Pular para o conteúdo principal

Active Directory - Entenda o contexto de segurança do grupo "Usuários Autenticados"

Entender o contexto de segurança do grupo "Usuários Autenticados" é crucial para administrar o Active Directory e as GPOs de forma eficaz e segura.

Em resumo, o grupo "Usuários Autenticados" (Authenticated Users) não é um grupo comum onde você adiciona e remove membros manualmente. Ele é uma identidade especial e dinâmica que representa qualquer entidade de segurança (seja um usuário ou um computador) que conseguiu se autenticar com sucesso no domínio com credenciais válidas.

Vamos detalhar os pontos principais:

1. Quem faz parte do grupo "Usuários Autenticados"?

Qualquer conta que possua uma senha e possa fazer logon no domínio é considerada um "Usuário Autenticado" durante sua sessão. Isso inclui:

  • Todos os usuários do domínio: Desde o Administrador até o usuário mais básico.

  • Todos os computadores do domínio: Sim, computadores também se autenticam no domínio e, para o sistema, são considerados "Usuários Autenticados".

  • Contas de serviço: Contas usadas para executar serviços e aplicações.

  • Usuários de domínios confiáveis: Se sua empresa tem uma relação de confiança com outro domínio, os usuários daquele domínio que acessam recursos no seu também são "Usuários Autenticados".

Basicamente, se uma entidade provou quem é para o controlador de domínio, ela entra neste grupo.

2. Qual o seu propósito e por que ele é o padrão nas GPOs?

O propósito do grupo "Usuários Autenticados" é fornecer um mecanismo fácil para conceder permissões a qualquer recurso legítimo dentro do domínio, diferenciando-os de usuários anônimos ou desconhecidos.

  • Nas GPOs: Ele é o alvo padrão da "Filtragem de Segurança" porque a maioria das políticas de base (como políticas de senha, configurações de segurança do Windows, etc.) precisa se aplicar a todos no domínio. Usar "Usuários Autenticados" garante que qualquer usuário ou computador legítimo receba essas configurações essenciais.

3. Diferença entre "Usuários Autenticados", "Todos" e "Usuários do Domínio"

É aqui que mora a principal fonte de confusão. Veja a diferença:

GrupoComposição e ContextoQuando Usar
Usuários AutenticadosDinâmico: Inclui todos os usuários E computadores com uma conta válida no domínio ou em domínios confiáveis. Não inclui a conta "Convidado".Uso Mais Comum: Padrão para GPOs e para dar permissão de leitura geral em compartilhamentos de rede que não são públicos. É o mais recomendado para acesso geral interno.
Todos (Everyone)Mais Amplo: Inclui todos os "Usuários Autenticados" E contas internas como "Convidado" e, em versões mais antigas do Windows, até usuários anônimos.Uso Raro e Cauteloso: Hoje em dia, seu uso é desaconselhado na maioria dos cenários por ser muito permissivo. Pode ser usado para recursos de baixíssimo risco ou quando se precisa garantir acesso a processos que rodam sem autenticação completa.
Usuários do DomínioEstático: É um grupo padrão que contém apenas as contas de usuário criadas no domínio. NÃO inclui contas de computador.Usado quando você quer dar uma permissão específica apenas para as pessoas (contas de usuário), excluindo computadores, contas de serviço, etc.

Implicações de Segurança

O contexto de segurança do grupo "Usuários Autenticados" é amplo. Por isso, a principal recomendação de segurança, conhecida como Princípio do Menor Privilégio, é:

Para políticas e permissões que não são universais, remova "Usuários Autenticados" da filtragem de segurança (ou das permissões de uma pasta) e adicione um grupo de segurança específico que contenha apenas os usuários ou computadores que realmente precisam daquela configuração ou acesso.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »