Como saber se os usuários do Active Directory estão com permissões padrão?

byEduardo Popovici -
0


Você sabia que é possível identificar, de forma precisa, se os usuários do seu ambiente Active Directory possuem apenas as permissões padrão — ou se, sem querer (ou por má prática), alguém acabou com mais acesso do que deveria?

Essa é uma das auditorias mais importantes dentro de um ambiente corporativo seguro. Acredite: permissões mal configuradas são uma das maiores brechas de segurança em redes corporativas, e a maioria dos administradores só descobre depois de um incidente.

Pensando nisso, preparei um guia prático e direto, com comandos PowerShell e boas práticas de auditoria, para te ajudar a manter sua infraestrutura em conformidade e segura. 

1. Verifique os grupos aos quais o usuário pertence

No Active Directory, um usuário padrão normalmente faz parte apenas do grupo Domain Users. Se ele estiver em grupos como Domain Admins, Enterprise Admins ou Administrators, ligue o alerta vermelho: são grupos com permissões elevadas, e a presença neles deve ser intencional e documentada.

Use o comando abaixo no PowerShell para checar:

Get-ADUser -Identity nomeDoUsuario -Properties MemberOf | Select-Object -ExpandProperty MemberOf

Dica: Automatize a auditoria com filtros para listar apenas os usuários que pertencem a grupos de alta permissão.

2. Verifique permissões delegadas diretamente em OUs

Você pode estar seguindo boas práticas na criação de usuários, mas... e se alguém tiver delegado permissões diretamente em uma Unidade Organizacional (OU)? Isso pode dar poderes administrativos a usuários que, teoricamente, não deveriam tê-los.

Para isso, use:

dsacls "OU=NomeDaOU,DC=dominio,DC=com"

Esse comando mostra a Access Control List (ACL) da OU, revelando quem pode alterar objetos, criar contas ou até mesmo deletar usuários.

Atenção: Permissões como Write, Create, Full Control ou GenericAll exigem avaliação criteriosa.

3. Verifique permissões aplicadas diretamente em objetos de usuários

Permissões concedidas diretamente a um objeto de usuário são mais difíceis de perceber — e podem ser uma brecha perigosa, especialmente se forem herdadas de modificações manuais ou delegações antigas.

Execute:

dsacls "CN=NomeDoUsuario,OU=Usuarios,DC=dominio,DC=com"

O ideal é que as permissões do usuário sejam herdadas da OU. Se o DSACLS retornar permissões explícitas, vale investigar.

O que são permissões herdadas no Active Directory?

Quando falamos em permissões no Active Directory, um dos conceitos mais importantes para garantir a consistência e a segurança da administração é o de herança de permissões — ou seja, permissões herdadas.

Conceito de Herança

No AD, todos os objetos (usuários, grupos, computadores, OUs, etc.) estão organizados de forma hierárquica. As permissões atribuídas a um objeto pai (como uma OU - Unidade Organizacional) podem ser automaticamente propagadas para os objetos filhos contidos nela. Isso é o que chamamos de permissão herdada.

Por exemplo:

Se você define que um grupo de administradores tem a permissão de "Resetar senha" na OU Usuarios, todos os usuários dentro dessa OU herdarão essa permissão automaticamente. Isso permite que a administração seja centralizada, previsível e padronizada.

Permissões Explícitas vs Herdadas

  • Permissões Herdadas
    São definidas em um nível superior (como a OU) e aplicadas automaticamente a todos os objetos filhos.
    São recomendadas porque mantêm a administração simples e organizada.

  • Permissões Explícitas (Diretas)
    São configuradas individualmente no objeto, sem depender da estrutura hierárquica.
    ❌ São mais difíceis de rastrear, analisar e manter.
    ❌ Podem gerar exceções perigosas e conflitos com políticas de segurança.

4. Verifique permissões locais em estações de trabalho

Um usuário pode ter apenas permissões padrão no AD, mas ser administrador local em várias máquinas — e isso dá a ele o controle total daquele dispositivo.

Audite com:

Invoke-Command -ComputerName nomePC -ScriptBlock {
 Get-LocalGroupMember -Group "Administradores"
}

Se o nome do usuário aparecer como membro do grupo "Administradores", significa que ele tem privilégios elevados naquele endpoint.

5. Auditoria em massa de permissões

Para realizar uma verificação em larga escala, audite todos os usuários e exporte as informações para análise:

Get-ADUser -Filter * -Properties MemberOf | 
Select-Object Name, SamAccountName, @{Name="Grupos";Expression={$_.MemberOf -join "; "}} |
Export-Csv -Path "C:\Relatorio_AD.csv" -NoTypeInformation

Isso gera um CSV com todos os grupos de cada usuário. Ideal para importar em ferramentas de análise ou usar em revisões periódicas de segurança.

Por que isso importa?

Permissões elevadas sem controle representam risco real de comprometimento, seja por erro humano, malware, ransomware ou acesso indevido. Implementar auditorias recorrentes com scripts e relatórios é uma prática essencial de hardening e governança de identidade.

Recomendações finais:

  • Utilize Grupos de Segurança para delegar permissões — evite atribuí-las diretamente a usuários.

  • Documente cada exceção com justificativa e aprovação formal.

  • Implemente auditorias automáticas recorrentes com PowerShell ou soluções como o Microsoft Defender for Identity.

  • Combine com alertas em SIEMs para monitoramento proativo.

Concluindo...

Manter o AD em conformidade com boas práticas é mais que segurança — é maturidade operacional. Invista tempo em auditorias como essa e evite dores de cabeça no futuro.



Postar um comentário

Comente sem faltar com respeito - ;-)

Postagem Anterior Próxima Postagem