Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Como criar grupos baseados em consultas do Active Directory

Como criar grupos baseados em consultas do Active Directory

Jan 23, 2024

Utilizar grupos de segurança do Active Directory (AD) e grupos de distribuição é uma prática recomendada para simplificar a administração de TI, melhorar a segurança e possibilitar uma comunicação eficaz. No entanto, em muitas organizações, a composição desses grupos é definida por uma lista explícita de usuários específicos, computadores e outras entidades. O uso desses grupos estáticos é tanto trabalhoso quanto propenso a erros, porque quando funcionários entram na empresa ou mudam de função, dispositivos são adicionados ou desativados, ou outras mudanças ocorrem, todos os grupos relacionados precisam ser atualizados manualmente.

Conteúdo relacionado selecionado:

Existe uma alternativa útil que melhora a segurança e reduz a sobrecarga de TI: determinar a associação de grupos dinamicamente executando uma consulta AD. A Microsoft fornece uma interface amigável para criar grupos de distribuição baseados em uma consulta LDAP. Infelizmente, não existe uma GUI correspondente para criar grupos de segurança baseados em consultas — que compreendem a grande maioria dos grupos AD; a única opção nativa é criar scripts usando o Windows PowerShell.

Este artigo explica os métodos nativos para criar ambos os tipos de grupos dinâmicos e, em seguida, oferece uma alternativa poderosa: Smart Groups no Netwrix Directory Manager.

Grupos de Distribuição

Vamos começar com grupos de distribuição, que são mais comumente chamados de listas de distribuição. Listas de distribuição permitem aos usuários enviar mensagens de e-mail para grupos de pessoas de maneira mais eficiente e precisa. Por exemplo, você pode criar uma lista de distribuição para cada departamento e equipe, bem como uma para cada local de escritório. Essas listas de distribuição aparecem na Lista de Endereços Global (GAL), assim os usuários de negócios podem simplesmente escolher uma entrada da GAL para enviar mensagens a um grupo inteiro de colegas.

Desvantagens dos Grupos de Distribuição Estáticos

Porque os funcionários estão constantemente entrando e saindo da organização e mudando de funções dentro dela, no entanto, tentar manter as listas de distribuição atualizadas é um incômodo para as equipes de TI. Em alguns casos, eles podem nem mesmo ter o discernimento necessário para garantir que estão preenchendo as listas corretamente.

As consequências de não manter as listas de distribuição atualizadas podem ser graves. Se usuários que deveriam estar em uma lista não forem incluídos, eles não receberão mensagens que podem ser importantes para a própria produtividade e para processos de negócios essenciais. Ainda pior, listas de distribuição imprecisas são um problema de segurança e conformidade, já que mensagens podem ser enviadas a indivíduos que não deveriam ver as informações que elas contêm.

Grupos de Distribuição Baseados em Consulta

Para ajudar, a Microsoft introduziu grupos de distribuição baseados em consultas no Exchange Server 2003. Eles oferecem a mesma funcionalidade que os grupos de distribuição padrão, mas a associação não é determinada por uma lista estática de usuários. Em vez disso, a associação é gerada dinamicamente por consultas LDAP que são executadas sempre que alguém envia um e-mail para o grupo associado.

Por exemplo, você pode criar uma consulta LDAP que define a membresia de um grupo como todos os usuários que atualmente estão em um departamento específico na sua organização. Se um usuário em particular se mudar para outro departamento, assim que o objeto de usuário AD dele for atualizado, ele não receberá mais e-mails enviados para o grupo de distribuição — sem que ninguém tenha que modificar manualmente a membresia da lista de distribuição.

Você pode encontrar a consulta associada a um grupo de distribuição em msExchDynamicDLFilter e msExchQueryFilter no Active Directory.

Como criar um grupo de distribuição baseado em consulta usando o Microsoft Exchange

Grupos de distribuição baseados em consultas são fáceis de criar:

  1. Inicie o Centro de Administração do Exchange e selecione Recipients no painel esquerdo.
  2. Navegue até Groups > New > Dynamic distribution group.
  3. No assistente de Novo Grupo de Distribuição Dinâmica, especifique as seguintes propriedades da nova lista:
  4. Um nome, apelido e descrição para o grupo
  5. A unidade organizacional (OU) na qual você deseja criar o grupo
  6. O proprietário do grupo (opcional, mas recomendado)
  7. O tipo de destinatários, como caixas de correio de recursos ou usuários que possuem caixas de correio do Exchange
  8. Os critérios para a participação de um usuário na lista de distribuição, como seu departamento e localização geográfica
  9. Clique em Save para criar o grupo.

Limitações dos Grupos de Distribuição Baseados em Consulta Criados via Exchange

Os grupos de distribuição baseados em consultas criados via Exchange são mais precisos e fáceis de manter do que listas de distribuição estáticas, mas possuem algumas características importantes a serem consideradas:

  • Os atributos para determinar a filiação em uma lista de distribuição são limitados a alguns atributos comuns do usuário — contêiner, estado ou província, empresa e departamento — juntamente com alguns atributos personalizados.
  • Uma vez que a composição de uma lista de distribuição é determinada quando um email é enviado para essa lista, os usuários de negócios não podem ver os membros de uma lista de distribuição no seu cliente Outlook e, portanto, não podem ter certeza de exatamente quem receberá uma mensagem que enviam para a lista.
  • A consulta é avaliada cada vez que um e-mail é enviado para uma lista de distribuição baseada em consulta. Portanto, o uso extensivo desses grupos impõe um ônus significativo ao servidor Exchange e ao global catalog.

Grupos de segurança

Embora os grupos de distribuição sejam certamente valiosos e precisem ser mantidos atualizados para garantir segurança e produtividade, AD security grupos são ainda mais importantes. Os administradores contam com grupos de segurança do AD para provisionar usuários de forma rápida e precisa com as permissões de acesso necessárias com base em seus papéis na organização. Por exemplo, você pode criar um grupo de segurança chamado “Vendas” e conceder-lhe direitos de acesso às informações específicas, aplicações e outros recursos necessários pelos membros do departamento de Vendas. Todo usuário que é membro de um grupo automaticamente recebe todos os direitos de acesso atribuídos a esse grupo.

Desvantagens dos Grupos de Segurança Estáticos

Assim como acontece com os grupos de distribuição estáticos, as equipes de TI enfrentam uma luta constante para garantir que exatamente os usuários certos sejam membros de cada grupo de segurança estático. De fato, à medida que os funcionários mudam de função dentro de uma organização ao longo do tempo, é comum que eles mantenham a associação em grupos que já não são mais relevantes para suas funções. Por exemplo, se alguém passa do departamento de Vendas para o de Marketing, muitas vezes retém permissões para bancos de dados de Vendas e outros recursos aos quais não deveriam mais ter acesso, porque ninguém os removeu dos grupos relacionados às Vendas. Além disso, administradores sobrecarregados podem cometer erros, como adicionar um funcionário júnior a um grupo como “Gerentes”, dando-lhes assim acesso inapropriado a informações sensíveis.

Este excesso de provisionamento é um problema sério tanto para a segurança quanto para a conformidade regulatória. Por outro lado, às vezes as equipes de TI falham em conceder aos usuários a associação em todos os grupos de segurança aos quais eles deveriam pertencer, o que pode interromper processos de negócios importantes e sobrecarregar o helpdesk.

Atualizando a associação dos Grupos de Segurança usando Microsoft PowerShell

Os administradores podem usar o Windows PowerShell para criar e popular um grupo de segurança de acordo com uma consulta. Eles também podem usar um script para atualizar a associação de um grupo de segurança, em vez de adicionar e remover membros manualmente. Por exemplo, o seguinte script garante que o grupo de segurança PseudoDynamicGroup seja povoado apenas com os usuários em uma OU especificada (desiredUsers):

Import-Module ActiveDirectory

      #Define the variable ‘groupname’ and load it with the members of the group ‘PseudoDynamicGroup’.

    $groupname = PseudoDynamicGroup

    #Define the variable ‘users’ and populate it with all the users in specified OU.

    $users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"

    #Iterate through the users in the ‘users’ variable. Add each of them to the group ‘PseudoDynamicGroup’ if they are not already a member.

    foreach($user in $users)

    {

      Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue

    }

    #Define the variable ‘members’ and populate it with the current membership of the security group ‘PseudoDynamicGroup’.

    $members = Get-ADGroupMember -Identity $groupname

    #Iterate through the users in the ‘members’ variable. If any user is not in the specified OU, remove them from ‘PseudoDynamicGroup’.

    foreach($member in $members)

    {

      if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")

      {

        Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname

      }

    }

Limitações dos Grupos de Segurança Baseados em Consultas Criados via PowerShell

Obviamente, criar meticulosamente um script PowerShell como este para cada grupo de segurança do AD é uma tarefa enorme que requer habilidades especializadas. Além disso, os scripts precisam ser mantidos e novos devem ser escritos conforme novos projetos ou equipes são criados. Muitas organizações simplesmente não têm os recursos de TI para se dedicar a esse trabalho desafiador e crítico, o que as leva a procurar uma solução robusta de terceiros como Netwrix Directory Manager.

Grupos Baseados em Consultas com Netwrix Directory Manager

Com o Netwrix Directory Manager, você pode facilmente criar listas de distribuição e grupos de segurança cuja associação é determinada dinamicamente usando consultas do Active Directory. Esses grupos baseados em consultas são chamados de Smart Groups.

Para criar um Smart Group, você simplesmente precisa definir uma consulta AD para o grupo e configurar o agendamento para executá-la. Cada vez que a consulta é realizada, ela busca objetos no diretório para atualizar a associação do grupo. A consulta pode ser executada manualmente ou automaticamente em um agendamento definido. Como resultado, ao contrário das listas de distribuição dinâmicas criadas via Exchange, os grupos de distribuição do Netwrix Directory Manager não sobrecarregam o servidor Exchange executando uma consulta cada vez que um email é enviado para o grupo.

Criando Consultas

Com o Query Designer no Netwrix Directory Manager, você obtém uma interface visual intuitiva para criar consultas; não há necessidade de escrever comandos PowerShell. Ele possui as seguintes abas:

  • Geral — Selecione o tipo de objetos que podem ser membros do grupo.
  • Armazenamento — Escolha as caixas de correio em qualquer servidor Exchange ou banco de dados de caixas de correio.
  • Identity Store — Especifique critérios para a associação a grupos. Por exemplo, você pode usar os atributos de localização, empresa, departamento ou identificação do funcionário, e também aplicar condições lógicas como AND e OR para filtrar ainda mais os resultados.
  • Avançado — Utilize fontes de dados externas como Oracle, ODBC, Microsoft SQL Server ou arquivos de texto para ajudar a determinar a associação do grupo.
  • Incluir/Excluir — Adicione ou remova objetos da associação do grupo independentemente do resultado da consulta.
  • Smart Script —Escreva um script baseado na sua própria lógica personalizada usando o suporte a VB Script.

Conclusão

Grupos de segurança e listas de distribuição baseados em consultas são inestimáveis para melhorar a segurança e a produtividade empresarial, ao mesmo tempo que reduzem a carga de trabalho de TI. No entanto, com opções nativas, o uso de listas de distribuição dinâmicas pode sobrecarregar seus recursos do Exchange, e criar listas de segurança dinâmicas requer muito tempo e conhecimento avançado em PowerShell. Netwrix Directory Manager oferece uma alternativa poderosa: Smart Groups que facilitam a criação e manutenção de grupos de segurança dinâmicos e listas de distribuição.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jonathan Blackwell

Chefe de Desenvolvimento de Software

Desde 2012, Jonathan Blackwell, um engenheiro e inovador, tem fornecido liderança em engenharia que colocou o Netwrix GroupID na vanguarda da gestão de grupos e usuários para ambientes Active Directory e Azure AD. Sua experiência em desenvolvimento, marketing e vendas permite que Jonathan compreenda totalmente o mercado de Identity Management e como os compradores pensam.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança