Organize o seu Active Directory com essas estratégias.

Muitos administradores de TI ainda tem dúvidas de como organizar o seu Active Directory, sobretudo os recém-contratados, que ainda levam a tarefa de ter que limpar os hábitos antigos dos ex-administradores de rede, dificultando assim o processo de mudança. É para te ajudar nesse processo de organização do Active Directory, que compartilho abaixo, algumas dicas importantes que podem e devem ser implementadas na organização do seu domínio.

É uma cena mais que comum, para quase todos os profissionais de TI, ao iniciar um novo trabalho ter que organizar o trabalho do antigo administrador, como por exemplo, verificar a configuração dos grupos do Active Directory, remover permissões de usuários, organizar as unidades organizacionais para melhor atender as políticas (GPOs), entre outras tarefas. Para fazer esse processo, basicamente, você pode: herdar a estratégia já adotada pelo antigo administrador ou então colocar em prática a sua, mesclando-a se possível, com algumas medidas já adotadas pelo ex-administrador da rede. Contudo, seja qual estratégia for adotar, há algumas já bastantes conhecidas que podem simplificar o seu trabalho na administração do Active Directory (AD), oferecendo um melhor suporte e sem deixar a segurança de lado. Veja algumas delas abaixo:

  • Defina as permissões a grupos, não a usuários: Ou seja, evite dar permissões de acesso a contas de usuários individuais porque essa abordagem não é recomendada. Vamos a um exemplo prático. Imagine você ter várias contas de usuários de um setor e surja a necessidade de criação de uma pasta para que eles tenham acesso. O ideal aqui, é que você insira os usuários em um grupo que você irá fazer no Active Directory (levando o mesmo nome do setor que os usuários trabalham) e dê a permissão a esse grupo na pasta que terão acesso, não fazendo manual para cada uma das contas dos usuários. Isso evita muitas dores de cabeça, além de não ter que fazer um processo repetitiva vezes para cada uma das contas..
    .
    Como faço para criar um grupo no Active Directory?
     

    1. Para criar um grupo no console de Usuários e Computadores do Active Directory, basta clicar na unidade organizacional que deseja criar o grupo e no lado direito da janela, clicar com o botão direito do mouse no espaço em branco. Surgirá uma janela. Nessa janela escolha a opção Novo, ilustrado na figura abaixo, e clique em Grupo. 

    VirtualBox_Windows Server 2012_17_11_2018_00_56_13

    Criando um Grupo no Console de Usuários do Active Directory.

    2. Surgirá a janela chamada Novo Objeto. Nela dê o nome do grupo e definas configurações de Escopo e Tipo de Grupo, conforme o exemplo abaixo, no qual demonstra que será criado um grupo chamado “Grupo da TI” no domínio diegogouveia.com.br com o escopo Global e tipo de grupo Segurança. Após definir as configurações de Nome, Escopo e Tipo de grupo, clique em OK. 

2

Criando um grupo chamado Grupo TI no domínio diegogouveia.com.br – Console Usuários e Computadores do Active Directory.

  • 3. O grupo será criado no console. Para inserir os usuários no grupo criado, basta dar um duplo clique com o botão esquerdo do mouse no nome do grupo e surgirá a janela de propriedades do grupo. Com a janela aberta, acesse a guia Membros, ilustrada na figura abaixo, e clique em Adicionar. Digite o nome das contas do usuários que serão inseridos e ao acabar, clique no botão Aplicar, encontrado mais abaixo. Pronto as contas serão inseridas no grupo. 
3

Janela de Propriedades do Grupo TI – Active Directory.

  • Ainda falando em contas, a Microsoft recomenda o modelo de segurança de permissões global, de domínio e de conta para organizar as contas dos usuários do Active Directory, conforme pode ser ilustrado na figura abaixo:
windows_server-active_directory_group_design

Modelo de segurança de permissões global, de domínio e de conta para organizar as contas de usuário do Active Directory.

O modelo de conta, global, local de domínio e permissão (AGDLP) usa o seguinte fluxo de trabalho:

– Organiza os usuários em grupos globais com base em critérios comerciais, como departamento e local;

– Coloca os grupos globais apropriados em grupos locais de domínio;

– Concede permissões de recurso apenas a grupos locais de domínio;

Para saber mais sobre permissões AGDLP, leia essa documentação abaixo:

https://blogs.technet.microsoft.com/latam/2012/01/09/cuidados-ao-usar-domain-local-groups-para-dar-permisses-a-objetos-no-active-directory/

  • Outra prática recomenda é empregar os princípios de controle de acesso baseados em funções:

    Por exemplo, considere o acesso à impressora de rede:

– A maioria dos usuários precisa apenas da capacidade de enviar e gerenciar seus próprios trabalhos de impressão.

– Alguns usuários têm privilégios delegados para gerenciar toda a fila de impressão.

–  Usuários selecionados têm acesso administrativo total ao hardware e software da impressora.

O controle de acesso baseado em função concede acesso a grupos com base  na função de trabalho, utilizando privilégios mínimos.

  • Também ao organizar o Active Directory, tenha em mente mais ou menos o tamanho da população de usuários que terá, bem como, a definição dos requisitos de acesso a recursos que terão, isso tudo de forma completa e precisa, mantendo o menor número possível de grupos globais e de domínio para reduzir a carga de trabalho de gerenciamento.
    .
  • Criação de Unidades Organizacionais: Projete o design das unidades organizacionais (OUs) para permitir uma delegação de administração fácil e sem dificuldades, especialmente porque no futuro você irá trabalhar com políticas de grupos nessas unidades organizacionais. A priori, a estrutura das unidades organizacionais não precisa refletir a hierarquia da organização da empresa, como é encontrado em quase todos os locais. Contudo, como boa prática, você pode montá-la segmentando como é a empresa fisicamente, dividindo em unidades e setores, conforme o exemplo da figura abaixo:
    1

    Estrutura de Unidades Organizacionais – Active Directory.

    E mais a frente, segmentá-la mais, dividindo os setores em OUs de Computadores, Usuários e caso precisar, Servidores, conforme o exemplo da imagem abaixo, assim cada OU irá representar objetos específicos do Active Directory. A vantagem dessa forma é que ao trabalhar como políticas de grupo você conseguirá gerenciar de uma forma melhor os objetos do seu domínio.

     

2

Estrutura de Unidades Organizacionais – Active Directory.

Então, em resumo, elas podem ser representadas das seguintes formas:

  • Geográfica – Onde representam Estados, Cidades, Países e Unidades. Ex: OU-VárzeaAlegre, OU-Fortaleza, OU-Ceará, OU-Brasil, OU-Unidade IV…
    .
  • Setorial – Onde representam setores da estrutura física da empresa, segmentadas em setores. Ex: OU-Administrativo, OU-TI, OU-RH…

  • Híbrido – Em que são todos os modelos juntos. Porém, como citado anteriormente, a hierarquia das OUs não precisa refletir, de fato, a hierarquia da organização da empresa. Você pode projetar a sua estrutura de unidades organizacionais para delegar a administração para indivíduos ou grupos que exigem a autonomia para gerenciar seus próprios recursos e dados em sua organização. Contudo, embora não haja nenhum limite técnico para o número de níveis na sua estrutura de suas unidades organizacionais, a Microsoft recomenda que limite a estrutura de unidade organizacional a uma profundidade de não mais do que 10 níveis.
    .
  • Outra dica bastante interessante é limitar o acesso das contas dos usuários da TI: Nem todos os usuários precisam de privilégios de super-usuários para realizar tarefas do dia-a-dia. Para isso pode ser possível inserir o usuário em um dos grupos administrativos do Active Directory, que são encontrados na unidade organizacional “Users”, do console de Usuários e Computadores do Active Directory, ilustrado na figura abaixo. Esse grupos são importante porque eles contém privilégios suficientes para algumas das várias tarefas que são feitas no dia-a-dia da equipe de TI de uma empresa. Assim, não tendo a necessidade de inserir em um grupo maior, por exemplo, administradores do domínio, para realizar tarefas mais básicas. Caso queira saber para que serve cada grupo basta dar um duplo clique no nome do grupo, surgirá a janela de Propriedades do grupo contendo as informações do grupo e para que serve.
    .

    1

    Console Usuários e Computadores do Active Directory.

  • Defina uma conta sem direitos para o uso diário: Ninguém chega todo dia às 07 horas da manhã na empresa já necessitando logar com uma conta que tenha altos privilégios para acessar a internet ou baixar algum arquivo. O ideal é que tenha duas contas, uma para o dia-a-dia, sem privilégios, e outra para realizar configurações importantes (respeitando o principio de menor privilégio, citado anteriormente).
  • Use ferramentas de prevenção de perda de dados para monitorar a atividade na rede, servidor, compartilhamentos e níveis de ponto de extremidade.
    .
  • Limita o acesso remoto ao Controlador de Domínio: Hoje em dia não precisa estar logando toda hora no Controlador de Domínio para realizar alguma tarefa. Você pode, por meio da sua própria estação, acessar os consoles do Controlador de Domínio usando a ferramenta RSAT. Essa ferramenta é na verdade um conjunto de ferramentas de Administração que permitem que os administradores de TI gerenciem funções e recursos instalados em computadores que executam o Windows Server a partir de um computador remoto, por exemplo que contenha instalado o Windows 8.1. Abaixo disponibilizo um link que fala mais sobre o RSAT. 

    https://www.microsoft.com/pt-pt/download/details.aspx?id=45520

É isso galera. Por hoje, essas são as dicas que queria passar. Outro dia falo mais (ou melhor, escrevo) sobre o Active Directory.

Gostou do artigo? Então, segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.
30265390_566037330450082_5311249608711551235_n

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

LIV0001525

Anúncios
The following two tabs change content below.
Diego é graduado em Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e possui diversos cursos de qualificações nas áreas de Tecnologia da Informação. É autor também dos livros: Tudo Sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell.

Deixe uma resposta