Generally, you do not need to use the account after installation.Você só pode criar contas de usuário locais no controlador de domínio, antes que os serviços de domínio Active Directory sejam instalados e não posteriormente.You can only create local user accounts on the domain controller, before Active Directory Domain Services is installed, and not afterwards.Quando o Active Directory é instalado no primeiro controlador de domínio do domínio, a conta de administrador é criada para o Active Directory.When Active Directory is installed on the first domain controller in the domain, the Administrator account is created for Active Directory.A conta de administrador é a conta mais poderosa no domínio.The Administrator account is the most powerful account in the domain.Ele recebe direitos administrativos e de acesso em todo o domínio para administrar o computador e o domínio, e ele tem os direitos e permissões mais abrangentes sobre o domínio.It is given domain-wide access and administrative rights to administer the computer and the domain, and it has the most extensive rights and permissions over the domain.A pessoa que instala os serviços de domínio Active Directory no computador cria a senha desta conta durante a instalação.The person who installs Active Directory Domain Services on the computer creates the password for this account during the installation.Administradores, administradores de domínio, administradores corporativos, usuários do domínio.Administrators, Domain Admins, Enterprise Administrators, Domain Users.Observe que a ID do grupo principal de todas as contas de usuário é usuários do domínio.Note that the Primary Group ID of all user accounts is Domain Users.Proprietários criadores de política de grupo e administradores de esquema no Active DirectoryGroup Policy Creator Owners, and Schema Admins in Active DirectoryÉ seguro para delegar o gerenciamento deste grupo a administradores que não sejam de serviço?Safe to delegate management of this group to non-service administrators?A conta de convidado é uma conta local padrão que tem acesso limitado ao computador e é desativada por padrão.The Guest account is a default local account that has limited access to the computer and is disabled by default.Por padrão, a senha da conta de convidado é deixada em branco.By default, the Guest account password is left blank.Uma senha em branco permite que a conta de convidado seja acessada sem exigir que o usuário insira uma senha.A blank password allows the Guest account to be accessed without requiring the user to enter a password.A conta de convidado permite que usuários ocasionais ou individuais, que não têm uma conta individual no computador, entrem no servidor local ou domínio com permissões e direitos restritos.The Guest account enables occasional or one-time users, who do not have an individual account on the computer, to sign in to the local server or domain with restricted rights and permissions.A conta de convidado pode ser habilitada e a senha pode ser configurada, se necessário, mas somente por um membro do grupo administrador no domínio.The Guest account can be enabled, and the password can be set up if needed, but only by a member of the Administrator group on the domain.A conta de convidado tem associação aos grupos de segurança padrão descritos na tabela de atributos de conta de convidado a seguir.The Guest account has membership in the default security groups that are described in the following Guest account attributes table.Por padrão, a conta de convidado é o único membro do grupo de convidados padrão, que permite que um usuário entre em um servidor e o grupo global de convidados do domínio, o que permite que um usuário entre em um domínio.By default, the Guest account is the only member of the default Guests group, which lets a user sign in to a server, and the Domain Guests global group, which lets a user sign in to a domain.Um membro do grupo Administradores ou grupo Administradores do domínio pode configurar um usuário com uma conta de convidado em um ou mais computadores.A member of the Administrators group or Domain Admins group can set up a user with a Guest account on one or more computers.Como a conta de convidado pode fornecer acesso anônimo, é um risco de segurança.Because the Guest account can provide anonymous access, it is a security risk.Por esse motivo, é uma prática recomendada deixar a conta de convidado desabilitada, a menos que seu uso seja obrigatório e, em seguida, somente com direitos e permissões restritos por um período de tempo limitado.For this reason, it is a best practice to leave the Guest account disabled, unless its use is required and then only with restricted rights and permissions for a very limited period of time.Quando a conta de convidado é necessária, um administrador do controlador de domínio é necessário para habilitar a conta de convidado.When the Guest account is required, an Administrator on the domain controller is required to enable the Guest account.A conta de convidado pode ser habilitada sem a necessidade de uma senha, ou pode ser habilitada com uma senha forte.The Guest account can be enabled without requiring a password, or it can be enabled with a strong password.O administrador também concede direitos restritos e permissões para a conta de convidado.The Administrator also grants restricted rights and permissions for the Guest account.Não conceda à conta de convidado o direito de usuário Quando um computador está sendo desligado ou inicializado, é possível que um usuário convidado ou qualquer pessoa com acesso local, como um usuário mal-intencionado, possa obter acesso não autorizado ao computador.When a computer is shutting down or starting up, it is possible that a Guest user or anyone with local access, such as a malicious user, could gain unauthorized access to the computer.Não forneça a conta de convidado com a capacidade de exibir os logs de eventos.Do not provide the Guest account with the ability to view the event logs.Após a habilitação da conta de convidado, é uma prática recomendada monitorar essa conta com frequência para garantir que outros usuários não consigam usar serviços e outros recursos, como recursos que foram acidentalmente deixados por um usuário anterior disponíveis.After the Guest account is enabled, it is a best practice to monitor this account frequently to ensure that other users cannot use services and other resources, such as resources that were unintentionally left available by a previous user.Não use a conta de convidado quando o servidor tiver acesso à rede externa ou tiver acesso a outros computadores.Do not use the Guest account when the server has external network access or access to other computers.Se você decidir habilitar a conta de convidado, certifique-se de restringir o uso e de alterar a senha regularmente.If you decide to enable the Guest account, be sure to restrict its use and to change the password regularly.Como com a conta de administrador, talvez você queira renomear a conta como uma precaução de segurança adicional.As with the Administrator account, you might want to rename the account as an added security precaution.Além disso, um administrador é responsável por gerenciar a conta de convidado.In addition, an administrator is responsible for managing the Guest account.O administrador monitora a conta de convidado, desabilita a conta de convidado quando não está mais em uso e altera ou remove a senha conforme necessário.The administrator monitors the Guest account, disables the Guest account when it is no longer in use, and changes or removes the password as needed.Para obter detalhes sobre os atributos da conta de convidado, consulte a tabela a seguir.For details about the Guest account attributes, see the following table.É seguro para delegar o gerenciamento deste grupo a administradores que não sejam de serviço?Safe to delegate management of this group to non-Service admins?Conta HelpAssistant (instalada com uma sessão de assistência remota)HelpAssistant account (installed with a Remote Assistance session)A conta HelpAssistant é uma conta local padrão que é habilitada quando uma sessão de assistência remota é executada.The HelpAssistant account is a default local account that is enabled when a Remote Assistance session is run.Esta conta é automaticamente desabilitada quando não há solicitações de assistência remota pendentes.This account is automatically disabled when no Remote Assistance requests are pending.HelpAssistant é a conta principal que é usada para estabelecer uma sessão de assistência remota.HelpAssistant is the primary account that is used to establish a Remote Assistance session.A sessão de assistência remota é usada para se conectar a outro computador executando o sistema operacional Windows e é iniciada pelo convite.The Remote Assistance session is used to connect to another computer running the Windows operating system, and it is initiated by invitation.Para assistência remota solicitada, um usuário envia um convite do computador por email ou como um arquivo para uma pessoa que possa fornecer assistência.For solicited remote assistance, a user sends an invitation from their computer, through e-mail or as a file, to a person who can provide assistance.Depois que o convite do usuário para uma sessão de assistência remota for aceito, a conta HelpAssistant padrão será criada automaticamente para dar à pessoa que fornece assistência acesso limitado ao computador.After the user’s invitation for a Remote Assistance session is accepted, the default HelpAssistant account is automatically created to give the person who provides assistance limited access to the computer.A conta HelpAssistant é gerenciada pelo serviço Gerenciador de sessão de ajuda da área de trabalho remota.The HelpAssistant account is managed by the Remote Desktop Help Session Manager service.Os SIDs que pertencem à conta HelpAssistant padrão incluem:The SIDs that pertain to the default HelpAssistant account include:SID: S-1-5- < Domain > -13, nome de exibição usuário do Terminal Server.SID: S-1-5--13, display name Terminal Server User.Este grupo inclui todos os usuários que entram em um servidor com serviços de área de trabalho remota habilitados.This group includes all users who sign in to a server with Remote Desktop Services enabled.Observe que, no Windows Server 2008, os serviços de área de trabalho remota são chamados de serviços de terminal.Note that, in Windows Server 2008, Remote Desktop Services are called Terminal Services.SID: S-1-5- < Domain > -14, nome de exibição logon interativo remoto.SID: S-1-5--14, display name Remote Interactive Logon.Esse grupo inclui todos os usuários que se conectam ao computador usando uma conexão de área de trabalho remota.This group includes all users who connect to the computer by using a remote desktop connection.Os tokens de acesso que contêm o SID de logon interativo remoto também contêm o SID interativo.Access tokens that contain the Remote Interactive Logon SID also contain the Interactive SID.Para o sistema operacional Windows Server, a assistência remota é um componente opcional que não é instalado por padrão.For the Windows Server operating system, Remote Assistance is an optional component that is not installed by default.Você deve instalar a assistência remota para poder usá-la.You must install Remote Assistance before it can be used.Para obter detalhes sobre os atributos da conta HelpAssistant, consulte a tabela a seguir.For details about the HelpAssistant account attributes, see the following table.S-1-5- < Domain > -13 (usuário do Terminal Server), S-1-5- < Domain > -14 (logon interativo remoto)S-1-5--13 (Terminal Server User), S-1-5--14 (Remote Interactive Logon)É seguro para delegar o gerenciamento deste grupo a administradores que não sejam de serviço?Safe to delegate management of this group to non-Service admins?A conta KRBTGT é uma conta padrão local que atua como uma conta de serviço para o serviço do centro de distribuição de chaves (KDC).The KRBTGT account is a local default account that acts as a service account for the Key Distribution Center (KDC) service.Esta conta não pode ser excluída, e o nome da conta não pode ser alterado.This account cannot be deleted, and the account name cannot be changed.A conta KRBTGT não pode ser habilitada no Active Directory.The KRBTGT account cannot be enabled in Active Directory.KRBTGT também é o nome do objeto de segurança usado pelo KDC para um domínio do Windows Server, conforme especificado pela RFC 4120.KRBTGT is also the security principal name used by the KDC for a Windows Server domain, as specified by RFC 4120.A conta KRBTGT é a entidade para a entidade de segurança KRBTGT e é criada automaticamente quando um novo domínio é criado.The KRBTGT account is the entity for the KRBTGT security principal, and it is created automatically when a new domain is created.A autenticação Kerberos do Windows Server é realizada pelo uso de uma TGT (permissão de concessão de tíquete) do Kerberos especial criptografada com uma chave simétrica.Windows Server Kerberos authentication is achieved by the use of a special Kerberos ticket-granting ticket (TGT) enciphered with a symmetric key.Essa chave é derivada da senha do servidor ou serviço ao qual o acesso é solicitado.This key is derived from the password of the server or service to which access is requested.A senha TGT da conta KRBTGT é conhecida apenas pelo serviço Kerberos.The TGT password of the KRBTGT account is known only by the Kerberos service.Para solicitar uma permissão de sessão, o TGT deve ser apresentado ao KDC.In order to request a session ticket, the TGT must be presented to the KDC.The TGT is issued to the Kerberos client from the KDC.Uma senha forte é atribuída automaticamente às contas KRBTGT e confiança.A strong password is assigned to the KRBTGT and trust accounts automatically.Como qualquer conta de serviço privilegiada, as organizações devem alterar essas senhas em um cronograma regular.Like any privileged service accounts, organizations should change these passwords on a regular schedule.A senha da conta KDC é usada para derivar uma chave secreta para criptografar e descriptografar as solicitações de TGT que são emitidas.The password for the KDC account is used to derive a secret key for encrypting and decrypting the TGT requests that are issued.A senha de uma conta de confiança do domínio é usada para derivar uma chave entre territórios para a criptografia de tíquetes de referência.The password for a domain trust account is used to derive an inter-realm key for encrypting referral tickets.Redefinir a senha exige que você seja um membro do grupo Domain admins ou que tenha sido delegado com a autoridade apropriada.Resetting the password requires you either to be a member of the Domain Admins group, or to have been delegated with the appropriate authority.Além disso, você deve ser membro do grupo Administradores local ou deve ter recebido a autoridade apropriada.In addition, you must be a member of the local Administrators group, or you must have been delegated the appropriate authority.Depois de redefinir a senha KRBTGT, certifique-se de que a identificação do evento 9 na fonte de evento do centro de distribuição de chaves (Kerberos) seja gravada no log de eventos do sistema.After you reset the KRBTGT password, ensure that event ID 9 in the (Kerberos) Key-Distribution-Center event source is written to the System event log.Também é uma prática recomendada redefinir a senha da conta KRBTGT para garantir que um controlador de domínio recém restaurado não replique com um controlador de domínio comprometido.It is also a best practice to reset the KRBTGT account password to ensure that a newly restored domain controller does not replicate with a compromised domain controller.Nesse caso, em uma grande recuperação de floresta que se espalha em vários locais, você não pode garantir que todos os controladores de domínio sejam encerrados e, se estiverem desligados, eles não poderão ser reinicializados antes de todas as etapas de recuperação adequadas serem realizadas.In this case, in a large forest recovery that is spread across multiple locations, you cannot guarantee that all domain controllers are shut down, and if they are shut down, they cannot be rebooted again before all of the appropriate recovery steps have been undertaken.Depois de redefinir a conta KRBTGT, outro controlador de domínio não pode replicar a senha da conta usando uma senha antiga.After you reset the KRBTGT account, another domain controller cannot replicate this account password by using an old password.Um comprometimento do domínio suspeito da organização da conta KRBTGT deve considerar o uso de serviços profissionais de resposta a incidentes.An organization suspecting domain compromise of the KRBTGT account should consider the use of professional incident response services.O impacto para restaurar a propriedade da conta é de todo o domínio e a mão-de-obra intensiva deve ser realizada como parte de um esforço maior de recuperação.The impact to restore the ownership of the account is domain-wide and labor intensive an should be undertaken as part of a larger recovery effort.A senha KRBTGT é a chave a partir da qual todas as relações de confiança do Kerberos se reencadeiam.The KRBTGT password is the key from which all trust in Kerberos chains up to.Redefinir a senha KRBTGT é semelhante a renovar o certificado da CA raiz com uma nova chave e imediatamente não confia na chave antiga, resultando em quase todas as operações de Kerberos subsequentes serão afetadas.Resetting the KRBTGT password is similar to renewing the root CA certificate with a new key and immediately not trusting the old key, resulting in almost all subsequent Kerberos operations will be affected.Para todos os tipos de conta (usuários, computadores e serviços)For all account types (users, computers, and services)Todos os TGTs que já foram emitidos e distribuídos serão inválidos porque os DCs os rejeitarão.All the TGTs that are already issued and distributed will be invalid because the DCs will reject them.Esses tíquetes são criptografados com o KRBTGT para que qualquer DC possa validá-los.These tickets are encrypted with the KRBTGT so any DC can validate them.Quando a senha muda, os ingressos se tornam inválidos.When the password changes, the tickets become invalid.Todas as sessões atualmente autenticadas que se conectaram aos usuários estabelecidas (com base em suas permissões de serviço) para um recurso (como um compartilhamento de arquivos, site do SharePoint ou Exchange Server) são válidas até que a permissão de serviço seja exigida para fazer a autenticação novamente.All currently authenticated sessions that logged on users have established (based on their service tickets) to a resource (such as a file share, SharePoint site, or Exchange server) are good until the service ticket is required to re-authenticate.Como é impossível prever os erros específicos que ocorrerão para qualquer usuário em um ambiente operacional de produção, você deve presumir que todos os computadores e usuários serão afetados.Because it is impossible to predict the specific errors that will occur for any given user in a production operating environment, you must assume all computers and users will be affected.Reinicializar um computador é a única maneira confiável de recuperar a funcionalidade, pois isso fará com que a conta do computador e as contas de usuário voltem a se conectar novamente.Rebooting a computer is the only reliable way to recover functionality as this will cause both the computer account and user accounts to log back in again.Se você fizer logon novamente, será solicitada nova TGTs que sejam válidas com o novo KRBTGT, corrigindo qualquer problema operacional relacionado a KRBTGT nesse computador.Logging in again will request new TGTs that are valid with the new KRBTGT, correcting any KRBTGT related operational issues on that computer.Para obter informações sobre como ajudar a reduzir os riscos associados a uma conta KRBTGT potencialmente comprometida, consulte For information about how to help mitigate the risks associated with a potentially compromised KRBTGT account, see Controladores de domínio somente leitura e a conta KRBTGTRead-only domain controllers and the KRBTGT accountO Windows Server 2008 introduziu o controlador de domínio somente leitura (RODC).Windows Server 2008 introduced the read-only domain controller (RODC).O RODC é anunciado como o centro de distribuição de chaves (KDC) para o escritório da filial.The RODC is advertised as the Key Distribution Center (KDC) for the branch office.O RODC usa uma conta KRBTGT diferente e uma senha do que o KDC em um controlador de domínio gravável quando ele assina ou criptografa solicitações de tíquete de concessão de permissão (TGT).The RODC uses a different KRBTGT account and password than the KDC on a writable domain controller when it signs or encrypts ticket-granting ticket (TGT) requests.Após uma conta ser autenticada com êxito, o RODC determina se as credenciais de um usuário ou as credenciais de um computador podem ser replicadas do controlador de domínio gravável para o RODC usando a política de replicação de senha.After an account is successfully authenticated, the RODC determines if a user's credentials or a computer's credentials can be replicated from the writable domain controller to the RODC by using the Password Replication Policy.Depois que as credenciais são armazenadas em cache no RODC, o RODC pode aceitar as solicitações de entrada desse usuário até que as credenciais sejam alteradas.After the credentials are cached on the RODC, the RODC can accept that user's sign-in requests until the credentials change.Quando um TGT é assinado com a conta KRBTGT do RODC, o RODC reconhece que ele tem uma cópia em cache das credenciais.When a TGT is signed with the KRBTGT account of the RODC, the RODC recognizes that it has a cached copy of the credentials.Se outro controlador de domínio assinar o TGT, o RODC encaminhará solicitações para um controlador de domínio gravável.If another domain controller signs the TGT, the RODC forwards requests to a writable domain controller.Para obter detalhes sobre os atributos da conta KRBTGT, consulte a tabela a seguir.For details about the KRBTGT account attributes, see the following table.Observe que a ID do grupo principal de todas as contas de usuário é usuários do domínio.Note that the Primary Group ID of all user accounts is Domain Users.É seguro para delegar o gerenciamento deste grupo a administradores que não sejam de serviço?Safe to delegate management of this group to non-Service admins?Configurações para contas locais padrão no Active DirectorySettings for default local accounts in Active DirectoryCada conta local padrão no Active Directory tem várias configurações de conta que você pode usar para definir configurações de senha e informações específicas de segurança, conforme descrito na tabela a seguir.Each default local account in Active Directory has a number of account settings that you can use to configure password settings and security-specific information, as described in the following table.Configurações para contas locais padrão no Active DirectorySettings for default local accounts in Active DirectoryForça uma alteração de senha na próxima vez que o usuário se conectar à rede.Forces a password change the next time that the user logs signs in to the network.Use esta opção quando você quiser garantir que o usuário seja a única pessoa que saberá sua senha.Use this option when you want to ensure that the user is the only person to know his or her password.Use essa opção quando quiser manter o controle sobre uma conta de usuário, como para uma conta de convidado ou temporária.Use this option when you want to maintain control over a user account, such as for a Guest or temporary account.É uma prática recomendada habilitar essa opção com contas de serviço e usar senhas de alta segurança.It is a best practice to enable this option with service accounts and to use strong passwords.Fornece suporte para aplicativos que usam protocolos que exigem conhecimento da forma de texto sem formatação da senha do usuário para fins de autenticação.Provides support for applications that use protocols requiring knowledge of the plaintext form of the user’s password for authentication purposes.Essa opção é necessária ao usar o protocolo CHAP (protocolo de autenticação de handshake de desafio) nos serviços de autenticação da Internet (IAS) e ao usar a autenticação Digest nos serviços de informações da Internet (IIS).This option is required when using Challenge Handshake Authentication Protocol (CHAP) in Internet Authentication Services (IAS), and when using digest authentication in Internet Information Services (IIS).Impede o usuário de entrar com a conta selecionada.Prevents the user from signing in with the selected account.Como administrador, você pode usar contas desabilitadas como modelos para contas de usuário comuns.As an administrator, you can use disabled accounts as templates for common user accounts.É necessário cartão inteligente para logon interativoRequer que um usuário tenha um cartão inteligente para se conectar à rede interativamente.Requires that a user has a smart card to sign on to the network interactively.O usuário também deve ter um leitor de cartão inteligente conectado ao computador e um número de identificação pessoal (PIN) válido para o cartão inteligente.The user must also have a smart card reader attached to their computer and a valid personal identification number (PIN) for the smart card.Quando esse atributo é aplicado na conta, o efeito é o seguinte:When this attribute is applied on the account, the effect is as follows:O atributo restringe somente a autenticação inicial para logon interativo e logon na área de trabalho remota.The attribute only restricts initial authentication for interactive logon and Remote Desktop logon.Quando o logon interativo ou da área de trabalho remota requer um logon de rede subsequente, como com uma credencial de domínio, um hash NT fornecido pelo controlador de domínio é usado para concluir o processo de autenticação do cartão inteligenteWhen interactive or Remote Desktop logon requires a subsequent network logon, such as with a domain credential, an NT Hash provided by the domain controller is used to complete the smartcard authentication processSempre que o atributo estiver habilitado em uma conta, o valor de hash da senha atual da conta será substituído por um número aleatório de 128 bits.Each time the attribute is enabled on an account, the account’s current password hash value is replaced with a 128-bit random number.Isso invalida o uso de todas as senhas configuradas anteriormente para a conta.This invalidates the use of any previously configured passwords for the account.O valor não muda depois disso, a menos que uma nova senha seja definida ou o atributo seja desabilitado e habilitado novamente.The value does not change after that unless a new password is set or the attribute is disabled and re-enabled.Não é possível usar contas com este atributo para iniciar serviços ou executar tarefas agendadas.Accounts with this attribute cannot be used to start services or run scheduled tasks.Permite que um serviço em execução nessa conta realize operações em nome de outras contas de usuário na rede.Lets a service running under this account perform operations on behalf of other user accounts on the network.Um serviço em execução em uma conta de usuário (também conhecida como uma conta de serviço) que é confiável para delegação pode representar um cliente para obter acesso a recursos, seja no computador em que o serviço está sendo executado ou em outros computadores.A service running under a user account (also known as a service account) that is trusted for delegation can impersonate a client to gain access to resources, either on the computer where the service is running or on other computers.Por exemplo, em uma floresta definida como o nível funcional do Windows Server 2003, essa configuração é encontrada na For example, in a forest that is set to the Windows Server 2003 functional level, this setting is found on the Essa configuração é sensível à segurança e deve ser atribuída com cuidado.This setting is security-sensitive and should be assigned cautiously.Oferece controle sobre uma conta de usuário, por exemplo, para uma conta de convidado ou uma conta temporária.Gives control over a user account, such as for a Guest account or a temporary account.Esta opção pode ser usada se esta conta não puder ser atribuída para delegação por outra conta.This option can be used if this account cannot be assigned for delegation by another account.Fornece suporte para o padrão de criptografia de dados (DES).Provides support for the Data Encryption Standard (DES).O DES dá suporte a vários níveis de criptografia, incluindo o padrão MPPE (criptografia ponto a ponto da Microsoft) (40 bits e 56 bits), MPPE padrão (56 bits), MPPE Strong (128-bit), Internet Protocol Security (IPSec) DES (40-bit), IPSec 56-bit DES e IPSec Triple DES (3DES).DES supports multiple levels of encryption, including Microsoft Point-to-Point Encryption (MPPE) Standard (40-bit and 56-bit), MPPE standard (56-bit), MPPE Strong (128-bit), Internet Protocol security (IPSec) DES (40-bit), IPSec 56-bit DES, and IPSec Triple DES (3DES).O DES não está habilitado por padrão nos sistemas operacionais Windows Server, a partir do Windows Server 2008 R2, nem nos sistemas operacionais cliente Windows, a partir do Windows 7.DES is not enabled by default in Windows Server operating systems starting with Windows Server 2008 R2, nor in Windows client operating systems starting with Windows 7.Para esses sistemas operacionais, os computadores não usarão os pacotes de codificação DES-CBC-MD5 ou DES-CBC-CRC por padrão.For these operating systems, computers will not use DES-CBC-MD5 or DES-CBC-CRC cipher suites by default.Se o ambiente exigir DES, essa configuração poderá afetar a compatibilidade com computadores cliente ou serviços e aplicativos em seu ambiente.If your environment requires DES, then this setting might affect compatibility with client computers or services and applications in your environment.Fornece suporte para implementações alternativas do protocolo Kerberos.Provides support for alternate implementations of the Kerberos protocol.Como a pré-autenticação fornece segurança adicional, tenha cuidado ao habilitar essa opção.Because preauthentication provides additional security, use caution when enabling this option.Observe que os controladores de domínio que executam o Windows 2000 ou o Windows Server 2003 podem usar outros mecanismos para sincronizar o tempo.Note that domain controllers running Windows 2000 or Windows Server 2003 can use other mechanisms to synchronize time.Gerenciar contas locais padrão no Active DirectoryDepois que as contas locais padrão são instaladas, essas contas residem no contêiner usuários em usuários e computadores do Active Directory.After the default local accounts are installed, these accounts reside in the Users container in Active Directory Users and Computers.Contas locais padrão podem ser criadas, desabilitadas, redefinidas e excluídas usando o console de gerenciamento da Microsoft (MMC) usuários e computadores do Active Directory e usando ferramentas de linha de comando.Default local accounts can be created, disabled, reset, and deleted by using the Active Directory Users and Computers Microsoft Management Console (MMC) and by using command-line tools.Você pode usar usuários e computadores do Active Directory para atribuir direitos e permissões em um determinado controlador de domínio local e somente esse controlador de domínio, para limitar a capacidade de usuários e grupos locais de executar determinadas ações.You can use Active Directory Users and Computers to assign rights and permissions on a given local domain controller, and that domain controller only, to limit the ability of local users and groups to perform certain actions.Um direito autoriza um usuário a executar determinadas ações em um computador, como o backup de arquivos e pastas ou o desligamento de um computador.A right authorizes a user to perform certain actions on a computer, such as backing up files and folders or shutting down a computer.Por outro lado, uma permissão de acesso é uma regra associada a um objeto, geralmente um arquivo, uma pasta ou uma impressora, que regula quais usuários podem ter acesso ao objeto e de que maneira.In contrast, an access permission is a rule that is associated with an object, usually a file, folder, or printer, that regulates which users can have access to the object and in what manner.Para obter mais informações sobre como criar e gerenciar contas de usuário locais no Active Directory, consulte For more information about creating and managing local user accounts in Active Directory, see Você também pode usar usuários e computadores do Active Directory em um controlador de domínio para direcionar computadores remotos que não sejam controladores de domínio na rede.You can also use Active Directory Users and Computers on a domain controller to target remote computers that are not domain controllers on the network.Você pode obter recomendações da Microsoft para configurações de controlador de domínio que você pode distribuir usando a ferramenta SCM (Gerenciador de conformidade de segurança).You can obtain recommendations from Microsoft for domain controller configurations that you can distribute by using the Security Compliance Manager (SCM) tool.Algumas das contas de usuário locais padrão são protegidas por um processo em segundo plano que verifica periodicamente e aplica um descritor de segurança específico, que é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido.Some of the default local user accounts are protected by a background process that periodically checks and applies a specific security descriptor, which is a data structure that contains security information that is associated with a protected object.Esse descritor de segurança está presente no objeto AdminSDHolder.This security descriptor is present on the AdminSDHolder object.Isso significa que, quando você deseja modificar as permissões em um grupo de administradores de serviço ou em qualquer uma de suas contas, também é necessário modificar o descritor de segurança no objeto AdminSDHolder.This means, when you want to modify the permissions on a service administrator group or on any of its member accounts, you are also required to modify the security descriptor on the AdminSDHolder object.Essa abordagem garante que as permissões sejam aplicadas consistentemente.This approach ensures that the permissions are applied consistently.Tenha cuidado ao fazer essas modificações, pois essa ação também pode afetar as configurações padrão aplicadas a todas as suas contas administrativas protegidas.Be careful when you make these modifications, because this action can also affect the default settings that are applied to all of your protected administrative accounts.Restringir e proteger contas de domínio confidenciaisRestringir e proteger contas de domínio no ambiente de domínio exige que você adote e implemente a seguinte abordagem de práticas recomendadas:Restricting and protecting domain accounts in your domain environment requires you to adopt and implement the following best practices approach:Limite rigorosamente a associação aos grupos Administradores, administradores de domínio e administradores de empresa.Strictly limit membership to the Administrators, Domain Admins, and Enterprise Admins groups.Controle rigorosamente onde e como as contas de domínio são usadas.Stringently control where and how domain accounts are used.Contas de membros nos grupos Administradores, administradores de domínio e administradores de empresa em um domínio ou floresta são alvos de alto valor para usuários mal-intencionados.Member accounts in the Administrators, Domain Admins, and Enterprise Admins groups in a domain or forest are high-value targets for malicious users.É uma prática recomendada limitar rigorosamente a participação a esses grupos de administradores ao menor número de contas para limitar qualquer exposição.It is a best practice to strictly limit membership to these administrator groups to the smallest number of accounts in order to limit any exposure.Restringir a associação nesses grupos reduz a possibilidade de que um administrador possa inadvertidamente inadvertidamente essas credenciais e crie uma vulnerabilidade que os usuários mal-intencionados possam explorar.Restricting membership in these groups reduces the possibility that an administrator might unintentionally misuse these credentials and create a vulnerability that malicious users can exploit.Além disso, é uma prática recomendada controlar onde e como as contas de domínio confidenciais são usadas.Moreover, it is a best practice to stringently control where and how sensitive domain accounts are used.Restrinja o uso de contas de administradores de domínio e outras contas de administrador para impedir que elas sejam usadas para entrar em sistemas de gerenciamento e estações de trabalho que sejam seguros no mesmo nível dos sistemas gerenciados.Restrict the use of Domain Admins accounts and other administrator accounts to prevent them from being used to sign in to management systems and workstations that are secured at the same level as the managed systems.Quando as contas de administrador não são restritas dessa maneira, cada estação de trabalho a partir da qual o administrador de domínio entra, fornece outro local que os usuários mal-intencionados podem explorar.When administrator accounts are not restricted in this manner, each workstation from which a domain administrator signs in provides another location that malicious users can exploit.A implementação dessas práticas recomendadas está separada nas seguintes tarefas:Implementing these best practices is separated into the following tasks:Separar contas de administrador de contas de usuárioCriar hosts de estação de trabalho dedicados para administradoresCreate dedicated workstation hosts for administratorsRestringir o acesso de logon do administrador a servidores e estações de trabalhoRestrict administrator logon access to servers and workstationsDesabilitar a delegação de conta diretamente para contas de administradorDisable the account delegation right for administrator accountsObserve que, para fornecer instâncias em que desafios de integração com o ambiente de domínio são esperadas, cada tarefa é descrita de acordo com os requisitos para uma implementação mínima, melhor e ideal.Note that, to provide for instances where integration challenges with the domain environment are expected, each task is described according to the requirements for a minimum, better, and ideal implementation.Assim como em todas as alterações significativas em um ambiente de produção, certifique-se de testar essas alterações cuidadosamente antes de implementá-las e implementá-las.As with all significant changes to a production environment, ensure that you test these changes thoroughly before you implement and deploy them.Em seguida, transfira a implantação de uma maneira que permita uma reversão da mudança em caso de problemas técnicos ocorrerem.Then stage the deployment in a manner that allows for a rollback of the change in case technical issues occur.Separar contas de administrador de contas de usuárioRestrinja contas de administradores de domínio e outras contas confidenciais para impedir que elas sejam usadas para entrar em servidores e estações de trabalho com menor confiança.Restrict Domain Admins accounts and other sensitive accounts to prevent them from being used to sign in to lower trust servers and workstations.Restrinja e proteja contas de administrador separando contas de administrador das contas de usuário padrão, separando tarefas administrativas de outras tarefas e limitando o uso dessas contas.Restrict and protect administrator accounts by segregating administrator accounts from standard user accounts, by separating administrative duties from other tasks, and by limiting the use of these accounts.Crie contas dedicadas para o pessoal administrativo que exija credenciais de administrador para executar tarefas administrativas específicas e, em seguida, crie contas separadas para outras tarefas padrão do usuário, de acordo com as diretrizes a seguir:Create dedicated accounts for administrative personnel who require administrator credentials to perform specific administrative tasks, and then create separate accounts for other standard user tasks, according to the following guidelines:Atribuir contas de administrador apenas para executar as seguintes tarefas administrativas:Allocate administrator accounts to perform the following administrative duties only:Crie contas separadas para administradores de domínio, administradores de empresas ou o equivalente com direitos de administrador apropriados no domínio ou floresta.Create separate accounts for domain administrators, enterprise administrators, or the equivalent with appropriate administrator rights in the domain or forest.Use contas que receberam direitos de administrador confidenciais somente para administrar dados de domínio e controladores de domínio.Use accounts that have been granted sensitive administrator rights only to administer domain data and domain controllers.Crie contas separadas para administradores que tenham direitos administrativos reduzidos, como contas para administradores de estação de trabalho e contas com direitos de usuário em unidades organizacionais (UOs) do Active Directory designadas.Create separate accounts for administrators that have reduced administrative rights, such as accounts for workstation administrators, and accounts with user rights over designated Active Directory organizational units (OUs).Crie várias contas separadas para um administrador que tenha várias responsabilidades de trabalho que exijam diferentes níveis de confiança.Create multiple, separate accounts for an administrator who has a variety of job responsibilities that require different trust levels.Configure cada conta de administrador com direitos de usuário significativamente diferentes, por exemplo, para administração da estação de trabalho, administração do servidor e administração de domínio, para permitir que o administrador entre em determinadas estações de trabalho, servidores e controladores de domínio com base estritamente em suas responsabilidades de trabalho.Set up each administrator account with significantly different user rights, such as for workstation administration, server administration and domain administration, to let the administrator sign in to given workstations, servers and domain controllers based strictly on his or her job responsibilities.Conceda direitos de usuário padrão para tarefas padrão do usuário, como email, navegação na Web e uso de aplicativos de linha de negócios (LOB).Grant standard user rights for standard user tasks, such as email, web browsing, and using line-of-business (LOB) applications.Essas contas não devem receber direitos de administrador.These accounts should not be granted administrator rights.Certifique-se de que as contas de administrador confidenciais não possam acessar o email ou navegue na Internet conforme descrito na seção a seguir.Ensure that sensitive administrator accounts cannot access email or browse the Internet as described in the following section.Criar hosts de estação de trabalho dedicados sem acesso à Internet e emailCreate dedicated workstation hosts without Internet and email accessOs administradores precisam gerenciar responsabilidades do trabalho que exijam direitos de administrador confidenciais de uma estação de trabalho dedicada porque não têm acesso físico fácil aos servidores.Administrators need to manage job responsibilities that require sensitive administrator rights from a dedicated workstation because they do not have easy physical access to the servers.Uma estação de trabalho conectada à Internet e tem acesso à navegação de emails e à navegação na Web é exposta regularmente para comprometimento por meio de phishing, download e outros tipos de ataques à Internet.A workstation that is connected to the Internet and has email and web browsing access is regularly exposed to compromise through phishing, downloading, and other types of Internet attacks.Devido a essas ameaças, é uma prática recomendada configurar esses administradores usando as estações de trabalho dedicadas apenas às tarefas administrativas, e não fornecer acesso à Internet, incluindo emails e navegação na Web.Because of these threats, it is a best practice to set these administrators up by using workstations that are dedicated to administrative duties only, and not provide access to the Internet, including email and web browsing.Se os administradores do seu ambiente puderem entrar localmente em servidores gerenciados e executar todas as tarefas sem direitos elevados ou direitos de domínio da estação de trabalho, você poderá ignorar essa tarefa.If the administrators in your environment can sign in locally to managed servers and perform all tasks without elevated rights or domain rights from their workstation, you can skip this task.Crie estações de trabalho administrativas dedicadas e bloqueie o acesso à Internet nessas estações de trabalho, incluindo navegação na Web e email.Build dedicated administrative workstations and block Internet access on those workstations including web browsing and email.Use as seguintes maneiras para bloquear o acesso à Internet:Configure os serviços de proxy de limite de autenticação, se eles forem implantados, para impedir que contas de administrador acessem a Internet.Configure authenticating boundary proxy services, if they are deployed, to disallow administrator accounts from accessing the Internet.Configure o firewall de limite ou serviços de proxy para impedir o acesso à Internet para os endereços IP atribuídos a estações de trabalho administrativas dedicadas.Configure boundary firewall or proxy services to disallow Internet access for the IP addresses that are assigned to dedicated administrative workstations.Bloqueie o acesso de saída aos servidores proxy de limite no firewall do Windows.Block outbound access to the boundary proxy servers in the Windows Firewall.As instruções para atender a este requisito mínimo são descritas no procedimento a seguir.The instructions for meeting this minimum requirement are described in the following procedure.Não conceda a participação dos administradores ao grupo administrador local no computador para impedir que o administrador ignore essas proteções.Do not grant administrators membership in the local Administrator group on the computer in order to restrict the administrator from bypassing these protections.Restrinja as estações de trabalho de ter qualquer conectividade de rede, exceto os controladores de domínio e os servidores que as contas de administrador são usadas para gerenciar.Restrict workstations from having any network connectivity, except for the domain controllers and servers that the administrator accounts are used to manage.Como alternativa, use as políticas de controle de aplicativo do AppLocker para impedir que todos os aplicativos sejam executados, exceto para o sistema operacional e para aplicativos e ferramentas administrativas aprovadas.Alternately, use AppLocker application control policies to restrict all applications from running, except for the operating system and approved administrative tools and applications.Para obter mais informações sobre o AppLocker, consulte O procedimento a seguir descreve como bloquear o acesso à Internet criando um objeto de política de grupo (GPO) que configura um endereço de proxy inválido em estações de trabalho administrativas.The following procedure describes how to block Internet access by creating a Group Policy Object (GPO) that configures an invalid proxy address on administrative workstations.Essas instruções se aplicam apenas a computadores que executam o Internet Explorer e outros componentes do Windows que usam essas configurações de proxy.These instructions apply only to computers running Internet Explorer and other Windows components that use these proxy settings.Neste procedimento, as estações de trabalho são dedicadas a administradores de domínio.In this procedure, the workstations are dedicated to domain administrators.Ao simplesmente modificar as contas de administrador para conceder permissão aos administradores para entrar localmente, você pode criar UOs adicionais para gerenciar administradores que têm menos direitos administrativos para usar as instruções descritas no procedimento a seguir.By simply modifying the administrator accounts to grant permission to administrators to sign in locally, you can create additional OUs to manage administrators that have fewer administrative rights to use the instructions described in the following procedure.Para instalar estações de trabalho administrativas em um domínio e bloquear o acesso à Internet e email (mínimo)To install administrative workstations in a domain and block Internet and email access (minimum)Como administrador de domínio em um controlador de domínio, abra usuários e computadores do Active Directory e crie uma nova UO para estações de trabalho administrativas.As a domain administrator on a domain controller, open Active Directory Users and Computers, and create a new OU for administrative workstations.Crie contas de computador para as novas estações de trabalho.Feche usuários e computadores do Active Directory.Clique com o botão direito do mouse na nova UO e > Expanda o GPO, clique com o botão direito do mouse no novo GPO e > Configure os membros das contas que podem fazer logon localmente nessas estações de trabalho administrativas da seguinte maneira:Configure which members of accounts can log on locally to these administrative workstations as follows:Navegue até computador Configuration\Policies\Windows Settings\Local políticas e clique em Navigate to Computer Configuration\Policies\Windows Settings\Local Policies, and then click Essas instruções pressupõem que a estação de trabalho seja dedicada a administradores de domínio.These instructions assume that the workstation is to be dedicated to domain administrators.Navegue até usuário Configuration\Policies\Windows Settings\Internet Explorer e > Navigate to User Configuration\Policies\Windows Settings\Internet Explorer, and > Configure o modo de processamento de auto-retorno para permitir que a configuração de proxy de política de grupo do usuário seja aplicada a todos os usuários do computador da seguinte maneira:Configure the loopback processing mode to enable the user Group Policy proxy setting to apply to all users on the computer as follows:Navegue até computador Configuration\Policies\Administrative Templates\System e > Navigate to Computer Configuration\Policies\Administrative Templates\System, and > Configure as atualizações de software da seguinte maneira:Navegue até computador Configuration\Policies\Administrative componentes do Templates\Windows e, em seguida, clique em Navigate to Computer Configuration\Policies\Administrative Templates\Windows Components, and then click Defina as configurações do Windows Update conforme descrito na tabela a seguir.Configure Windows Update settings as described in the following table.Permitir instalação imediata de atualizações automáticasHabilitar o gerenciamento de energia do Windows Update para ativar automaticamente o sistema para instalar atualizações programadasEnable Windows Update Power Management to automatically wake up the system to install scheduled updatesEspecificar o local do serviço de atualização da intranet da MicrosoftEnabled http:// < WSUSServername > http:// < WSUSServername > onde < WSUSServername > é o nome DNS ou o endereço IP do Windows Server Update Services (WSUS) no ambiente.Enabled http:// http:// Where is the DNS name or IP address of the Windows Server Update Services (WSUS) in the environment.Frequência de detecção de Atualizações AutomáticasSolicitar reinicialização novamente com instalações agendadasAtrasar reinicialização para instalações agendadasVocê pode ignorar esta etapa se usar outra ferramenta para implantar atualizações de software.You can skip this step if you use another tool to deploy software updates.Além disso, se o serviço público do Microsoft Windows Update apenas for usado na Internet, essas estações de trabalho administrativas não receberão mais atualizações.Also, if the public Microsoft Windows Update service only is used on the Internet, then these administrative workstations no longer receive updates.Configurar o firewall de entrada para bloquear todas as conexões da seguinte maneira:Configure the inbound firewall to block all connections as follows:Em cada perfil, verifique se o firewall está habilitado e se as conexões de entrada estão definidas para On each profile, ensure that the firewall is enabled and that inbound connections are set to Feche o Console de Gerenciamento de Política de Grupo.Instale o sistema operacional Windows nas estações de trabalho, dê a cada estação de trabalho os mesmos nomes das contas de computador atribuídas a eles e, em seguida, ingresse-os no domínio.Install the Windows operating system on the workstations, give each workstation the same names as the computer accounts assigned to them, and then join them to the domain.Restringir o acesso de logon do administrador a servidores e estações de trabalhoRestrict administrator logon access to servers and workstationsÉ uma prática recomendada restringir os administradores de usar contas de administrador confidenciais para entrar em servidores e estações de trabalho com menos confiança.It is a best practice to restrict administrators from using sensitive administrator accounts to sign in to lower-trust servers and workstations.Essa restrição impede que os administradores aumentem inadvertidamente o risco de roubo de credenciais conectando-se a um computador com menos confiança.This restriction prevents administrators from inadvertently increasing the risk of credential theft by signing in to a lower-trust computer.Certifique-se de ter acesso local ao controlador de domínio ou de ter criado pelo menos uma estação de trabalho administrativa dedicada.Ensure that you either have local access to the domain controller or that you have built at least one dedicated administrative workstation.Restrinja o acesso de logon a servidores e estações de trabalho com menos confiança usando as seguintes diretrizes:Restrict logon access to lower-trust servers and workstations by using the following guidelines:Restrinja que administradores de domínio tenham acesso de logon a servidores e estações de trabalho.Restrict domain administrators from having logon access to servers and workstations.Antes de iniciar este procedimento, identifique todas as UOs no domínio que contêm estações de trabalho e servidores.Before starting this procedure, identify all OUs in the domain that contain workstations and servers.Qualquer computador nas UOs que não sejam identificadas não restringirá os administradores com contas confidenciais de entrar neles.Any computers in OUs that are not identified will not restrict administrators with sensitive accounts from signing-in to them.Restrinja os administradores de domínio de servidores e estações de trabalho de controlador não domínio.Restrict domain administrators from non-domain controller servers and workstations.Restrinja o acesso dos administradores do servidor às estações de trabalho, além dos administradores do domínio.Restrict server administrators from signing in to workstations, in addition to domain administrators.Para esse procedimento, não vincule contas à UO que contenham estações de trabalho para administradores que executem somente tarefas de administração e não forneçam acesso à Internet ou email.For this procedure, do not link accounts to the OU that contain workstations for administrators that perform administration duties only, and do not provide Internet or email access.Para restringir administradores de domínio das estações de trabalho (mínima)To restrict domain administrators from workstations (minimum)Como administrador de domínio, abra o GPMC (console de gerenciamento de política de grupo).As a domain administrator, open the Group Policy Management Console (GPMC).Configure os direitos de usuário para negar logon localmente para administradores de domínio.Configure user rights to deny logon locally for domain administrators.Navegue até computador Configuration\Policies\Windows Settings\Local políticas e clique em Navigate to Computer Configuration\Policies\Windows Settings\Local Policies, and then click Opcionalmente, você pode adicionar qualquer grupo que contenha os administradores do servidor que você deseja restringir para entrar em estações de trabalho.You can optionally add any groups that contain server administrators who you want to restrict from signing in to workstations.Configure os direitos de usuário para negar direitos de logon em lote e serviço para administradores de domínio da seguinte maneira:Configure the user rights to deny batch and service logon rights for domain administrators as follows:Concluir esta etapa pode causar problemas com as tarefas do administrador que são executadas como tarefas ou serviços agendados com contas no grupo Domain admins.Completing this step might cause issues with administrator tasks that run as scheduled tasks or services with accounts in the Domain Admins group.A prática de usar contas de administrador de domínio para executar serviços e tarefas em estações de trabalho cria um risco significativo de ataques de roubo de credenciais e, portanto, deve ser substituído por meio alternativo para executar tarefas ou serviços agendados.The practice of using domain administrator accounts to run services and tasks on workstations creates a significant risk of credential theft attacks and therefore should be replaced with alternative means to run scheduled tasks or services.Opcionalmente, você pode adicionar qualquer grupo que contenha os administradores do servidor que você deseja restringir para entrar em estações de trabalho.You can optionally add any groups that contain server administrators who you want to restrict from signing in to workstations.Opcionalmente, você pode adicionar qualquer grupo que contenha os administradores do servidor que você deseja restringir para entrar em estações de trabalho.You can optionally add any groups that contain server administrators who you want to restrict from signing in to workstations.Vincular o GPO à primeira UO de estações de trabalho.Navegue até o caminho \OU do* < domínio > *da * < floresta > *\Domains\ e:Clique com o botão direito do mouse na UO da estação de trabalho e > Teste a funcionalidade de aplicativos corporativos em estações de trabalho na primeira UO e resolva os problemas causados pela nova política.Test the functionality of enterprise applications on workstations in the first OU and resolve any issues caused by the new policy.Vincule todas as outras UOs que contenham estações de trabalho.No entanto, não crie um link para a UO da estação de trabalho administrativa se ela for criada para estações de trabalho administrativas dedicadas apenas às tarefas de administração, e não forem acesso à Internet ou ao email.However, do not create a link to the Administrative Workstation OU if it is created for administrative workstations that are dedicated to administration duties only, and that are without Internet or email access.Se, posteriormente, você estender esta solução, não negue direitos de logon para o grupo If you later extend this solution, do not deny logon rights for the Desabilitar a delegação de conta diretamente para contas de administrador confidenciaisDisable the account delegation right for sensitive administrator accountsEmbora as contas de usuário não sejam marcadas para delegação por padrão, as contas em um domínio do Active Directory podem ser confiáveis para delegação.Although user accounts are not marked for delegation by default, accounts in an Active Directory domain can be trusted for delegation.Isso significa que um serviço ou um computador confiável para delegação pode representar uma conta que se autentica a ele para acessar outros recursos na rede.This means that a service or a computer that is trusted for delegation can impersonate an account that authenticates to them to access other resources across the network.Para contas confidenciais, como aquelas que pertencem a membros dos grupos Administradores, administradores de domínio ou administradores corporativos no Active Directory, a delegação pode apresentar um risco substancial de escalonamento de direitos.For sensitive accounts, such as those belonging to members of the Administrators, Domain Admins, or Enterprise Admins groups in Active Directory, delegation can present a substantial risk of rights escalation.Por exemplo, se uma conta do grupo Domain admins for usada para entrar em um servidor membro comprometido confiável para delegação, esse servidor poderá solicitar acesso a recursos no contexto da conta de administradores de domínio e escalonar o comprometimento desse servidor membro para um comprometimento de domínio.For example, if an account in the Domain Admins group is used to sign in to a compromised member server that is trusted for delegation, that server can request access to resources in the context of the Domain Admins account, and escalate the compromise of that member server to a domain compromise.É uma prática recomendada configurar os objetos de usuário para todas as contas confidenciais no Active Directory, marcando a caixa de seleção a It is a best practice to configure the user objects for all sensitive accounts in Active Directory by selecting the Como em qualquer alteração de configuração, teste essa configuração habilitada completamente para garantir que ela seja executada corretamente antes de você implementá-la.As with any configuration change, test this enabled setting fully to ensure that it performs correctly before you implement it.É uma prática recomendada aplicar restrições rigorosamente aos controladores de domínio em seu ambiente.It is a best practice to strictly enforce restrictions on the domain controllers in your environment.São definidas com as configurações de segurança apropriadasAre configured with the appropriate security settingsUm aspecto da proteção e gerenciamento de controladores de domínio é garantir que as contas de usuário locais padrão sejam totalmente protegidas.One aspect of securing and managing domain controllers is to ensure that the default local user accounts are fully protected.É uma importância fundamental para restringir e proteger todas as contas de domínio confidenciais, conforme descrito nas seções anteriores.It is of primary importance to restrict and secure all sensitive domain accounts, as described in the preceding sections.Como os controladores de domínio armazenam hashes de senha de todas as contas no domínio, eles são alvos de alto valor para usuários mal-intencionados.Because domain controllers store credential password hashes of all accounts in the domain, they are high-value targets for malicious users.Quando os controladores de domínio não são gerenciados e protegidos usando restrições que são estritamente forçadas, eles podem ser comprometidos por usuários mal-intencionados.When domain controllers are not well managed and secured by using restrictions that are strictly enforced, they can be compromised by malicious users.Por exemplo, um usuário mal-intencionado poderia roubar credenciais de administrador de domínio confidenciais de um controlador de domínio e, em seguida, usar essas credenciais para atacar o domínio e a floresta.For example, a malicious user could steal sensitive domain administrator credentials from one domain controller, and then use these credentials to attack the domain and forest.Além disso, os aplicativos instalados e os agentes de gerenciamento nos controladores de domínio podem fornecer um caminho para o aumento dos direitos que os usuários mal-intencionados podem usar para comprometer o serviço de gerenciamento ou administradores desse serviço.In addition, installed applications and management agents on domain controllers might provide a path for escalating rights that malicious users can use to compromise the management service or administrators of that service.As ferramentas de gerenciamento e os serviços que sua organização usa para gerenciar controladores de domínio e seus administradores são igualmente importantes para a segurança dos controladores de domínio e das contas de administrador do domínio.The management tools and services, which your organization uses to manage domain controllers and their administrators, are equally important to the security of the domain controllers and the domain administrator accounts.Certifique-se de que esses serviços e administradores estejam totalmente protegidos com o mesmo esforço.Ensure that these services and administrators are fully secured with equal effort.
Worn On Tv Vampire Diaries, Tsv 1860 München U14, Pflegeheim Für Psychisch Kranke Senioren, Community Shield Aufstellung, Juventus Trainingsanzug Damen, Stfv Oberliga Südost, Zoo Berlin Häuser, Huawei P30 Lite Sound Problems, Riverdale Dvd Staffel 3, Stiftung Warentest Kühl-gefrierkombination 2020, Fc Amberg Vorstand, Cute Filter Snapchat, Fox 40 27 5, Biathlon Heute Ard, George Weah Fifa 20, Gepäckaufgabe Hawaiian Airlines, Fox Dhx2 210x55, Handyhülle Mit Band Samsung A40, Technische übersetzung Englisch Deutsch Kostenlos, Oikawa Tooru Height, Religiöse Symbole Bilder, Kreisliga Mansfeld-südharz 19/20, Julia Engelmann Mut, Japanische Möbel Frankfurt, Kreisliga C Moers 19 20, Samsung Galaxy Xcover 5, Expert Holzminden Schatzsuche, Hendrik Von Bültzingslöwen Grand Budapest, Pinguin Spiel Anleitung, Nena Mit Familie, Another Wallpaper Anime, Adelstitel 6 Buchstaben, Zierkürbis Pflanzen Abstand, Magdeburg Pokalsieger 1999, Og Keemo Lines, Dove Cameron Claire Hosterman, Charmed Online Season 6, Team-kommunikation App Kostenlos, Riverdale Evelyn Darsteller, Lustige Dachdecker Bilder, Sri Lanka Wanderreise, Erdbeeren Selber Pflücken Neckarsulm, Kreisklasse Kelheim - Reserve, Elektrische Feldlinien Geschlossen, Näheres Erfahren Synonym, Wem Gehört Rtl, Www P2p Net, Paok Spielplan 2020, Julie Ann Emery, Abc Anzug Feuerwehr, Reality High Altersfreigabe, Nikkei Future Realtime, Lernen Lernen Workshop Frankfurt, Uefa 5-jahreswertung Prognose, Hui Buh, Das Schlossgespenst Stream, Unter Uns Folge 6301, Francesco Napoli Homepage, Benfica Trikot 19/20, Atv Alles Liebe, Rosen Selber Falten, O2 Mobiles Internet Geht Nicht, Brieftaubenringe Farben 2019, C Jugend Landesliga Westfalen, Champions League 2016/17 Spielplan, Großraum Tokio Englisch, Fc Schweinfurt Facebook, Baby Walz Frankfurt Hanauer Landstraße, Google Lens App, Lebensdauer Gorenje Kühlschrank, Biologische Strahlenwirkung Referat, Pretty Little Liars Fashion, St Martin Gedicht, Türkentaube Ruf Bedeutung, Windows 10 Ihr Smartphone Entfernen, Fisch Auf Rechnung Bestellen, Ubup Damen Taschen, Sc Fürstenfeldbruck Liga, Sprüche Hoffnung Corona, Mazda Satinweiß Metallic, Aufrichtige Anteilnahme Nachbar, Eu4 Japan Achievements, Uefa 5-jahreswertung Prognose, Mesut Özil Home, Tägliches Bevölkerungswachstum Afrika, 1und1 Unlimited Datenvolumen, Gehört Der Gardasee Zur Lombardei, Ohrenkneifer Vertreiben Hausmittel, Reality High Ending, Joachim Raaf Größe, Juventus Trainingsanzug Damen,
Copyright 2020 active directory installieren windows 10