Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Grupos de segurança do Active Directory vs Grupos de distribuição

Grupos de segurança do Active Directory vs Grupos de distribuição

Apr 27, 2023

A utilização de grupos é uma prática recomendada para a gestão de Active Directory. Este artigo descreve os dois tipos de grupos de Active Directory — grupos de segurança e grupos de distribuição — e oferece orientações para utilizá-los eficazmente.

Principais diferenças entre Grupos de Segurança e Listas de Distribuição

Grupos de segurança e grupos de distribuição (mais comumente chamados de listas de distribuição) são ambos grupos do Active Directory, mas são projetados para propósitos muito diferentes:

  • Grupos de segurança são utilizados para gerenciar o acesso de usuários e computadores a recursos de TI compartilhados, como dados e aplicações. As permissões são atribuídas ao grupo de segurança, e todas as contas de usuários e computadores que são membros do grupo recebem essas permissões automaticamente.
  • Grupos de distribuição (listas de distribuição) são utilizados para enviar e-mails a um conjunto de usuários, sem que o remetente tenha que inserir o endereço de e-mail de cada destinatário individualmente.

Observe que, embora você possa usar grupos de segurança para distribuição de e-mails, não é possível usar listas de distribuição para atribuir permissões.

Agora, vamos mergulhar mais fundo em cada tipo de grupo AD.

Grupos de segurança

Active Directory security groups are used to manage user and computer access to shared resources, such as folders, applications and printers. This makes provisioning easier and more accurate. For example, when a new person joins the organization, the IT team can quickly grant them access to exactly the resources they need to do their job simply by adding them to the appropriate security groups, such as the groups for their department and their specific projects. Security groups can also be set up to deny a set of users access to a particular resource.

Duas funções primárias de um grupo de segurança são:

  • Atribuir Direitos de Usuário: A atribuição de direitos de usuário a um grupo de segurança determina o que os membros desse grupo específico podem fazer dentro do escopo de um domínio. Por exemplo, um usuário que é adicionado ao grupo de Operadores de Backup pode fazer backup e restaurar arquivos e diretórios localizados em cada controlador de domínio no domínio. Ao ser membro deste grupo, você herda os direitos de usuário atribuídos ao grupo.
  • Atribuir Permissões para Recursos: Isso é diferente dos direitos do usuário porque os direitos do usuário se aplicam em todo um domínio, ao contrário das permissões que são direcionadas a uma entidade específica. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle Total ou Apenas Leitura.

Resumidamente, os direitos do usuário se aplicam às contas de usuários enquanto as permissões estão associadas a objetos.

Os administradores podem criar grupos de segurança e gerenciar suas permissões e membros por meio de vários métodos, incluindo o console Active Directory Users and Computers (ADUC), Windows PowerShell e soluções de software de gerenciamento de grupos de terceiros.

O que são Permissões de Grupo de Segurança do Active Directory?

As permissões no Active Directory são um conjunto de regras e regulamentos que definem o quanto de autoridade um objeto tem para visualizar ou modificar outros objetos e arquivos no diretório. Para garantir que os usuários tenham acesso apenas aos recursos de que precisam, os administradores de TI atribuem permissões por meio de Listas de Controle de Acesso (ACLs).

O que são Listas de Controle de Acesso (ACLs)?

As Listas de Controle de Acesso definem as entidades que têm acesso a um objeto e o tipo de acesso. Essas entidades podem ser contas de usuário, contas de computador ou grupos. Por exemplo, se um objeto de arquivo tem uma ACL que contém (Mary: ler; Sarah: ler, escrever), isso permitiria que Mary lesse o arquivo e permitiria que Sarah o lesse e escrevesse.

Uma Access Control List pode ser configurada em um objeto individual ou em uma unidade organizacional (OU), o que significa que todos os objetos descendentes da OU herdam a ACL.

Tipos de Listas de Controle de Acesso

Existem dois tipos de ACLs, cada um desempenhando uma função distinta:

  • Lista de controle de acesso discricionário (DACL): Esta lista indica os direitos de acesso atribuídos a uma entidade sobre um objeto. Quando uma entidade ou processo tenta acessar um objeto, o sistema determinará o acesso com base no seguinte:
    • Se um objeto não possui uma DACL, o sistema permite acesso total a todos.
    • Se um objeto possui uma DACL, o sistema permite o acesso que é explicitamente permitido pelas entradas de controle de acesso (ACEs) na DACL.
    • Se uma DACL possui ACEs que permitem acesso a um conjunto limitado de usuários ou grupos, o sistema implicitamente nega acesso a todos que não estão incluídos nos ACEs.
    • Se a DACL de um objeto não tem ACEs, o sistema não permite acesso a ninguém.
  • Lista de controle de acesso do sistema (SACL): Esta lista gera relatórios de auditoria que indicam qual entidade estava tentando obter acesso a um objeto. Também informa se o acesso à entidade foi negado ou concedido para esse objeto, juntamente com o tipo de acesso fornecido.

Aprimore a segurança do AD com Netwrix Directory Manager

Simplifique o gerenciamento de grupos de segurança e distribuição no AD

Dica: Evite usar Security Groups para enviar e-mails

Em uma configuração normal, grupos de distribuição criados no Exchange e Microsoft 365 são atribuídos endereços de e-mail por padrão, mas grupos de segurança não são. Consequentemente, grupos de segurança normalmente não podem ser usados para distribuição de e-mails. No entanto, é possível habilitar um grupo de segurança para envio de e-mails a fim de usá-lo tanto para conceder acesso a recursos quanto para enviar e-mails.

No entanto, não é uma boa prática usar grupos de segurança para e-mail, pois isso pode comprometer a segurança. Um grupo de segurança habilitado para e-mail aumenta o risco de roubo de identidade para si próprio em primeiro lugar, o que pode se espalhar para outros grupos de segurança que são membros do grupo comprometido. Ou, por exemplo, se um grupo de segurança habilitado para e-mail receber um link malicioso em uma mensagem, isso pode invadir a privacidade da sua organização ao perturbar certas configurações.

Se você precisa enviar um e-mail para todos os membros de um grupo de segurança, é melhor criar um grupo de distribuição com a mesma composição do grupo de segurança.

Grupos de Distribuição

Os grupos de distribuição do Active Directory são usados para enviar e-mails a um grupo de usuários em vez de destinatários individuais um a um. Por exemplo, uma empresa pode configurar uma lista de distribuição para todos os funcionários, outra lista de distribuição para todos os gerentes e uma lista de distribuição separada para cada departamento. Quando você deseja enviar um e-mail para qualquer um desses grupos, pode simplesmente selecionar o grupo de distribuição, em vez de ter que adicionar todos os destinatários individualmente. Isso economiza tempo e melhora a precisão.

Como mencionado anteriormente, você não pode atribuir permissões a listas de distribuição.

Grupos de Distribuição vs Caixas de Correio Compartilhadas

Uma lista de distribuição é bastante diferente de uma caixa de correio compartilhada. Uma caixa de correio compartilhada é usada quando várias pessoas precisam de acesso ao mesmo correio eletrônico. Por exemplo, a equipe de helpdesk e a equipe de suporte de TI podem usar uma caixa de correio compartilhada para que possam colaborar nas tarefas. Além disso, qualquer pessoa das equipes pode enviar e receber e-mails em nome das equipes. Normalmente, uma caixa de correio compartilhada tem um endereço genérico como “ITsupport@company.com” para que permaneça o mesmo mesmo quando a composição da equipe responsável por ela muda ao longo do tempo. Quando um usuário envia um e-mail de uma caixa de correio compartilhada, ele é enviado do endereço da caixa de correio compartilhada em vez do endereço de e-mail próprio do usuário. Uma cópia desse e-mail é enviada para a caixa de correio compartilhada para que todos os outros membros possam ver.

Um cenário que destaca a diferença entre uma lista de distribuição e uma caixa de correio compartilhada é a exclusão de e-mails. Se um usuário excluir um e-mail de uma caixa de correio compartilhada, esse e-mail é excluído para todos que têm acesso a essa caixa. Mas quando um membro de uma lista de distribuição exclui um e-mail enviado ao grupo, esse e-mail não é excluído da caixa de correio de nenhum outro destinatário.

Os Grupos de Distribuição podem ser geridos por Grupos de Segurança e vice-versa?

Um grupo de segurança pode ser feito o proprietário de um grupo de distribuição. Ao fazer isso, todos os membros do grupo de segurança seriam capacitados a gerenciar aquele grupo de distribuição — por exemplo, seus destinatários de relatório de não entrega e restrições de envio/recebimento de mensagens. Por exemplo, um grupo de segurança criado para uma equipe de projeto pode ser o proprietário de sua lista de distribuição associada, e a equipe de comunicações corporativas pode ser o proprietária de várias listas de distribuição para a empresa.

Por outro lado, um grupo de distribuição não pode ser feito o proprietário de um grupo de segurança.

É seguro excluir grupos de distribuição e grupos de segurança?

Excluir um grupo de distribuição não representa uma ameaça à segurança da sua organização, embora excluir um acidentalmente possa interromper as comunicações até que o grupo possa ser restaurado a partir de um backup ou um novo seja criado e preenchido com os mesmos membros.

Excluir um grupo de segurança, no entanto, pode ter implicações sérias, como:

  • Segurança — Excluir um grupo de segurança que restringe o acesso dos membros a certos recursos concederia a esses usuários acesso a esses recursos.
  • Produtividade — Excluir um grupo de segurança que concede aos seus membros acesso a determinados recursos deixaria os usuários incapazes de acessar os dados e aplicações necessários para realizar seus trabalhos.

Portanto, tenha cuidado ao excluir grupos de segurança.

Conclusão

Keeping your security groups and distribution lists accurate and up to date is critical to security and business continuity. To simplify the work, consider investing in a solution like Netwrix Directory Manager. Netwrix Directory Manager makes it easy to ensure that:

  • Cada grupo no seu diretório tem um propósito.
  • Todo grupo tem um proprietário.
  • Os usuários não recebem associação desnecessária a grupos.
  • Nenhum grupo possui permissões excessivas.
  • Os grupos não sobrevivem além do seu propósito pretendido.
  • Grupos duplicados não existem.

Obtenha o Guia para Gerenciamento de Grupos do Active Directory

Explore como gerenciar melhor os grupos de diretórios AD com este eBook

Saiba Mais

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Kevin Joyce

Diretor de Product Management

Diretor de Product Management na Netwrix. Kevin tem uma paixão por segurança cibernética, especificamente em compreender as táticas e técnicas que os atacantes usam para explorar os ambientes das organizações. Com oito anos de experiência em product management, focando em Active Directory e segurança do Windows, ele levou essa paixão para ajudar a construir soluções para organizações protegerem suas identidades, infraestrutura e dados.

Saiba mais sobre este assunto

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como criar, alterar e testar senhas usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Confianças no Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança