top of page
Buscar

Delegação de Permissões no Active Directory: Como Compartilhar Responsabilidades com Segurança

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • 23 de abr.
  • 3 min de leitura

A administração do Active Directory (AD) não precisa — e nem deve — estar nas mãos de apenas uma equipe central. Em ambientes corporativos, é comum haver a necessidade de distribuir tarefas administrativas para times regionais, técnicos de suporte ou até gestores de área. Para isso, a delegação de permissões é o caminho mais seguro e eficaz.

Neste artigo, vamos abordar:


  • O que é delegação de permissões no AD

  • Por que e quando delegar

  • Métodos para aplicar delegação

  • Como fazer pela interface gráfica (GUI) e por PowerShell

  • Boas práticas e armadilhas a evitar


O que é Delegação de Permissões?


Delegar no AD significa conceder a um usuário ou grupo a capacidade de realizar tarefas específicas dentro de um escopo controlado (como uma OU), sem precisar conceder permissões administrativas globais.

Exemplo: um analista de TI local pode ter permissão para criar e gerenciar contas de usuários apenas em sua filial, sem acesso ao restante do domínio.


Quando usar a Delegação de Permissões?


  • Ambientes distribuídos geograficamente

  • Times de service desk que precisam criar ou desbloquear usuários

  • Departamentos que gerenciam suas próprias contas

  • Redução de carga da equipe de infraestrutura

  • Cumprimento de requisitos de segurança e compliance


Como Delegar Permissões (GUI)


Passo a passo via Active Directory Users and Computers (ADUC):

  1. Abra o ADUC e ative a opção Advanced Features (Exibir > Recursos Avançados)

  2. Clique com o botão direito na OU desejada > Delegation of Control...

  3. Clique em Next, selecione o usuário ou grupo que receberá a delegação

  4. Selecione a tarefa (ex: Create, delete, and manage user accounts)

  5. Finalize o assistente

O AD cria automaticamente as ACLs (listas de controle de acesso) necessárias para permitir a ação apenas naquele escopo.


🧾 Exemplo prático com PowerShell


Para conceder permissão de reset de senha para o grupo "TI-FILIAL" em uma OU específica:

Import-Module ActiveDirectory
$OU = "OU=FilialSP,DC=infrashare,DC=com,DC=br"
$Group = "TI-FILIAL"
$Rights = [System.DirectoryServices.ActiveDirectoryRights]"ResetPassword"
$InheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]"All"

$ADObject = [ADSI]"LDAP://$OU"
$SID = (New-Object System.Security.Principal.NTAccount($Group)).Translate([System.Security.Principal.SecurityIdentifier])
$ACE = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($SID, $Rights, "Allow", $InheritanceType)
$ADObject.ObjectSecurity.AddAccessRule($ACE)
$ADObject.CommitChanges()

Boas Práticas


Use grupos de segurança

Delegar permissões para grupos (em vez de usuários individuais) facilita o gerenciamento e auditoria. Você pode incluir ou remover membros conforme necessário, sem alterar as permissões diretamente nas OUs.

Documente todas as delegações

Manter um inventário com data, escopo, tarefa e responsável evita permissões esquecidas ou desnecessárias, além de facilitar auditorias.

Restrinja o escopo ao mínimo necessário

Aplique o princípio de menor privilégio: conceda apenas a permissão estritamente necessária para a função. Isso reduz a superfície de ataque e possíveis erros operacionais.

Use ferramentas como dsacls para revisar ACLs

Verifique com frequência quais permissões estão delegadas e a quem. Isso ajuda a identificar configurações incorretas ou permissões herdadas indevidamente.

Reavalie periodicamente

Funções mudam, pessoas são promovidas ou trocam de equipe. A reavaliação periódica garante que apenas quem precisa mantenha as permissões.


Erros Comuns e Como Evitá-los


Delegar controle total de OU

Por que acontece: Muitos administradores acham mais prático conceder "Total Control" para evitar problemas de permissão. Problema: Isso dá ao usuário permissões excessivas, incluindo a capacidade de alterar ACLs e criar backdoors. Como evitar: Escolha tarefas específicas no assistente de delegação ou configure permissões detalhadas via PowerShell.


Delegar em containers padrão como "Users"

Por que acontece: Por desconhecimento, muitos usam contêineres padrões do AD. Problema: Esses objetos não têm políticas de delegação claras e dificultam auditoria. Como evitar: Crie e use OUs personalizadas para aplicar GPOs e delegações.


Conceder permissões administrativas amplas

Por que acontece: Falta de definição clara de funções e pressa para resolver problemas operacionais. Problema: Risco de abuso, mau uso acidental ou movimentações laterais em ataques. Como evitar: Defina papéis e responsabilidades com clareza. Use documentação e validação com a equipe de segurança.


Não remover permissões antigas

Por que acontece: Falta de processo de revisão ou desligamentos não comunicados. Problema: Usuários mantêm privilégios mesmo após mudança de função ou saída da empresa. Como evitar: Implemente revisões trimestrais de permissões e automações para remoção ao desligar ou mover usuários.


Conclusão

A delegação de permissões no Active Directory é uma poderosa funcionalidade que ajuda a escalar a administração com controle e segurança. Quando bem planejada, ela garante eficiência operacional e conformidade com boas práticas de TI e segurança.

Continue acompanhando o blog Infrashare.com.br para mais conteúdos práticos e estratégicos sobre Active Directory e infraestrutura Microsoft.

Posts recentes

Ver tudo

Comentários

bottom of page