Para tener la mejor experiencia web, use IE11+, Chrome, Firefox o Safari.

Administración de Active Directory

Las mejores prácticas para administrar AD de forma correcta

Why you need Quest solutions for a comprehensive Active Directory disaster recovery plan 09:14
La administración de Active Directory comprende una amplia variedad de tareas, entre las que se incluyen la configuración de sus dominios y bosques, el mantenimiento organizado y adecuado de AD, la administración correcta de las políticas de grupo y la garantía de la continuidad comercial con un proceso completo de respaldo y recuperación.

Establezca una estructura de AD sólida

Establecer una estructura de AD sólida (o limpiar la que ya tiene) es esencial para una administración eficiente y eficaz de Active Directory. Simplificará de manera significativa su capacidad de administrar la política de grupo, le ayudará a delegar adecuadamente los permisos administrativos para repartir la carga de trabajo de administración sin sacrificar la seguridad y agilizará las tareas comunes, como el aprovisionamiento de cuentas de usuario y la elaboración de informes.

Establezca dominios

Establezca dominios

Establezca dominios

La unidad básica de administración de AD es el dominio de Active Directory: un grupo de usuarios, equipos, impresoras y otros objetos de AD relacionados entre sí y almacenados en una única base de datos de AD. Los dominios deben ser entidades bastante estables, por lo que deben configurarse cuidadosamente. Por ejemplo, puede tener un dominio para la oficina de su empresa en Chicago y otro para la de San Francisco. Dado que un dominio es un límite de administración, los administradores de Chicago no pueden eliminar usuarios del dominio de San Francisco, y los administradores de San Francisco no pueden modificar los permisos de los usuarios del dominio de Chicago.

Cree unidades organizativas

Cree unidades organizativas

Cree unidades organizativas

Para simplificar la administración de AD, agrupe los objetos de cada dominio en unidades organizativas (OU). Las unidades organizativas suelen reflejar la estructura de la empresa, por ejemplo, puede tener una unidad organizativa para cada departamento de su oficina de Chicago: Ventas, Marketing, TI, Legal, entre otros. Algunas unidades organizativas pueden ser temporales, puede crear unidades organizativas para diferentes proyectos y disolverlas cuando los proyectos hayan terminado. Sin embargo, es fundamental que estos cambios se realicen de forma sistemática, ya que si se permiten modificaciones ad hoc, siempre se obtiene una estructura AD desordenada que es mucho más difícil de entender y administrar.

Defina su esquema

Defina su esquema

Defina su esquema

Piense en el esquema de su base de datos. El esquema contiene definiciones formales de todas las clases de objetos que se pueden crear y de todos los atributos que puede tener un objeto de AD. Active Directory incluye un esquema predeterminado, pero es probable que deba adaptarlo a las necesidades específicas de su empresa. Asegúrese de diseñar su esquema cuidadosamente durante la fase de planificación, ya que cambiarlo más tarde puede alterar significativamente sus actividades, debido al papel central que desempeña AD en la autenticación y las autorizaciones.

Utilice una nomenclatura estándar

Utilice una nomenclatura estándar

Utilice una nomenclatura estándar

En todos los niveles (dominio, unidades organizativas, esquema), asegúrese de desarrollar y seguir prácticas de nomenclatura estandarizadas. De este modo, es más fácil para todos, por ejemplo, comunicarse con el usuario adecuado o identificar el equipo en una sala de conferencias concreta. Es particularmente importante ser sistemático a la hora de nombrar los grupos de seguridad de AD, para poder aprovisionar y volver a proveer a los usuarios con facilidad y precisión. También es inteligente agregar una descripción clara del propósito de cada grupo de seguridad. Solo se necesitan unos segundos y puede ayudarle a evitar problemas graves más adelante.

Monitoree el estado de AD

Un entorno de TI es un lugar dinámico, no se puede simplemente configurar Active Directory y olvidarse de él, por muy perfecta que sea la planificación de los dominios, las unidades organizativas, los esquemas, entre otros. Los usuarios, equipos, impresoras y otros objetos de AD aparecen y desaparecen, por lo que necesitará procedimientos de aprovisionamiento y desaprovisionamiento, que deberían automatizarse en la medida de lo posible mediante flujos de trabajo basados en la aprobación. También debe identificar periódicamente las cuentas de usuario y de equipo inactivas para poder eliminarlas antes de que se puedan utilizar de forma indebida.

En términos más generales, también es necesario monitorear el estado de los controladores de dominio y la replicación de datos entre ellos en tiempo real. De lo contrario, los usuarios podrían tener problemas para iniciar la sesión o acceder a los recursos que necesitan para realizar su trabajo.

Microsoft proporciona varias herramientas de administración de Active Directory, como Windows PowerShell, Usuarios y equipos de Active Directory (ADUC), Usuarios y grupos locales y los snap-ins de Active Directory Schema para Microsoft Management Console (MMC). No obstante, la funcionalidad de las herramientas nativas es limitada, en el mejor de los casos resulta incómodo alternar entre ellas y las tareas suelen ser manuales, largas y propensas a errores.

Realice un seguimiento estricto de las cuentas de servicio

Realice un seguimiento estricto de las cuentas de servicio

Realice un seguimiento estricto de las cuentas de servicio

Los scripts y las aplicaciones suelen necesitar más derechos de acceso de los que tiene una cuenta de usuario típica. Pero no debería usar una cuenta administrativa, ya que a menudo otorga a la aplicación más acceso del que necesita y pone su cuenta de administrador en un riesgo mayor de ser comprometida. En cambio, la mejor práctica es crear una cuenta de servicio para cada aplicación y conceder a esa cuenta solo los permisos que necesita, según lo requerido por el mínimo privilegio.

Pero no se olvide de estas cuentas. Dado que las cuentas de servicio tienen acceso a recursos importantes en su entorno de TI, es fundamental realizar un seguimiento de lo que hace cada cuenta de servicio. Busque proactivamente cualquier actividad inusual o injustificada, que podría ser una señal de que la cuenta está en peligro y se está utilizando de forma indebida.

Administre la política de grupo

Administre la política de grupo

Administre la política de grupo

Otro aspecto crítico de la administración de Active Directory es la administración de la política degrupo La política de grupo es un conjunto de políticas, llamadas objetos de política grupal (GPO), que se pueden aplicar a todo un dominio o solo a determinadas unidades organizativas. Por ejemplo, puede utilizar la política de grupo para exigir a todos los usuarios del dominio de Chicago que utilicen contraseñas complejas, o para no permitir el uso de medios removibles en todos los equipos solo en la unidad organizativa de finanzas del dominio de Chicago. Microsoft ofrece cientos de GPO que se pueden configurar.

La política de grupo es muy potente, por lo que es fundamental configurarla correctamente y administrar con cuidado los cambios que se realicen en ella. Un solo cambio inadecuado en un GPO podría provocar un tiempo de inactividad o un fallo de seguridad. Por desgracia, las herramientas nativas no facilitan el control de la política de grupos.

  • Deshabilite la creación de archivos PST
  • Agregue los sitios de uso frecuente a los navegadores de los usuarios
  • Asigne unidades de red útiles
  • Establezca valores de registro personalizados en todos los equipos
  • Implemente sistemas operativos estándar y otro software en todos los equipos del servidor de Windows y otros equipos.
  • Ejecute determinados scripts al encender o apagar el equipo o al iniciar o cerrar la sesión del usuario

Implemente el control de cambios

Implemente el control de cambios

Implemente el control de cambios

Cualquier cambio inadecuado en Active Directory o en la política de grupos, ya sea deliberado o accidental, puede interrumpir los servicios críticos y bloquear el acceso legítimo de los usuarios a los recursos, perjudicando las operaciones de la empresa. Para evitar problemas, asegúrese de planificar, documentar y probar todos los cambios, y asegúrese de poder revertir cualquier cambio que cause problemas inesperados.

Además, es imprescindible poder evitar los cambios en los objetos más importantes de AD, incluidos los potentes grupos de seguridad administrativos y los GPO cruciales. Quest Change Auditor y GPOADmin agilizan el control de cambios para reforzar la administración de Active Directory.

Garantice la continuidad de la empresa

Por último, pero no por ello menos importante, la administración adecuada de Active Directory garantiza la continuidad comercial. Esto se consigue mediante procesos confiables de respaldo y recuperación, y la automatización de las tareas repetitivas de AD.

Respaldo y recuperación

Respaldo y recuperación

Respaldo y recuperación

Para asegurar la productividad y la continuidad comercial, es necesario realizar de forma periódica respaldos de su AD y ser capaz de recuperarse con rapidez de cualquier incidente o desastre a nivel de objetos y atributos, a nivel de directorio y a nivel de sistema operativo en todo el bosque. Si bien la papelera de reciclaje de AD permite la recuperación rápida de algunos objetos eliminados recientemente, no es (y nunca fue concebida para ser) una solución empresarial de respaldo y recuperación.

El valor de contar con respaldos completos y fiables de Active Directory queda bien ilustrado por el caso del gigante naviero internacional Maersk, que fue víctima del ataque NotPetya en 2017. A las horas de haberse liberado el software malicioso en su red, Maersk quedó efectivamente paralizada. Casi todos sus 150 controladores de dominio en todo el mundo estaban fuera de servicio, y la empresa no tenía ni un solo respaldo de Active Directory que pudiera utilizar para restaurar las operaciones. Afortunadamente para la empresa, uno de los centros de distribución de Ghana estaba desconectado cuando el software malicioso atacó, por lo que sus datos seguían intactos. No obstante, el ancho de banda de la oficina de Ghana era tan lento que cargar los datos desde el DC habría llevado días, y nadie allí tenía una visa británica, por lo que el equipo de recuperación debió emprender una especie de carrera de relevos que incluía vuelos de muchas horas para llevar la preciada máquina a la sede de la empresa en el Reino Unido. Pero finalmente, pudieron utilizar el equipo para recopilar los otros DC.

Automatice las tareas de AD

Automatice las tareas de AD

Automatice las tareas de AD

Muchas de las tareas de administración de Active Directory son bastante tediosas y requieren mucho tiempo, lo que aumenta el riesgo de que se pospongan o se realicen incorrectamente. La automatización puede reducir la carga de trabajo de TI, eliminando los errores humanos y garantizando la realización puntual de tareas importantes pero rutinarias. Por ejemplo, todas las siguientes tareas son las principales candidatas a un determinado nivel de automatización:

  • Creación, modificación y eliminación de cuentas de usuario
  • Aprovisionamiento y cierre de equipos
  • Implementación de software y aplicación de parches
  • Inventario
  • Informes
  • Limpieza del directorio
¿Dónde puedo obtener ayuda con mi entorno de AD?

¿Dónde puedo obtener ayuda con mi entorno de AD?

Quest es el proveedor de referencia para las soluciones de Active Directory. Podemos ayudarlo a administrar, proteger, migrar y generar informes sobre su entorno de AD para impulsar su negocio. Aquí puede obtener más información:

Cuestionario de 7 preguntas: ¿Qué tan eficiente es su solución de respaldo y recuperación de AD?

Blogs

Azure AD Conditional Access: What is it? Do we need it?

Azure AD Conditional Access: What is it? Do we need it?

Learn what Azure AD Conditional Access is, who needs to use it and how to set it up.

Zero trust: What it is, why you need it, and how to get started

Zero trust: What it is, why you need it, and how to get started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft service account best practices

10 Microsoft service account best practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

How hackers exploit Group Policy Objects (GPOs) to attack your Active Directory

How hackers exploit Group Policy Objects (GPOs) to attack your Active Directory

Group Policy objects (GPOs) are prime targets for hackers. Learn how and why they target this critical feature of your Active Directory environment.

Azure AD Connect: How it works and best practices for synchronizing your data

Azure AD Connect: How it works and best practices for synchronizing your data

Learn how Azure AD Connect works, what data it syncs and best practices to apply when using it in your Active Directory environments.

What is KRBTGT and why should you change the password?

What is KRBTGT and why should you change the password?

Learn what KRBTGT is, when to update it and get answers to the toughest questions about how to minimize your organization’s authentication vulnerabilities.

¡Comience ahora!

Su proveedor de confianza para la administración de Active Directory.