O gerenciamento do Active Directory abrange uma ampla gama de tarefas, incluindo configurar seus domínios e forests, manter seu AD organizado e íntegro, gerenciar adequadamente a Diretiva de grupo e garantir a continuidade dos negócios com um processo completo de backup e recuperação.
Gerenciamento do Active Directory
Melhores práticas para gerenciar seu AD com sucesso
09:14
Estabelecer uma estrutura consistente do AD
Estabelecer uma estrutura consistente do AD, ou limpar a que você já possui, é essencial para o gerenciamento eficiente e eficaz do Active Directory. Isso simplificará significativamente sua capacidade de gerenciar a Diretiva de grupo, ajudará você a delegar permissões administrativas para distribuir a carga de trabalho de gerenciamento sem sacrificar a segurança, além de agilizar tarefas comuns, como provisionamento e geração de relatórios de contas de usuário.
Estabelecer domínios
Estabelecer domínios
A unidade básica de gerenciamento do AD é o domínio do Active Directory, um grupo de usuários relacionados, computadores, impressoras e outros objetos do AD armazenados em um único banco de dados do AD. Os domínios devem ser entidades bastante estáveis, portanto, configure-os cuidadosamente. Por exemplo, você pode ter um domínio para o escritório da sua empresa em Chicago e um domínio separado para o seu escritório em São Francisco. Como um domínio é um limite de gerenciamento, seus administradores de Chicago não podem excluir usuários do seu domínio de São Francisco e seus administradores de São Francisco não podem modificar as permissões de usuários no domínio de Chicago.
Criar unidades organizacionais
Criar unidades organizacionais
Para simplificar o gerenciamento do AD, agrupe os objetos em cada domínio em unidades organizacionais (OUs). As OUs geralmente refletem a estrutura da organização; por exemplo, você pode ter uma OU para cada departamento em seu escritório de Chicago: Vendas, Marketing, TI, Jurídico e assim por diante. Algumas OUs podem ser temporárias; você pode criar OUs para diferentes projetos e dissolvê-las quando os projetos terminarem. Entretanto, é essencial que essas mudanças sejam feitas sistematicamente; permitir modificações ad-hoc invariavelmente resulta em uma estrutura confusa do AD que é muito mais difícil de entender e gerenciar.
Definir seu esquema
Definir seu esquema
Pense em seu esquema de banco de dados. O esquema contém definições formais de cada classe de objeto que pode ser criada e de cada atributo que um objeto AD pode ter. O Active Directory vem com um esquema padrão, mas provavelmente você precisará adaptá-lo para atender às suas necessidades de negócios específicas. Certifique-se de projetar seu esquema com cuidado durante a fase de planejamento, pois alterá-lo posteriormente pode interromper seus negócios significativamente, devido ao papel central que o AD desempenha na autenticação e nas autorizações.
Empregar nomenclatura padrão
Empregar nomenclatura padrão
Em todos os níveis (domínio, OUs, esquema), certifique-se de desenvolver e seguir práticas de nomenclatura padronizadas. Dessa forma, fica mais fácil para todos, por exemplo, entrar em contato com o usuário certo ou identificar a máquina em uma sala de conferências específica. É especialmente importante ser sistemático ao nomear grupos de segurança do AD, para que você possa provisionar e reprovisionar usuários com facilidade e precisão. Também é interessante adicionar uma descrição clara do propósito de cada grupo de segurança. Isso demora apenas alguns segundos e pode ajudá-lo a evitar problemas sérios no futuro.
Monitorar a integridade do AD
Um ambiente de TI é um lugar dinâmico; você não pode simplesmente configurar seu Active Directory e esquecê-lo, independentemente do quão perfeito seja o planejamento dos seus domínios, OUs, esquemas e assim por diante. Usuários, computadores, impressoras e outros objetos do AD vêm e vão, então você precisará de procedimentos para provisionamento e desprovisionamento, que devem ser automatizados tanto quanto possível por meio de fluxos de trabalho baseados em aprovação. Você também deve identificar regularmente contas inativas de usuários e computadores de forma a limpá-las antes de serem usadas indevidamente.
De forma mais ampla, você também precisa monitorar a integridade dos seus controladores de domínio e a replicação de dados entre eles em tempo real. Caso contrário, os usuários podem enfrentar problemas para fazer login ou acessar os recursos necessários para a realização de seus trabalhos.
A Microsoft oferece várias ferramentas de gerenciamento do Active Directory, incluindo Windows PowerShell, Active Directory Users and Computers (ADUC), usuários e grupos locais, além dos snap-ins de esquema do Active Directory para Console de Gerenciamento da Microsoft (MMC). Entretanto, a funcionalidade das ferramentas nativas é limitada; é estranho, na melhor das hipóteses, ficar alternando entre as ferramentas; e as tarefas costumam ser manuais, demoradas e sujeitas a erros.
Acompanhar de perto as contas de serviço
Acompanhar de perto as contas de serviço
Scripts e aplicações geralmente precisam de mais direitos de acesso do que uma conta de usuário típica. Mas você não deve usar uma conta administrativa; que geralmente concede à aplicação mais acesso do que o necessário e coloca sua conta de administrador em maior risco de ser comprometida. Em vez disso, a melhor prática é criar uma conta de serviço para cada aplicação e conceder a essa conta apenas as permissões necessárias, conforme exigido pelo menor privilégio.
Mas não se esqueça dessas contas. Como as contas de serviço têm acesso a recursos importantes em seu ambiente de TI, é essencial rastrear o que cada conta de serviço está fazendo. Procure proativamente por qualquer atividade incomum ou injustificada, que pode ser um sinal de que a conta foi comprometida e está sendo usada indevidamente.
Gerenciar diretiva de grupo
Gerenciar diretiva de grupo
Outro aspecto crítico do gerenciamento do Active Directory é a administração da Diretiva degrupo. A Diretiva de grupo é um conjunto de diretivas, chamado Objetos da diretiva de grupo (GPOs), que pode ser aplicado a um domínio inteiro ou apenas a determinadas OUs. Por exemplo, você pode usar a Diretiva de grupo para exigir que todos os usuários em seu domínio de Chicago usem senhas complexas ou para proibir o uso de mídia removível em todos os computadores apenas na OU de Finanças do domínio de Chicago. A Microsoft fornece centenas de GPOs que você pode configurar.
A Diretiva de grupo é extremamente eficiente, por isso, é fundamental configurá-la da maneira certa e gerenciar cuidadosamente suas alterações. Uma única alteração inadequada em um GPO pode levar a um tempo de inatividade ou a uma violação de segurança. Infelizmente, as ferramentas nativas não facilitam o controle da Diretiva de grupo.
- Desativar a criação de arquivo PST
- Adicionar sites usados com frequência aos navegadores dos usuários
- Mapear unidades de rede úteis
- Configurar valores de registro personalizados em todos os computadores
- Implementar sistemas operacionais padrão e outros softwares em todas as máquinas do Windows Server e outros computadores
- Executar determinados scripts na inicialização ou desligamento do computador ou login ou logout do usuário
Implementar controle de alteração
Implementar controle de alteração
Qualquer alteração imprópria no Active Directory ou na Diretiva de grupo, seja deliberada ou acidental, pode interromper serviços essenciais e bloquear o acesso legítimo do usuário aos recursos, prejudicando as operações de negócios. Para evitar problemas, certifique-se de planejar, documentar e testar todas as alterações, além de poder reverter qualquer alteração que cause problemas inesperados.
Além disso, é inestimável poder evitar alterações em seus objetos mais importantes do AD, incluindo grupos de segurança administrativa eficientes e GPOs cruciais. O Change Auditor e GPOADmin da Quest simplificam o controle de alterações para fortalecer o gerenciamento do Active Directory.
Garantir a continuidade dos negócios
Por último, mas não menos importante, o gerenciamento adequado do Active Directory garante a continuidade dos negócios. Isso é obtido por meio de processos confiáveis de backup e recuperação e da automação de tarefas repetitivas do AD.
Backup e recuperação
Backup e recuperação
Para garantir a produtividade e a continuidade dos negócios, você precisa fazer backup regularmente do seu AD e ser capaz de se recuperar rapidamente de qualquer incidente ou desastre no nível de objeto e atributo, nível de diretório e nível de sistema operacional em todo o forest. Embora a Lixeira do AD permita a recuperação rápida de alguns objetos excluídos recentemente, ela não é, e nunca foi criada para ser, uma solução corporativa de backup e recuperação.
O valor de ter backups completos e confiáveis do Active Directory é adequadamente ilustrado pelo caso da gigante internacional de transporte marítimo Maersk, que foi vítima do ataque NotPetya em 2017. Poucas horas depois de o malware ser liberado em sua rede, a Maersk foi efetivamente prejudicada. Quase todos os 150 controladores de domínio em todo o mundo estavam fora do ar, e a empresa não tinha um único backup do Active Directory para usar de forma a restaurar as operações. Para a sorte da empresa, um DC em Gana estava off-line quando o malware o atingiu, o que significa que seus dados ainda estavam intactos. Entretanto, a largura de banda no escritório de Gana era tão lenta que o carregamento dos dados do DC levaria dias, e ninguém lá tinha um visto britânico, então a equipe de recuperação precisou realizar uma espécie de corrida de revezamento envolvendo voos de várias horas para levar a valiosa máquina para a sede da empresa no Reino Unido. Mas, finalmente, foi possível usar a máquina para recriar os outros DCs.
Automatizar tarefas do AD
Automatizar tarefas do AD
Muitas tarefas de gerenciamento do Active Directory são entediantes e demoradas, o que aumenta o risco de serem adiadas ou executadas incorretamente. A automação pode reduzir a carga de trabalho de TI, eliminando erros humanos e garantindo a conclusão oportuna de tarefas importantes, mas rotineiras. Por exemplo, todas as tarefas a seguir são as principais candidatas a pelo menos algum nível de automação:
- Criação, modificação e remoção da conta do usuário
- Provisionamento e desativação de computadores
- Implementação e patch de software
- Inventário
- Relatórios
- Limpeza de diretório
Em que local eu posso saber mais sobre o Active Directory?
O Active Directory é fundamental para o sucesso de qualquer empresa moderna. Consulte essas páginas úteis adicionais para aprender as melhores práticas das áreas mais importantes do Active Directory:
Teste de sete perguntas – Quão boa é a sua solução de backup e recuperação AD?
Blogs
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
8 ways to secure your Active Directory environment
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Active Directory forest: What it is and best practices for managing it
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Active Directory disaster recovery: Creating an airtight strategy
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
5 Active Directory migration best practices
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups: What they are and how they improve security
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.