Top 10 Dicas e Truques para o Active Directory Management

Dicas-diretório-ativo

Por mais de 1,5 anos, trazemos dicas e truques do Active Directory diariamente por meio do Twitter . Com base nessa experiência e usando o seu feedback, reunimos uma lista de top-10 conselhos úteis que o ajudarão a melhorar sua experiência de gerenciamento de AD.

1. Adicionar descrições detalhadas aos grupos de AD

Ad-groups-description

Esta é uma parte crítica de manter o ambiente do Active Directory consistente, no entanto esta regra é quebrada com bastante frequência. Se você não tem descrições, você vai se perder em seus grupos muito rápido e transformar sua AD em uma pilha de lixo.

Muitos admins pensam que podem recordar o que criaram os grupos para, assim que tratam descrições como algo que é apenas uma perda de tempo. Mas depois de um par de semanas e dezenas ou mesmo centenas de novos grupos criou a chance de lembrar exatamente os objetivos de todos os grupos é realmente muito baixo. Você também precisa se lembrar que outras pessoas têm acesso a grupos de AD também. Assim mesmo se o criador do grupo sabe para que serve, ninguém mais o faz.

2. Evite Grupos com Nomes Similares

Este é também um erro comum cometido com o gerenciamento de grupos AD. Ter nomes semelhantes pode facilmente levar a confusão e mal-entendidos. Especialmente se esses nomes não são super-user-friendly, algo como “NY-SAL-001-b”.

Mesmo se você tiver automatização suficiente implementada em seu ambiente que lida com a maior parte da gestão do grupo para você e leva o fator humano fora da equação, é fácil cometer um erro ao configurá-lo. E as coisas ficam ainda piores, porque o maior erro da automação é a automação do erro.

3. Educar seus usuários

Ad-security-weakest-link

Uma das melhores dicas de segurança é educar seus usuários. A segurança é tão forte quanto seu elo mais fraco. E na maioria das vezes esse link mais fraco parece não ser firewalls ou sistemas de proteção de força bruta, mas seus usuários. Eles podem fazer todos os tipos de coisas estúpidas como compartilhar senhas ou escrevê-los em um pedaço de papel. Se você quer ter um sistema realmente seguro, você deve educar seus usuários. Se você se certificar de que eles sabem pelo menos alguma segurança básica, então seus sistemas têm uma chance muito maior de ser seguro.

4. Desabilitar Contas de Convidado e Renomear Administrador Padrão

Esta é uma recomendação de segurança recomendada pela Microsoft . Claro, é apenas uma medida muito básica que não o cobre de todos os problemas potenciais. Por exemplo, você pode facilmente encontrar o Administrador apenas procurando o SID que termina com 500. No entanto, renomear o administrador padrão e desabilitar conta de convidado pode impedi-lo de ataques simples e muito básico. E isso não significa que você não deve fazer isso.

5. Delegar tarefas sempre que puder

Delegação de anúncios

É realmente uma regra simples. Se você ver que você pode delegar uma tarefa, você deve fazer isso. Todos devem estar focados em coisas que estão diretamente relacionadas à sua responsabilidade. Por exemplo, muitas vezes a equipe de TI está encarregada da administração da associação de grupo. Na maioria dos casos isso é bastante ineficiente porque a adesão ao grupo reside na responsabilidade direta dos proprietários do grupo. Eles sabem quem deveria estar presente em cada grupo e quando. Isso significa que a gestão deve ser delegada.

Não tenha medo de passar em tarefas. Se você não quer perder nenhum controle, há coisas como o fluxo de trabalho baseado em aprovação que pode ajudá-lo com isso. Liberte seu tempo e foco em seu trabalho, não em outra pessoa.

6. Cuide da segurança física dos seus servidores

Servidores de segurança

Quando estamos falando sobre a segurança de TI, na maioria das vezes pensamos em segurança virtual. Mas controlar a segurança física real é igualmente importante. Nenhum firewall pode ajudar se alguém recebe suas mãos em seu servidor. Isso significa que você deve levar o acesso físico aos seus DCs e outros servidores muito a sério. Se houver lugares onde você não pode fazer nada sobre isso (como filiais), você pode considerar transformar seus DCs que têm que estar lá em controladores de domínio somente leitura. Note-se que ainda é um compromisso, mas às vezes vale a pena tomar.

7. Planejar e testar sistemas de recuperação

Plano de recuperação de anúncio

Os desastres acontecem de repente. Isso significa que você sempre tem que estar preparado. Não só você precisa ter um plano de recuperação decente para qualquer coisa que pode acontecer, mas também é uma boa idéia para testá-lo em uma base regular. O que você vai fazer se, digamos, 10.000 usuários desaparecem de seu anúncio de hoje? Quão rápido você pode recuperar?

8. Não deixe um script fazer todo o trabalho

Quando você configura todos os scripts que o ajudam na automação de tarefas rotineiras, nunca deixe um script fazer todo o trabalho. Em primeiro lugar, é sempre melhor ter mais mentes trabalhando em uma solução para um problema. Em segundo lugar, imagine o que acontecerá se o scripter, que fez tudo, de repente se torna indisponível? Por estas razões, você precisa ter pelo menos duas pessoas conscientes de todos os seus scripts, como eles são construídos eo que eles fazem.

9. Sem Contas Compartilhadas

Contas sem contas compartilhadas

Nunca permita que alguém compartilhe contas. Especialmente se for uma conta de administrador. Esse é um problema comum que está presente em muitos ambientes de TI. A principal razão para isso é o seguinte. Se algo ruim é executado através de uma conta compartilhada por um dos usuários, você não terá uma maneira de determinar quem era. Você também nunca vai ter certeza de quem e quando ganha acesso à conta, o que o torna um grande alvo para atacantes.

10. Sem alterações nas sextas-feiras

Somente leitura sexta-feira

A sexta-feira somente leitura é uma prática recomendada geral que a maioria dos administradores segue. Se você não quer arriscar seu fim de semana, não introduza nenhuma mudança principal a seu ambiente no fim da semana.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s