Para obter uma melhor experiência web, utilize o IE11+, Chrome, Firefox ou Safari.

Gerenciamento do Active Directory

Melhores práticas para gerenciar seu AD com sucesso

Why you need Quest solutions for a comprehensive Active Directory disaster recovery plan 09:14
O gerenciamento do Active Directory abrange uma ampla gama de tarefas, incluindo configurar seus domínios e forests, manter seu AD organizado e íntegro, gerenciar adequadamente a Diretiva de grupo e garantir a continuidade dos negócios com um processo completo de backup e recuperação.

Estabelecer uma estrutura consistente do AD

Estabelecer uma estrutura consistente do AD, ou limpar a que você já possui, é essencial para o gerenciamento eficiente e eficaz do Active Directory. Isso simplificará significativamente sua capacidade de gerenciar a Diretiva de grupo, ajudará você a delegar permissões administrativas para distribuir a carga de trabalho de gerenciamento sem sacrificar a segurança, além de agilizar tarefas comuns, como provisionamento e geração de relatórios de contas de usuário.

Estabelecer domínios

Estabelecer domínios

Estabelecer domínios

A unidade básica de gerenciamento do AD é o domínio do Active Directory, um grupo de usuários relacionados, computadores, impressoras e outros objetos do AD armazenados em um único banco de dados do AD. Os domínios devem ser entidades bastante estáveis, portanto, configure-os cuidadosamente. Por exemplo, você pode ter um domínio para o escritório da sua empresa em Chicago e um domínio separado para o seu escritório em São Francisco. Como um domínio é um limite de gerenciamento, seus administradores de Chicago não podem excluir usuários do seu domínio de São Francisco e seus administradores de São Francisco não podem modificar as permissões de usuários no domínio de Chicago.

Criar unidades organizacionais

Criar unidades organizacionais

Criar unidades organizacionais

Para simplificar o gerenciamento do AD, agrupe os objetos em cada domínio em unidades organizacionais (OUs). As OUs geralmente refletem a estrutura da organização; por exemplo, você pode ter uma OU para cada departamento em seu escritório de Chicago: Vendas, Marketing, TI, Jurídico e assim por diante. Algumas OUs podem ser temporárias; você pode criar OUs para diferentes projetos e dissolvê-las quando os projetos terminarem. Entretanto, é essencial que essas mudanças sejam feitas sistematicamente; permitir modificações ad-hoc invariavelmente resulta em uma estrutura confusa do AD que é muito mais difícil de entender e gerenciar.

Definir seu esquema

Definir seu esquema

Definir seu esquema

Pense em seu esquema de banco de dados. O esquema contém definições formais de cada classe de objeto que pode ser criada e de cada atributo que um objeto AD pode ter. O Active Directory vem com um esquema padrão, mas provavelmente você precisará adaptá-lo para atender às suas necessidades de negócios específicas. Certifique-se de projetar seu esquema com cuidado durante a fase de planejamento, pois alterá-lo posteriormente pode interromper seus negócios significativamente, devido ao papel central que o AD desempenha na autenticação e nas autorizações.

Empregar nomenclatura padrão

Empregar nomenclatura padrão

Empregar nomenclatura padrão

Em todos os níveis (domínio, OUs, esquema), certifique-se de desenvolver e seguir práticas de nomenclatura padronizadas. Dessa forma, fica mais fácil para todos, por exemplo, entrar em contato com o usuário certo ou identificar a máquina em uma sala de conferências específica. É especialmente importante ser sistemático ao nomear grupos de segurança do AD, para que você possa provisionar e reprovisionar usuários com facilidade e precisão. Também é interessante adicionar uma descrição clara do propósito de cada grupo de segurança. Isso demora apenas alguns segundos e pode ajudá-lo a evitar problemas sérios no futuro.

Monitorar a integridade do AD

Um ambiente de TI é um lugar dinâmico; você não pode simplesmente configurar seu Active Directory e esquecê-lo, independentemente do quão perfeito seja o planejamento dos seus domínios, OUs, esquemas e assim por diante. Usuários, computadores, impressoras e outros objetos do AD vêm e vão, então você precisará de procedimentos para provisionamento e desprovisionamento, que devem ser automatizados tanto quanto possível por meio de fluxos de trabalho baseados em aprovação. Você também deve identificar regularmente contas inativas de usuários e computadores de forma a limpá-las antes de serem usadas indevidamente.

De forma mais ampla, você também precisa monitorar a integridade dos seus controladores de domínio e a replicação de dados entre eles em tempo real. Caso contrário, os usuários podem enfrentar problemas para fazer login ou acessar os recursos necessários para a realização de seus trabalhos.

A Microsoft oferece várias ferramentas de gerenciamento do Active Directory, incluindo Windows PowerShell, Active Directory Users and Computers (ADUC), usuários e grupos locais, além dos snap-ins de esquema do Active Directory para Console de Gerenciamento da Microsoft (MMC). Entretanto, a funcionalidade das ferramentas nativas é limitada; é estranho, na melhor das hipóteses, ficar alternando entre as ferramentas; e as tarefas costumam ser manuais, demoradas e sujeitas a erros.

Acompanhar de perto as contas de serviço

Acompanhar de perto as contas de serviço

Acompanhar de perto as contas de serviço

Scripts e aplicações geralmente precisam de mais direitos de acesso do que uma conta de usuário típica. Mas você não deve usar uma conta administrativa; que geralmente concede à aplicação mais acesso do que o necessário e coloca sua conta de administrador em maior risco de ser comprometida. Em vez disso, a melhor prática é criar uma conta de serviço para cada aplicação e conceder a essa conta apenas as permissões necessárias, conforme exigido pelo menor privilégio.

Mas não se esqueça dessas contas. Como as contas de serviço têm acesso a recursos importantes em seu ambiente de TI, é essencial rastrear o que cada conta de serviço está fazendo. Procure proativamente por qualquer atividade incomum ou injustificada, que pode ser um sinal de que a conta foi comprometida e está sendo usada indevidamente.

Gerenciar diretiva de grupo

Gerenciar diretiva de grupo

Gerenciar diretiva de grupo

Outro aspecto crítico do gerenciamento do Active Directory é a administração da Diretiva degrupo. A Diretiva de grupo é um conjunto de diretivas, chamado Objetos da diretiva de grupo (GPOs), que pode ser aplicado a um domínio inteiro ou apenas a determinadas OUs. Por exemplo, você pode usar a Diretiva de grupo para exigir que todos os usuários em seu domínio de Chicago usem senhas complexas ou para proibir o uso de mídia removível em todos os computadores apenas na OU de Finanças do domínio de Chicago. A Microsoft fornece centenas de GPOs que você pode configurar.

A Diretiva de grupo é extremamente eficiente, por isso, é fundamental configurá-la da maneira certa e gerenciar cuidadosamente suas alterações. Uma única alteração inadequada em um GPO pode levar a um tempo de inatividade ou a uma violação de segurança. Infelizmente, as ferramentas nativas não facilitam o controle da Diretiva de grupo.

  • Desativar a criação de arquivo PST
  • Adicionar sites usados com frequência aos navegadores dos usuários
  • Mapear unidades de rede úteis
  • Configurar valores de registro personalizados em todos os computadores
  • Implementar sistemas operacionais padrão e outros softwares em todas as máquinas do Windows Server e outros computadores
  • Executar determinados scripts na inicialização ou desligamento do computador ou login ou logout do usuário

Implementar controle de alteração

Implementar controle de alteração

Implementar controle de alteração

Qualquer alteração imprópria no Active Directory ou na Diretiva de grupo, seja deliberada ou acidental, pode interromper serviços essenciais e bloquear o acesso legítimo do usuário aos recursos, prejudicando as operações de negócios. Para evitar problemas, certifique-se de planejar, documentar e testar todas as alterações, além de poder reverter qualquer alteração que cause problemas inesperados.

Além disso, é inestimável poder evitar alterações em seus objetos mais importantes do AD, incluindo grupos de segurança administrativa eficientes e GPOs cruciais. O Change Auditor e GPOADmin da Quest simplificam o controle de alterações para fortalecer o gerenciamento do Active Directory.

Garantir a continuidade dos negócios

Por último, mas não menos importante, o gerenciamento adequado do Active Directory garante a continuidade dos negócios. Isso é obtido por meio de processos confiáveis de backup e recuperação e da automação de tarefas repetitivas do AD.

Backup e recuperação

Backup e recuperação

Backup e recuperação

Para garantir a produtividade e a continuidade dos negócios, você precisa fazer backup regularmente do seu AD e ser capaz de se recuperar rapidamente de qualquer incidente ou desastre no nível de objeto e atributo, nível de diretório e nível de sistema operacional em todo o forest. Embora a Lixeira do AD permita a recuperação rápida de alguns objetos excluídos recentemente, ela não é, e nunca foi criada para ser, uma solução corporativa de backup e recuperação.

O valor de ter backups completos e confiáveis do Active Directory é adequadamente ilustrado pelo caso da gigante internacional de transporte marítimo Maersk, que foi vítima do ataque NotPetya em 2017. Poucas horas depois de o malware ser liberado em sua rede, a Maersk foi efetivamente prejudicada. Quase todos os 150 controladores de domínio em todo o mundo estavam fora do ar, e a empresa não tinha um único backup do Active Directory para usar de forma a restaurar as operações. Para a sorte da empresa, um DC em Gana estava off-line quando o malware o atingiu, o que significa que seus dados ainda estavam intactos. Entretanto, a largura de banda no escritório de Gana era tão lenta que o carregamento dos dados do DC levaria dias, e ninguém lá tinha um visto britânico, então a equipe de recuperação precisou realizar uma espécie de corrida de revezamento envolvendo voos de várias horas para levar a valiosa máquina para a sede da empresa no Reino Unido. Mas, finalmente, foi possível usar a máquina para recriar os outros DCs.

Automatizar tarefas do AD

Automatizar tarefas do AD

Automatizar tarefas do AD

Muitas tarefas de gerenciamento do Active Directory são entediantes e demoradas, o que aumenta o risco de serem adiadas ou executadas incorretamente. A automação pode reduzir a carga de trabalho de TI, eliminando erros humanos e garantindo a conclusão oportuna de tarefas importantes, mas rotineiras. Por exemplo, todas as tarefas a seguir são as principais candidatas a pelo menos algum nível de automação:

  • Criação, modificação e remoção da conta do usuário
  • Provisionamento e desativação de computadores
  • Implementação e patch de software
  • Inventário
  • Relatórios
  • Limpeza de diretório
Onde posso obter ajuda sobre o meu ambiente do AD?

Onde posso obter ajuda sobre o meu ambiente do AD?

A Quest é o fornecedor ideal de soluções do Active Directory. Podemos ajudá-lo a gerenciar, a proteger, a migrar e a gerar relatórios sobre seu ambiente do AD para impulsionar seus negócios. Aqui é onde você pode aprender mais:

Teste de sete perguntas – Quão boa é a sua solução de backup e recuperação AD?

Blogs

Azure AD Conditional Access: What is it? Do we need it?

Azure AD Conditional Access: What is it? Do we need it?

Learn what Azure AD Conditional Access is, who needs to use it and how to set it up.

Zero trust: What it is, why you need it, and how to get started

Zero trust: What it is, why you need it, and how to get started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft service account best practices

10 Microsoft service account best practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

How hackers exploit Group Policy Objects (GPOs) to attack your Active Directory

How hackers exploit Group Policy Objects (GPOs) to attack your Active Directory

Group Policy objects (GPOs) are prime targets for hackers. Learn how and why they target this critical feature of your Active Directory environment.

Azure AD Connect: How it works and best practices for synchronizing your data

Azure AD Connect: How it works and best practices for synchronizing your data

Learn how Azure AD Connect works, what data it syncs and best practices to apply when using it in your Active Directory environments.

What is KRBTGT and why should you change the password?

What is KRBTGT and why should you change the password?

Learn what KRBTGT is, when to update it and get answers to the toughest questions about how to minimize your organization’s authentication vulnerabilities.

Comece agora mesmo

Seu fornecedor principal para gerenciamento do Active Directory.