VPS · 8 min de leitura · Atualizado em mai. de 2026 · Equipe Hostini

Como criar usuário no VPS Windows para compartilhar acesso

Aprenda a criar contas de usuário no Windows Server para compartilhar acesso à sua VPS sem expor a senha do administrador, com permissões controladas.

Compartilhar a senha do administrador da VPS Windows com todos da equipe parece prático no início mas vira problema rapidamente: você perde o registro de quem fez cada mudança, qualquer pessoa pode instalar software arbitrário e a rotação de senha precisa ser propagada manualmente. Criar contas individuais com permissões adequadas resolve esses três problemas de uma vez.

Este tutorial mostra como criar usuários locais no Windows Server, conceder acesso remoto via RDP de forma controlada e revogar acesso quando alguém sai da equipe. Os passos funcionam em Windows Server 2019, 2022 e 2025. Tempo estimado: 10-15 minutos para configurar 2-3 usuários.

A persona típica aqui é o admin de uma VPS Windows que precisa dar acesso para colaboradores — desenvolvedor que precisa publicar app, designer que precisa testar build, suporte que precisa investigar problema — sem entregar as chaves do reino.

Pré-requisitos

Pré-requisitos

Você precisa de uma VPS com Windows Server 2019/2022/2025, acesso RDP atual como Administrator e a porta 3389 (ou a porta customizada do RDP) liberada no firewall para os IPs dos colaboradores que vão acessar.

Antes de começar, decida qual nível de acesso cada usuário precisa. A regra prática é dar o mínimo necessário e elevar permissões só sob demanda — o oposto (dar tudo e revogar depois) raramente acontece na prática.

Sistema Windows Server 2019+
Sessões RDP padrão 2 simultâneas
Grupo para RDP Remote Desktop Users
Porta RDP padrão 3389

Criando o usuário pela interface gráfica

A forma mais simples é via Local Users and Groups, o snap-in MMC nativo do Windows. Ela serve bem para criação pontual de 1-3 usuários — para volume maior, prefira PowerShell (próxima seção).

01

Conecte-se à VPS via RDP como Administrator. No menu Iniciar, digite lusrmgr.msc e pressione Enter:

lusrmgr.msc

Abre o gerenciador de usuários e grupos locais. Se aparecer mensagem dizendo que o snap-in não funciona com Home edition, você não está em Server — verifique a edição com winver.

02

No painel esquerdo, clique em Users. No painel direito, clique com botão direito num espaço vazio e selecione New User. Preencha:

  • User name: nome curto sem espaço (ex: jsilva, mlima)
  • Full name: nome completo (ex: João Silva)
  • Description: contexto (ex: Dev — acesso temporário até 30/06)
  • Password e Confirm password: senha forte com 16+ caracteres

Marque User must change password at next logon. Desmarque Password never expires — senha que não expira é falha de auditoria.

03

Clique em Create e depois Close. O usuário foi criado mas ainda não pode acessar via RDP — falta adicionar ao grupo certo. Clique em Groups no painel esquerdo, dê duplo clique em Remote Desktop Users, clique Add, digite o nome do usuário e confirme com Check Names. Clique OK duas vezes.

Agora o usuário consegue abrir sessão RDP, mas não tem privilégios administrativos. Esse é o estado padrão recomendado para acesso compartilhado.

Senha forte é obrigatória

A política padrão do Windows Server exige senha com no mínimo 8 caracteres, com 3 dos 4 tipos: maiúscula, minúscula, número, símbolo. Se for criar senha temporária para enviar ao usuário, gere com gerador automático — não invente “Senha@2026” que cai em qualquer dicionário.

Criando usuários via PowerShell

Para criar múltiplos usuários ou automatizar via script, PowerShell é mais rápido e auditável. Abra PowerShell como Administrator.

01

Crie uma variável com a senha. SecureString evita que a senha apareça em texto plano no histórico do PowerShell:

$senha = Read-Host -AsSecureString "Digite a senha do novo usuário"

O Read-Host com -AsSecureString pede a senha interativamente e armazena em memória de forma protegida. Não escreva $senha = ConvertTo-SecureString “minhasenha” -AsPlainText -Force em script — o histórico do PowerShell guarda em texto puro.

02

Crie o usuário com New-LocalUser. Esse cmdlet substitui o antigo net user para criação:

New-LocalUser -Name "jsilva" `
  -Password $senha `
  -FullName "João Silva" `
  -Description "Dev - acesso temporario ate 30/06" `
  -PasswordNeverExpires $false `
  -UserMayNotChangePassword $false

A flag -PasswordNeverExpires $false (default) garante que a senha respeita a política de expiração. Se você não passa, alguns sistemas tratam como true silenciosamente.

03

Adicione o usuário ao grupo Remote Desktop Users:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "jsilva"

Para verificar que entrou no grupo, rode Get-LocalGroupMember -Group “Remote Desktop Users”. O usuário deve aparecer com o prefixo do nome da máquina (NOMEDOSERVIDOR\jsilva).

04

Force troca de senha no primeiro login. Esse cmdlet ainda usa net user diretamente porque o equivalente PowerShell puro não existe:

net user jsilva /logonpasswordchg:yes

No próximo RDP, o Windows pede para o usuário definir uma senha nova antes de carregar o desktop.

Script para múltiplos usuários

Para criar 5-10 usuários, coloque os dados num CSV (username,fullname,description) e itere com Import-Csv | ForEach-Object. Você pré-gera senhas temporárias únicas por usuário e envia cada uma pelo canal seguro apropriado.

Concedendo permissões específicas

Remote Desktop Users dá só o direito de abrir sessão. Para o usuário fazer trabalho real, ele precisa de permissões nas pastas, serviços ou banco de dados específicos.

Evite ao máximo adicionar usuário ao grupo Administrators só porque “é mais simples”. Quando virar emergência (alguém precisa ajustar registry para instalar app), aí sim eleva — temporariamente — e remove depois. As permissões granulares mais comuns:

Acesso a pasta de aplicação

Se o usuário precisa publicar arquivos numa pasta específica (ex: C:\inetpub\wwwroot\app), conceda permissão diretamente nessa pasta sem mexer no resto do sistema:

$acl = Get-Acl "C:\inetpub\wwwroot\app"
$regra = New-Object System.Security.AccessControl.FileSystemAccessRule(
  "jsilva", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow"
)
$acl.SetAccessRule($regra)
Set-Acl "C:\inetpub\wwwroot\app" $acl

Modify dá leitura, escrita, delete e mudança de atributos — sem permitir mudar dono ou ACL. Full Control raramente é o que você quer.

Reiniciar um serviço específico

Para permitir que o usuário reinicie um serviço (ex: o serviço de IIS ou um app .NET) sem ser admin, use sc sdset para conceder direito RP (start/stop) no SID do usuário:

sc.exe sdset W3SVC "D:(A;;CCLCSWRPWPDTLOCRRC;;;<SID_DO_USUARIO>)..."

O comando completo é longo — busque o SID do usuário com Get-LocalUser jsilva | Select-Object SID e a SDDL atual do serviço com sc sdshow W3SVC, depois adicione a entrada antes de aplicar. Permite restart sem dar admin local.

Verificando que tudo funciona

Antes de avisar o colaborador que o acesso está pronto, teste você mesmo de uma outra máquina (ou peça que ele teste com você acompanhando por chamada).

01

De outra máquina, abra Conexão de Área de Trabalho Remota (mstsc) e conecte ao IP da VPS na porta certa. Use as credenciais do novo usuário:

mstsc /v:SEU.IP.AQUI:3389

Login deve pedir troca de senha imediatamente. Após definir a nova, o desktop carrega.

02

Dentro da sessão, verifique que o usuário NÃO consegue elevar privilégios. Abra PowerShell normal (sem “Run as administrator”) e tente:

Get-Process | Stop-Process -Name explorer

Deve retornar “Access denied” para processos que não pertencem ao usuário atual. Se executar sem erro, o usuário está em Administrators — revise a configuração.

Não compartilhe senha pelo mesmo canal

Envie usuário e senha por canais separados — usuário por e-mail corporativo, senha por mensagem direta efêmera (Signal, WhatsApp com mensagens temporárias) ou cofre de senhas (1Password, Bitwarden). Senha em e-mail fica em backup por anos.

Removendo acesso quando alguém sai

A pior falha de auditoria comum é deixar contas ativas de gente que saiu da equipe. Estabeleça um processo claro: desabilita imediatamente, deleta após 30 dias.

Disable-LocalUser -Name "jsilva"
Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "jsilva"

Disable-LocalUser preserva o SID e tudo que está vinculado (ACLs, logs, agendas). Se descobrir depois que algo dependia daquele usuário, basta Enable-LocalUser para reativar. Após 30 dias confirmando que nada quebrou:

Remove-LocalUser -Name "jsilva"

Próximos passos

Com usuários configurados, vale aprofundar em camadas adicionais de segurança e gestão:

  • Habilitar Network Level Authentication (NLA) no RDP — força autenticação antes de carregar interface gráfica, bloqueando ataques na tela de login
  • Configurar restrição de IPs no Windows Firewall para que só os IPs da equipe abram RDP
  • Investigar Windows Local Administrator Password Solution (LAPS) se você gerencia várias VPS Windows
  • Habilitar auditoria de logon (auditpol /set /subcategory:“Logon” /success:enable /failure:enable) para registrar tentativas de acesso
  • Considerar trocar a porta padrão 3389 do RDP para reduzir ruído de scanners automáticos

Se você está colocando uma VPS Windows em produção com vários colaboradores acessando, uma VPS Hostini oferece KVM dedicado com snapshots — útil para testar mudanças de permissão sem medo, restaurando o estado anterior em segundos se algo quebrar.

Perguntas frequentes

Posso criar usuários sem dar acesso remoto (RDP)?

Sim. Por padrão, contas locais novas no Windows Server não conseguem fazer login remoto. Só quem está nos grupos Administrators ou Remote Desktop Users abre sessão RDP. Mantenha o usuário fora desses dois grupos se ele só vai rodar tarefas locais ou ser usado por serviços.

Qual a diferença entre Administrators e Remote Desktop Users?

Administrators tem controle total: instala software, muda registro, vê arquivos de qualquer usuário e pode conceder permissões. Remote Desktop Users só ganha o direito de logar via RDP — as permissões reais dependem do que mais esse usuário tem em ACLs e em outros grupos. Para acesso compartilhado seguro, prefira Remote Desktop Users.

Como faço o novo usuário trocar a senha no primeiro login?

Marque a opção User must change password at next logon na criação via lusrmgr.msc, ou rode net user nome /logonpasswordchg:yes no PowerShell. No próximo RDP, o Windows força a troca antes de liberar a sessão. Isso evita que a senha temporária que você enviou continue válida indefinidamente.

Quantos usuários podem fazer RDP simultaneamente?

O Windows Server padrão permite 2 sessões RDP administrativas simultâneas sem licença adicional. Para mais sessões em paralelo é preciso configurar o RD Session Host com licenças CAL. Para 3-4 pessoas se revezando ao longo do dia, as 2 sessões padrão geralmente bastam.

Como remover acesso de um usuário que saiu da equipe?

Não delete a conta imediatamente — desabilite primeiro com net user nome /active:no. Isso preserva ACLs, agendas e logs vinculados ao SID. Após 30 dias confirmando que nada quebrou, aí sim delete via net user nome /delete. Auditoria fica mais limpa assim.

Posso usar contas de domínio em vez de locais?

Sim, se a VPS faz parte de um domínio Active Directory. Contas de domínio centralizam gerenciamento e políticas. Para uma VPS isolada ou poucos usuários, contas locais são mais simples e suficientes — domínio só compensa a partir de 10-15 servidores Windows interligados.

Tópicos:
vpswindows-server
Próximos passos Cloud Ryzen com NVMe e proteção DDoS sempre ativa.Coloque em produção numa VPS Hostini →
Esse tutorial foi útil?
Falar no WhatsApp