Privilégios
Para facilitar a tarefa de administração de contas de usuário, atribua privilégios principalmente a contas de grupo, em vez de atribuí-los a contas individuais. Quando você atribui privilégios a uma conta de grupo, os usuários recebem automaticamente esses privilégios ao se tornarem membros do grupo. Esse método de administração de privilégios é bem mais fácil do que atribuir privilégios individuais a cada conta de usuário quando ela é criada.
A tabela a seguir lista e descreve os privilégios que podem ser concedidos a um usuário.
| Privilégio | Descrição |
|---|---|
| Funcionar como parte do sistema operacional | Permite a um processo ser autenticado como um usuário e, assim, obter acesso aos mesmos recursos que um usuário. Apenas os serviços de autenticação de nível inferior devem requerer esse privilégio. Observe que o acesso potencial não está limitado ao que está associado ao usuário por padrão; o processo de chamada poderia solicitar a adição de privilégios adicionais arbitrários ao símbolo de acesso. O processo de chamada também poderia criar um símbolo de acesso que não forneça uma identidade primária para o controle de eventos no log de auditoria.
Os processos que exigem esse privilégio devem usar a conta LocalSystem, que já inclui esse privilégio, em vez de usar uma conta de usuário separada com esse privilégio atribuído especialmente a ela. Configuração padrão: Ninguém. |
| Adicionar estações de trabalho a um domínio | Permite ao usuário adicionar um computador a um domínio específico. Para o privilégio ter efeito, ele precisará ser atribuído ao usuário como parte da diretiva de controladores de domínio padrão do domínio. Um usuário com esse privilégio pode adicionar até 10 estações de trabalho ao domínio.
Os usuários também podem ter permissão para adicionar um computador a um domínio se receberem a permissão para criar objetos de computador para uma unidade organizacional ou para o recipiente de computadores no Active Directory. Os usuários com permissão para criar objetos de computador podem adicionar um número ilimitado de computadores ao domínio, independentemente de terem recebido ou não a atribuição do privilégio Adicionar estações de trabalho a um domínio. Configuração padrão: Ninguém. |
| Aumentar cota da memória | Determina as contas que podem usar um processo com acesso de propriedade de gravação para outro processo, a fim de aumentar a cota de processador atribuída ao outro processo.
Esse direito de usuário é definido no objeto de diretiva de grupo (GPO) do controlador do domínio padrão e na diretiva de segurança local de estações de trabalho e servidores. Configuração padrão: Administradores. |
| Fazer backup de arquivos e diretórios | Permite ao usuário ignorar permissões de arquivo e pasta para fazer backup do sistema. O privilégio é selecionado somente quando o aplicativo tenta acesso através da interface de programação de aplicativo (API) de backup do NTFS. Caso contrário, as permissões normais de arquivo e pasta se aplicam.
Configuração padrão: Administradores e Operadores de cópia. |
| Ignorar verificação com desvio | Permite que o usuário passe por pastas às quais, de outra forma, ele não teria acesso ao percorrer um caminho de objeto em qualquer sistema de arquivos NTFS ou no Registro. Esse privilégio não permite ao usuário listar o conteúdo de uma pasta, mas apenas atravessar as pastas.
Configuração padrão: Administradores, Operadores de cópia, Usuários avançados, Usuários e Todos em servidores e estações de trabalho membros. Em controladores de domínio, é atribuído aos grupos Administradores, Usuários autenticados e Todos. |
| Alterar a hora do sistema | Permite a um usuário configurar a hora do relógio interno do computador.
Configuração padrão: Administradores, Usuários avançados, LocalService e NetworkService em servidores e estações de trabalho membros. Em controladores de domínio, é atribuído a Administradores, Operadores de servidor, LocalService e NetworkService. |
| Criar um objeto identificador | Permite a um processo criar um símbolo que ele poderá usar para obter acesso a todos os recursos locais quando o processo utilizar NtCreateToken() ou outras APIs de criação de símbolos.
É recomendável que os processos que exigem esse privilégio usem a conta LocalSystem, que já inclui esse privilégio, em vez de usar uma conta de usuário separada com esse privilégio atribuído especialmente a ela. Configuração padrão: Ninguém. |
| Criar arquivo de paginação | Permite ao usuário criar e alterar o tamanho de um arquivo de paginação. Isso é feito especificando-se um tamanho de arquivo de paginação para uma determinada unidade em Opções de desempenho na guia Avançado de Propriedades do sistema.
Configuração padrão: Administradores. |
| Criar objetos compartilhados permanentes | Permite a um processo criar um objeto de diretório no gerenciador de objetos do Microsoft Windows. Esse privilégio é útil em componentes do modo de núcleo que estendem o espaço de nome do objeto. Os componentes executando no modo de núcleo já têm, por natureza, esse privilégio; não é necessário atribuir a eles o privilégio.
Configuração padrão: Ninguém. |
| Depurar programas | Permite ao usuário anexar um depurador a qualquer processo. Esse privilégio fornece acesso avançado a componentes importantes do sistema operacional.
Configuração padrão: Administradores. |
| Ativar computador e contas de usuário como confiáveis para delegação | Permite ao usuário alterar a configuração Confiável para delegação em um objeto do usuário ou do computador no Active Directory. O usuário ou computador que recebe esse privilégio também deve ter acesso de gravação para os sinalizadores de controle de contas no objeto. A delegação de autenticação é um recurso usado por aplicativos cliente/servidor em vários níveis. Ela permite que um serviço front-end use as credenciais de um cliente na autenticação para um serviço back-end. Para isso ser possível, tanto o cliente como o servidor precisam estar executando em contas confiáveis para delegação. O uso incorreto desse privilégio ou das configurações de Confiável para delegação pode tornar a rede vulnerável a ataques sofisticados no sistema que utilizam programas do tipo "Cavalo de Tróia", que simulam clientes de entrada e usam suas credenciais para obter acesso a recursos da rede.
Configuração padrão: Esse privilégio não é atribuído a ninguém em servidores e estações de trabalho membros, uma vez que não tem sentido nesses contextos. Em controladores de domínio, ele é atribuído por padrão ao grupo Administradores. |
| Forçar desligamento de um sistema remoto | Permite a um usuário desligar um computador a partir de um local remoto na rede. Consulte também o privilégio Desligar o sistema.
Configuração padrão: grupo Administradores em servidores e estações de trabalho membros. Em controladores de domínio, ele é atribuído aos grupos Administradores e Operadores de servidor. |
| Gerar auditorias de segurança | Permite que um processo gere entradas no log de segurança. O log de segurança é usado para controlar o acesso não autorizado ao sistema. Consulte também o privilégio Gerenciar log de auditoria e de segurança.
Configuração padrão: LocalService e NetworkService. |
| Aumentar prioridade de agendamento | Permite a um processo com propriedade de gravação acessar um outro processo de forma a aumentar a prioridade de execução do outro processo. Um usuário com esse privilégio pode alterar a prioridade de agendamento de um processo no Gerenciador de tarefas.
Configuração padrão: Administradores. |
| Carregar e descarregar drivers de dispositivo | Permite a um usuário instalar e desinstalar drivers de dispositivos Plug and Play. Esse privilégio não afeta a capacidade de instalar drivers para dispositivos que não sejam Plug and Play. Somente Administradores podem instalar drivers para dispositivos que não sejam Plug and Play.
Configuração padrão: Administradores. É recomendável que você não atribua esse privilégio a qualquer outro usuário. Os drivers de dispositivo executam como programas confiáveis (ou altamente privilegiados). Um usuário com privilégio Carregar e descarregar drivers de dispositivo poderia utilizá-lo erradamente sem querer instalando código mal-intencionado disfarçado de driver de dispositivo. Presume-se que os administradores terão maior cuidado e instalarão somente drivers com assinaturas digitais confirmadas. |
| Bloquear páginas na memória | Permite a um processo manter dados na memória física, evitando que o sistema pagine os dados na memória virtual em disco. Atribuir esse privilégio pode resultar em degradação significativa no desempenho do sistema.
Configuração padrão: Não ser atribuído a ninguém. Determinados processos do sistema têm o privilégio por natureza. |
| Gerenciar log de auditoria e de segurança | Permite a um usuário especificar opções de auditoria de acesso a objeto para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. A auditoria de acesso a objeto não será realmente executada a menos que ela esteja ativada na diretiva de auditoria (em Configurações de segurança, Diretivas locais). Um usuário com esse privilégio também pode mostrar e limpar o log de segurança do recurso Visualizar eventos.
Um usuário com esse privilégio também pode mostrar e limpar o log de segurança do recurso Visualizar eventos. Configuração padrão: Administradores. |
| Modificar valores de ambiente de firmware | Permite a modificação de variáveis de ambiente do sistema, seja por um processo por meio de uma API, seja por um usuário através de Propriedades do sistema.
Configuração padrão: Administradores. |
| Traçar perfil de um único processo | Permite a um usuário executar as ferramentas de monitoramento de desempenho do Microsoft Windows para monitorar o desempenho de processos que não sejam do sistema.
Configuração padrão: Administradores e Usuários avançados em estações de trabalho e servidores membros. Em controladores de domínio, ele é atribuído somente a Administradores. |
| Traçar perfil do desempenho do sistema | Permite a um usuário executar as ferramentas de desempenho do sistema para monitorar o desempenho de processos do sistema.
Configuração padrão: Administradores. |
| Remover o computador da estação de encaixe | Permite a um usuário desencaixar um computador portátil clicando em Ejetar PC no menu Iniciar.
Configuração padrão: Administradores, Usuários avançados e Usuários. |
| Substituir um símbolo de nível de processo | Determina as contas de usuário que podem iniciar um processo para substituir o símbolo padrão associado a um subprocesso iniciado.
Esse direito de usuário é definido no objeto de diretiva de grupo do controlador do domínio padrão e na diretiva de segurança local de estações de trabalho e servidores. Configuração padrão: Serviço local e Serviço de rede. |
| Restaurar arquivos e diretórios | Permite a um usuário ignorar permissões de arquivo e pasta ao restaurar arquivos e pastas com backup, bem como definir qualquer objeto de segurança válido como o proprietário de um objeto. Consulte também o privilégio Fazer backup de arquivos e diretórios.
Configuração padrão: Administradores e Operadores de cópia. |
| Desligar o sistema | Permite a um usuário desligar o computador local.
Configuração padrão: Administradores, Operadores de cópia, Usuários avançados e Usuários em estações de trabalho. Em servidores membro, é atribuído a Administradores, Usuários avançados e Operadores de cópia. Em controladores de domínio, é concedido a Administradores, Operadores de conta, Operadores de cópia, Operadores de impressão e Operadores de servidor. |
| Sincronizar dados do serviço de diretório | Permite a um processo fornecer serviços de sincronização de diretório. Esse privilégio é relevante somente em controladores de domínio.
Configuração padrão: Ninguém. |
| Apropriar-se de arquivos ou outros objetos | Permite a um usuário apropriar-se de qualquer objeto que possa ser assegurado no sistema, incluindo objetos do Active Directory, arquivos e pastas do NTFS, impressoras, chaves do Registro, serviços, processos e segmentos.
Configuração padrão: Administradores. |
Alguns privilégios podem prevalecer sobre permissões definidas em um objeto. Por exemplo, um usuário que tenha feito logon em uma conta de domínio como membro do grupo Operadores de cópia tem o direito de executar operações de backup para todos os servidores de domínio. No entanto, isso requer a capacidade de ler todos os arquivos nesses servidores, mesmo os arquivos nos quais seus proprietários definiram permissões que negam explicitamente o acesso a todos os usuários, inclusive membros do grupo Operadores de cópia. Um direito do usuário, nesse caso, o direito de fazer backup, tem precedência sobre todas as permissões de arquivo e pasta.