Um ambiente de TI é um lugar dinâmico; você não pode simplesmente configurar seu Active Directory e esquecê-lo, independentemente do quão perfeito seja o planejamento dos seus domínios, OUs, esquemas e assim por diante. Usuários, computadores, impressoras e outros objetos do AD vêm e vão, então você precisará de procedimentos para provisionamento e desprovisionamento, que devem ser automatizados tanto quanto possível por meio de fluxos de trabalho baseados em aprovação. Você também deve identificar regularmente contas inativas de usuários e computadores de forma a limpá-las antes de serem usadas indevidamente.
De forma mais ampla, você também precisa monitorar a integridade dos seus controladores de domínio e a replicação de dados entre eles em tempo real. Caso contrário, os usuários podem enfrentar problemas para fazer login ou acessar os recursos necessários para a realização de seus trabalhos.
A Microsoft oferece várias ferramentas de gerenciamento do Active Directory, incluindo Windows PowerShell, Active Directory Users and Computers (ADUC), usuários e grupos locais, além dos snap-ins de esquema do Active Directory para Console de Gerenciamento da Microsoft (MMC). Entretanto, a funcionalidade das ferramentas nativas é limitada; é estranho, na melhor das hipóteses, ficar alternando entre as ferramentas; e as tarefas costumam ser manuais, demoradas e sujeitas a erros.
Scripts e aplicações geralmente precisam de mais direitos de acesso do que uma conta de usuário típica. Mas você não deve usar uma conta administrativa; que geralmente concede à aplicação mais acesso do que o necessário e coloca sua conta de administrador em maior risco de ser comprometida. Em vez disso, a melhor prática é criar uma conta de serviço para cada aplicação e conceder a essa conta apenas as permissões necessárias, conforme exigido pelo menor privilégio.
Mas não se esqueça dessas contas. Como as contas de serviço têm acesso a recursos importantes em seu ambiente de TI, é essencial rastrear o que cada conta de serviço está fazendo. Procure proativamente por qualquer atividade incomum ou injustificada, que pode ser um sinal de que a conta foi comprometida e está sendo usada indevidamente.
Outro aspecto crítico do gerenciamento do Active Directory é a administração da Diretiva degrupo. A Diretiva de grupo é um conjunto de diretivas, chamado Objetos da diretiva de grupo (GPOs), que pode ser aplicado a um domínio inteiro ou apenas a determinadas OUs. Por exemplo, você pode usar a Diretiva de grupo para exigir que todos os usuários em seu domínio de Chicago usem senhas complexas ou para proibir o uso de mídia removível em todos os computadores apenas na OU de Finanças do domínio de Chicago. A Microsoft fornece centenas de GPOs que você pode configurar.
A Diretiva de grupo é extremamente eficiente, por isso, é fundamental configurá-la da maneira certa e gerenciar cuidadosamente suas alterações. Uma única alteração inadequada em um GPO pode levar a um tempo de inatividade ou a uma violação de segurança. Infelizmente, as ferramentas nativas não facilitam o controle da Diretiva de grupo.
Qualquer alteração imprópria no Active Directory ou na Diretiva de grupo, seja deliberada ou acidental, pode interromper serviços essenciais e bloquear o acesso legítimo do usuário aos recursos, prejudicando as operações de negócios. Para evitar problemas, certifique-se de planejar, documentar e testar todas as alterações, além de poder reverter qualquer alteração que cause problemas inesperados.
Além disso, é inestimável poder evitar alterações em seus objetos mais importantes do AD, incluindo grupos de segurança administrativa eficientes e GPOs cruciais. O Change Auditor e GPOADmin da Quest simplificam o controle de alterações para fortalecer o gerenciamento do Active Directory.
Para garantir a produtividade e a continuidade dos negócios, você precisa fazer backup regularmente do seu AD e ser capaz de se recuperar rapidamente de qualquer incidente ou desastre no nível de objeto e atributo, nível de diretório e nível de sistema operacional em todo o forest. Embora a Lixeira do AD permita a recuperação rápida de alguns objetos excluídos recentemente, ela não é, e nunca foi criada para ser, uma solução corporativa de backup e recuperação.
O valor de ter backups completos e confiáveis do Active Directory é adequadamente ilustrado pelo caso da gigante internacional de transporte marítimo Maersk, que foi vítima do ataque NotPetya em 2017. Poucas horas depois de o malware ser liberado em sua rede, a Maersk foi efetivamente prejudicada. Quase todos os 150 controladores de domínio em todo o mundo estavam fora do ar, e a empresa não tinha um único backup do Active Directory para usar de forma a restaurar as operações. Para a sorte da empresa, um DC em Gana estava off-line quando o malware o atingiu, o que significa que seus dados ainda estavam intactos. Entretanto, a largura de banda no escritório de Gana era tão lenta que o carregamento dos dados do DC levaria dias, e ninguém lá tinha um visto britânico, então a equipe de recuperação precisou realizar uma espécie de corrida de revezamento envolvendo voos de várias horas para levar a valiosa máquina para a sede da empresa no Reino Unido. Mas, finalmente, foi possível usar a máquina para recriar os outros DCs.
Muitas tarefas de gerenciamento do Active Directory são entediantes e demoradas, o que aumenta o risco de serem adiadas ou executadas incorretamente. A automação pode reduzir a carga de trabalho de TI, eliminando erros humanos e garantindo a conclusão oportuna de tarefas importantes, mas rotineiras. Por exemplo, todas as tarefas a seguir são as principais candidatas a pelo menos algum nível de automação:
O Active Directory é fundamental para o sucesso de qualquer empresa moderna. Consulte essas páginas úteis adicionais para aprender as melhores práticas das áreas mais importantes do Active Directory:
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
Secure your Active Directory against potential risks with these 8 best practices and ensure robust security measures for your system.
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.
Por favor, aguarde...