhecido S-1-5-7
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Propriedade de chave atestada

Um SID (identificador de segurança) que significa que o objeto confiável de chave tinha a propriedade atestada.

Atributo Valor
SID/RID conhecido S-1-18-6
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Usuários Autenticados

Os usuários que acessam o sistema por meio de um processo de entrada têm a identidade de Usuários Autenticados. Essa identidade permite o acesso a recursos compartilhados dentro do domínio, como arquivos em uma pasta compartilhada que devem ser acessíveis a todos os trabalhos da organização. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-11
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Acessar este computador na rede: SeNetworkLogonRight

Adicionar estações de trabalho ao domínio: SeMachineAccountPrivilege

Ignorar verificação completa: SeChangeNotifyPrivilege

Identidade declarada pela autoridade de autenticação

Um SID que significa que a identidade do cliente é declarada por uma autoridade de autenticação com base na prova de posse das credenciais do cliente.

Atributo Valor
SID/RID conhecido S-1-18-1
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Lote

Os usuários ou processos que acessam o sistema como trabalho em lotes ou por meio da fila do lote tem a identidade do Lote. Essa identidade permite que trabalhos em lotes executem as tarefas agendadas, como um trabalho de limpeza noturna que exclui os arquivos temporários. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-3
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão nenhum

Logon no console

Um grupo que inclui usuários conectados ao console físico. Esse SID pode ser usado para implementar políticas de segurança que concedem direitos diferentes com base no fato de que um usuário recebeu acesso físico ao console.

Atributo Valor
SID/RID conhecido S-1-2-1
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Creator Group (GRUPO CRIADOR)

A pessoa que criou um arquivo ou diretório é membro desse grupo de identidade especial. O sistema operacional do Windows Server usa essa identidade para conceder permissões de acesso automaticamente ao criador de um arquivo ou diretório.

Um SID de espaço reservado é criado em uma ACE (entrada de controle de acesso) herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do grupo primário do proprietário atual do objeto. O grupo primário é usado apenas pelo subsistema POSIX.

Atributo Valor
SID/RID conhecido S-1-3-1
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão nenhum

Creator Owner (Proprietário criador)

A pessoa que criou um arquivo ou diretório é membro desse grupo de identidade especial. O sistema operacional do Windows Server usa essa identidade para conceder permissões de acesso automaticamente ao criador de um arquivo ou diretório. Um SID de espaço reservado é criado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do proprietário atual do objeto.

Atributo Valor
SID/RID conhecido S-1-3-0
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão nenhum

Dialup (DIAL-UP)

Os usuários que acessam o sistema por meio de uma conexão discada tem a identidade de Conexão discada. Essa identidade distingue os usuários de conexão discada de outros tipos de usuários autenticados.

Atributo Valor
SID/RID conhecido S-1-5-1
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão nenhum

Autenticação Digest

Atributo Valor
SID/RID conhecido S-1-5-64-21
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão nenhum

Controladores de Domínio Corporativo

Esse grupo inclui todos os controladores de domínio em uma floresta do Active Directory. Os controladores de domínio com funções e responsabilidades em toda a empresa têm a identidade de Controladores de Domínio Corporativo. Essa identidade permite que os controladores de domínio executem determinadas tarefas na empresa usando relações de confiança transitivas. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-9
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Acessar este computador na rede: SeNetworkLogonRight

Permitir logon localmente: SeInteractiveLogonRight

Controladores de domínio somente leitura da empresa

Esse grupo inclui todos os RODC (Controladores de Domínio Somente Leitura) em uma floresta do Active Directory. Um RODC corporativo pode replicar um subconjunto maior do banco de dados do Active Directory, incluindo o catálogo global e as partições de domínio somente leitura para todos os domínios da floresta. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-21-Domínio-raiz-498<>
Classe Object Grupo
Local padrão no Active Directory CN=Usuários, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Todos

Todos os usuários interativos, de rede, de conexão discada e autenticados são membros do grupo Todos. Esse grupo de identidade especial fornece amplo acesso aos recursos do sistema. Quando um usuário faz logon na rede, ele é adicionado automaticamente ao grupo Todos. A associação é controlada pelo sistema operacional.

Em computadores com o Windows 2000 e versões anteriores, o grupo Todos incluiu o grupo Logon Anônimo como membro padrão. A partir do Windows Server 2003, o grupo Todos contém apenas Usuários Autenticados e Convidados. O grupo não inclui mais o Logon Anônimo por padrão. Para alterar a configuração do grupo Todos para incluir o grupo Logon Anônimo, no Editor do Registro, acesse a chave Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa e defina o valor do DWORD everyoneincludesanonymous como 1.

Atributo Valor
SID/RID conhecido S-1-1-0
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Acessar este computador na rede: SeNetworkLogonRight

Ignorar verificação completa: SeChangeNotifyPrivilege

Nova Identidade de Chave Pública

Um SID que significa que a identidade do cliente é declarada por uma autoridade de autenticação com base na prova de posse atual das credenciais de chave pública do cliente.

Atributo Valor
SID/RID conhecido S-1-18-3
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Interativo

Os usuários conectados ao sistema local têm a identidade Interativa. Essa identidade permite que apenas os usuários locais acessem um recurso. Quando um usuário acessa um recurso específico no computador ao qual está conectado no momento, ele é adicionado automaticamente ao grupo Interativo. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-4
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

IUSR

O IIS (Serviços de Informações da Internet) usa essa conta por padrão, quando a autenticação anônima está habilitada.

Atributo Valor
SID/RID conhecido S-1-5-17
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Confiança de chave

Um SID que significa que a identidade do cliente é baseada na prova de posse das credenciais de chave pública, usando o objeto de confiança de chave.

Atributo Valor
SID/RID conhecido S-1-18-4
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Serviço Local

A conta de Serviço Local é semelhante à conta de Usuário Autenticado. Os membros da conta de Serviço Local tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajudará a salvaguardar o sistema caso serviços ou processos individuais fiquem comprometidos. Os serviços executados como a conta Serviço Local acessam os recursos de rede como uma sessão nula com credenciais anônimas. O nome dessa conta é AUTORIDADE NT\LocalService. Essa conta não tem uma senha.

Atributo Valor
SID/RID conhecido S-1-5-19
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Ajustar quotas de memória para um processo: SeIncreaseQuotaPrivilege

Ignorar verificação completa: SeChangeNotifyPrivilege

Alterar a hora do sistema: SeSystemtimePrivilege

Alterar o fuso horário: SeTimeZonePrivilege

Criar objetos globais: SeCreateGlobalPrivilege

Gerar auditorias de segurança: SeAuditPrivilege

Representar um cliente após a autenticação: SeImpersonatePrivilege

Substituir um token no nível de processo: SeAssignPrimaryTokenPrivilege

LocalSystem

A conta LocalSystem é uma conta de serviço usada pelo sistema operacional. A conta LocalSystem é uma conta importante que tem acesso total ao sistema e atua como o computador na rede. Se um serviço fizer logon na conta LocalSystem em um controlador de domínio, esse serviço terá acesso a todo o domínio. Alguns serviços são configurados por padrão para fazer logon na conta LocalSystem. Não altere a configuração de serviço padrão. O nome da conta é LocalSystem. Essa conta não tem uma senha.

Atributo Valor
SID/RID conhecido S-1-5-18
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Propriedade de chave de MFA

Um SID que significa que o objeto de confiança de chave tinha a propriedade MFA (autenticação multifator).

Atributo Valor
SID/RID conhecido S-1-18-5
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Rede

Esse grupo inclui implicitamente todos os usuários conectados por meio de uma conexão de rede. Os usuários que acessam o sistema por meio de uma rede têm a identidade de rede. Essa identidade permite que apenas os usuários remotos acessem um recurso. Quando um usuário acessa um recurso específico na rede, esse usuário é adicionado automaticamente ao grupo Rede. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-2
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Serviço de Rede

A conta de Serviço de Rede é semelhante à conta de Usuário Autenticado. Os membros da conta de Serviço de Rede tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajudará a salvaguardar o sistema caso serviços ou processos individuais fiquem comprometidos. Os serviços que são executados como a conta Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador. O nome dessa conta é AUTORIDADE NT\NetworkService. Essa conta não tem uma senha.

Atributo Valor
SID/RID conhecido S-1-5-20
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Ajustar quotas de memória para um processo: SeIncreaseQuotaPrivilege

Ignorar verificação completa: SeChangeNotifyPrivilege

Criar objetos globais: SeCreateGlobalPrivilege

Gerar auditorias de segurança: SeAuditPrivilege

Representar um cliente após a autenticação: SeImpersonatePrivilege

Substituir um token no nível de processo: SeAssignPrimaryTokenPrivilege

Autenticação NTLM

Atributo Valor
SID/RID conhecido S-1-5-64-10
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Outra Organização

Esse grupo inclui implicitamente todos os usuários conectados ao sistema por meio de uma conexão discada. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-1000
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Direitos de Proprietário

O grupo Direitos de Proprietário representa o proprietário atual do objeto. Quando uma ACE que carrega esse SID é aplicada a um objeto, o sistema ignora as permissões implícitas do READ_CONTROL e WRITE_DAC para o proprietário do objeto.

Atributo Valor
SID/RID conhecido S-1-3-4
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Própria Entidade de Segurança

Essa identidade é um espaço reservado em uma ACE em um usuário, grupo ou objeto de computador no Active Directory. Ao conceder permissões à Própria Entidade de Segurança, você concede permissões à entidade de segurança representada pelo objeto. Durante uma verificação de acesso, o sistema operacional substitui o SID da Própria Entidade de Segurança pelo SID da entidade de segurança representada pelo objeto.

Atributo Valor
SID/RID conhecido S-1-5-10
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Proxy

Identifica um proxy do SECURITY_NT_AUTHORITY.

Atributo Valor
SID/RID conhecido S-1-5-8
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Controladores de Domínio somente leitura

Esse grupo inclui todos os RODCs no domínio com direitos somente leitura para o banco de dados do Active Directory. Com exceção das senhas de conta, um RODC contém todos os objetos e atributos do Active Directory que um controlador de domínio gravável contém. Ele permite a implantação do controlador de domínio quando a segurança física é escassa ou não está garantida. Os RODCs são membros explícitos deste grupo.

Atributo Valor
SID/RID conhecido S-1-5-21-<domínio>-521
Classe Object Grupo
Local padrão no Active Directory CN=Usuários, DC=<rootDomain>
Direitos de usuário padrão Nenhum

Observação

O grupo Replicação de Senha RODC Negada é criado automaticamente quando uma conta RODC é criada na floresta. As senhas não podem ser replicadas no grupo Replicação de Senha RODC negada.

Logon Interativo Remoto

Essa identidade representa todos os usuários conectados a um computador usando uma conexão de Protocolo RDP. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo.

Atributo Valor
SID/RID conhecido S-1-5-14
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Restritos

Os usuários e computadores com recursos restritos têm a identidade Restrita. Esse grupo de identidade é usado por um processo em execução em um contexto de segurança restrito, como a execução de um aplicativo com o serviço RunAs. Quando o código é executado no nível de segurança restrito, o SID Restrito é adicionado ao token de acesso do usuário.

Atributo Valor
SID/RID conhecido S-1-5-12
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Autenticação SChannel

Atributo Valor
SID/RID conhecido S-1-5-64-14
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Serviço

Os serviços que acessas o sistema tem a identidade de Serviço. Esse grupo de identidade inclui todas as entidades de segurança conectadas como serviço. Essa identidade concede acesso aos processos que os serviços do Windows Server estão executando. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-6
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Criar objetos globais: SeCreateGlobalPrivilege

Representar um cliente após a autenticação: SeImpersonatePrivilege

Identidade declarada do serviço

Um SID que significa que a identidade do cliente é declarada por um serviço.

Atributo Valor
SID/RID conhecido S-1-18-2
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Usuário do Servidor de Terminal

Os usuários que acessam o sistema por meio dos Serviços de Terminal têm a identidade de Usuário do Servidor de Terminal. Essa identidade permite que os usuários acessem os aplicativos do Servidor de Terminal e realizem outras tarefas necessárias com os serviços do Servidor de Terminal. A associação é controlada pelo sistema operacional.

Atributo Valor
SID/RID conhecido S-1-5-13
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

This Organization (Esta organização)

Atributo Valor
SID/RID conhecido S-1-5-15
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Nenhum

Gerenciador de Janelas\Grupo do Gerenciador de Janelas

Atributo Valor
SID/RID conhecido S-1-5-90
Classe Object Entidade de Segurança Externa
Local padrão no Active Directory CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain>
Direitos de usuário padrão Ignorar verificação completa: SeChangeNotifyPrivilege

Aumentar um conjunto de trabalho de processo: SeIncreaseWorkingSetPrivilege

Confira também