O blog da segurança de dentro para fora Blog   /  

Active Directory Users and Computers (ADUC): Instalação e usos

Active Directory Users and Computers (ADUC): Instalação e usos

ADUC (Active Directory Users and Computers) é um console de gerenciamento configurável da Microsoft usado para administrar o Active Directory (AD). Você pode gerenciar objetos (usuários, computadores), unidades organizacionais (OU) e os atributos desses objetos e unidades.

O ADUC é uma das muitas ferramentas que você pode usar para administrar o AD, mas como existe desde o Windows 2000, é uma das mais populares. Este artigo explica como executar e usar o ADUC para gerenciar o AD.

Receba gratuitamente o e-book Pentesting
Active Directory Environments

Como adicionar o console Active Directory Users and Computers?

Talvez alguns de vocês já tenham procurado o ADUC no laptop e perceberam que ele não está lá. Ele não faz parte da instalação padrão, e a maneira de instalá-lo depende da sua versão do Windows.

Nas versões atuais do Windows, o ADUC faz parte de um conjunto de ferramentas de administração chamado RSAT (Ferramentas de Administração de Servidor Remoto).

RSAT (Ferramentas de Administração de Servidor Remoto)

Em uma atualização de outubro de 2018, a Microsoft moveu todas as ferramentas de administração do Active Directory para um “recurso sob demanda” chamado RSAT. Os invasores fazem tudo o que podem para obter escalonamentos e exfiltrações de privilégios. Eles não precisam de RSAT para causar grandes danos à sua rede, mas essas ferramentas certamente facilitam para eles! Se um invasor conseguir se apoderar de um computador onde o ADUC está instalado, poderá alterar as senhas e ter os direitos de acesso que quiser. Um cenário bem catastrófico.

De qualquer forma, se você quiser acessar o ADUC no seu computador, precisará instalar o RSAT. O ADUC não faz parte da instalação padrão de nenhuma versão do Windows. Para instalá-lo, siga as instruções abaixo:

Instalação do ADUC no Windows 10 versão 1809 e posterior

    1. No menu Iniciar, selecione Configurações > Aplicativos.
    2. Clique no hiperlink localizado à direita denominado “Recursos opcionais” e, em seguida, clique no botão Adicionar um recurso.
    3. Selecione Ferramentas de Administração de Servidor Remoto: Active Directory Domain Services e Lightweight Directory Services Tools.
    4. Clique em Instalar.
    5. Ao final da instalação, você terá um novo item no menu Iniciar chamado Ferramentas de Administração do Windows.

Instalação do ADUC no Windows 8 e Windows 10 versão 1803 e anterior

    1. Baixe e instale as Ferramentas de Administração de Servidor Remoto dependendo da sua versão do Windows. O link é para o Windows 10. Outras versões estão disponíveis no Centro de Download da Microsoft.
    2. Clique no botão Iniciar e selecione Painel de Controle > Programas > Programas e Recursos > Ativar ou desativar recursos do Windows.
    3. Role para baixo na lista e abra Ferramentas de Administração de Servidor Remoto.
    4. Abra Ferramentas de Administração de Funções.
    5. Abra Ferramentas do AD DS e do AD LDS.
    6. Marque Ferramentas do AD DS e selecione “OK”.
    7. Ao final da instalação, você terá uma pasta para Ferramentas de Administração no menu Iniciar. O ADUC deve estar nessa lista.

Resolução de problemas de instalação do RSAT

Se algo der errado e você não conseguir instalar o RSAT, pode ser devido a dois problemas comuns de instalação. Primeiro, verifique se o Firewall do Windows está ativado. O RSAT usa a infraestrutura do Windows Update e, portanto, precisa que o Firewall do Windows esteja ativado.

Após a instalação, você pode sentir falta de guias e itens semelhantes. Desinstale e reinstale. Talvez você tenha uma versão mais antiga e a atualização não funcionou 100%. No menu Iniciar, você também pode clicar com o botão direito do mouse em ADUC e verificar se o atalho aponta para %SystemRoot%\system32\dsa.msc. Se não apontar, você precisará mesmo desinstalar e reinstalar.

Para que serve o console Active Directory Users and Computers?

O ADUC pode cobrir a maioria das suas responsabilidades de administrador do AD. Provavelmente, a tarefa ausente mais importante é gerenciar GPOs, mas, fora isso, você pode fazer quase tudo com o ADUC.

Com o ADUC, você pode gerenciar as funções do servidor FSMO, redefinir senhas, desbloquear usuários, alterar associações a grupos e muito mais. O RSAT também oferece outras ferramentas que você pode usar para gerenciar o AD.

outras ferramentas rsat para gerenciar o aduc (active directory users and computers)

  • Centro Administrativo do Active Directory: permite administrar a Lixeira do AD (exclusões acidentais), políticas de senha e visualizar o histórico do PowerShell.
  • Domínios e Relações de Confiança do Active Directory: permite administrar vários domínios para gerenciar o nível funcional, o nível funcional da floresta, os UPN (User Principle Names) e as relações de confiança entre domínios e florestas.
  • Módulo Active Directory para Windows PowerShell: permite que os cmdlets do PowerShell administrem o AD.
  • Serviços e Sites do Active Directory: permite visualizar e gerenciar sites e serviços. Você pode definir a topologia do AD e planejar a replicação.
  • ADSI Editar: o ADSI Editar é uma ferramenta simples para gerenciar objetos do AD. Os especialistas em AD desaconselham o uso do ADSI Editar e recomendam usar o ADUC.

Agora vamos ver alguns casos de uso diferentes para o ADUC.

ADUC para delegação de controle

ADUC para delegação de controle

Cenário: você quer limitar a responsabilidade da equipe sysadmin ao gerenciamento de domínios específicos em sua rede. Você gostaria de atribuir dois administradores de sistema por domínio, um primário e um backup. Veja como você pode fazer isso:

  1. Abra o ADUC como Administrador.
  2. Clique com o botão direito do mouse no domínio e selecione Delegar Controle.

aduc para delegação de controle - passo 2

  1. Siga o assistente até chegar a esta tela. Adicione o(s) usuário(s) a quem você quer delegar responsabilidades de administração.

aduc para delegação de controle - passo 3

  1. Selecione o usuário e clique em “Avançar”.

aduc para delegação de controle - passo 4

  1. Selecione as tarefas que você quer delegar a esse usuário na próxima tela.

aduc para delegação de controle - passo 5

  1. A próxima tela mostra um resumo. Clique em “Concluir” se estiver correto.

aduc para delegação de controle - passo 6

ADUC para adicionar novos usuários ao domínio

Em seguida, vamos ver como adicionar um novo usuário ao domínio.

  1. Expanda a árvore do domínio à qual você quer adicionar o novo usuário, clique com o botão direito do mouse na pasta “Usuário” e selecione Novo -> Usuário.

aduc para adicionar novos usuários ao domínio - passo 1

  1. Preencha os espaços em branco e clique em “Avançar”.

aduc para adicionar novos usuários ao domínio - passo 2

  1. Defina uma senha, marque as caixas corretas e clique em “Avançar”.

aduc para adicionar novos usuários ao domínio - passo 3

  1. Verifique se o usuário está configurado corretamente na próxima tela e clique em “Concluir”.

aduc para adicionar novos usuários ao domínio - passo 4

ADUC para adicionar um novo grupo

Para criar um novo grupo, siga estes passos:

  1. Assim como antes, expanda a árvore de domínio, clique com o botão direito do mouse na pasta à qual você quer adicionar o novo grupo e selecione “Novo -> Grupo”.
  2. Preencha os espaços em branco do assistente e selecione o botão correto para “Segurança” ou “Distribuição”.

aduc para adicionar um novo grupo - passo 2

  1. Clique em “OK”, localize seu novo grupo e abra-o, selecione a aba “Membros” e adicione os usuários corretos a esse grupo.

aduc para adicionar um novo grupo - passo 3

Quanto mais você souber sobre as especificidades do AD, melhor preparado estará para defendê-lo.

A Varonis monitora e automatiza as tarefas que os usuários executam com o ADUC. A Varonis fornece um log de auditoria completo de todos os eventos do AD (usuários adicionados, logins, alterações de grupo, alterações de GPO, etc.) e compara a atividade atual com um comportamento normal de referência ao longo do tempo. Qualquer nova atividade que pareça um ataque cibernético (força bruta, coleta de tíquetes, escalonamento de privilégios entre outras) aciona alertas que ajudam a proteger sua rede contra comprometimento e vazamento de dados.

Além disso, a Varonis permite que seus proprietários de dados tenham o poder de controlar quem tem acesso aos dados. A Varonis automatiza o processo para solicitar, aprovar e auditar o acesso aos dados. É uma solução simples, mas elegante, para um problema enorme e cada vez mais importante.

Quer ver todas as maneiras pelas quais a Varonis pode ajudar você a gerenciar e proteger o AD? Confira este webinar sob demanda: Os 25 principais indicadores de risco para ajudar a proteger o Active Directory.

We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works