La administración de Active Directory comprende una amplia variedad de tareas, entre las que se incluyen la configuración de sus dominios y bosques, el mantenimiento organizado y adecuado de AD, la administración correcta de las políticas de grupo y la garantía de la continuidad comercial con un proceso completo de respaldo y recuperación.
Establezca una estructura de AD sólida
Establecer una estructura de AD sólida (o limpiar la que ya tiene) es esencial para una administración eficiente y eficaz de Active Directory. Simplificará de manera significativa su capacidad de administrar la política de grupo, le ayudará a delegar adecuadamente los permisos administrativos para repartir la carga de trabajo de administración sin sacrificar la seguridad y agilizará las tareas comunes, como el aprovisionamiento de cuentas de usuario y la elaboración de informes.
La unidad básica de administración de AD es el dominio de Active Directory: un grupo de usuarios, equipos, impresoras y otros objetos de AD relacionados entre sí y almacenados en una única base de datos de AD. Los dominios deben ser entidades bastante estables, por lo que deben configurarse cuidadosamente. Por ejemplo, puede tener un dominio para la oficina de su empresa en Chicago y otro para la de San Francisco. Dado que un dominio es un límite de administración, los administradores de Chicago no pueden eliminar usuarios del dominio de San Francisco, y los administradores de San Francisco no pueden modificar los permisos de los usuarios del dominio de Chicago.
Cree unidades organizativas
Cree unidades organizativas
Para simplificar la administración de AD, agrupe los objetos de cada dominio en unidades organizativas (OU). Las unidades organizativas suelen reflejar la estructura de la empresa, por ejemplo, puede tener una unidad organizativa para cada departamento de su oficina de Chicago: Ventas, Marketing, TI, Legal, entre otros. Algunas unidades organizativas pueden ser temporales, puede crear unidades organizativas para diferentes proyectos y disolverlas cuando los proyectos hayan terminado. Sin embargo, es fundamental que estos cambios se realicen de forma sistemática, ya que si se permiten modificaciones ad hoc, siempre se obtiene una estructura AD desordenada que es mucho más difícil de entender y administrar.
Defina su esquema
Defina su esquema
Piense en el esquema de su base de datos. El esquema contiene definiciones formales de todas las clases de objetos que se pueden crear y de todos los atributos que puede tener un objeto de AD. Active Directory incluye un esquema predeterminado, pero es probable que deba adaptarlo a las necesidades específicas de su empresa. Asegúrese de diseñar su esquema cuidadosamente durante la fase de planificación, ya que cambiarlo más tarde puede alterar significativamente sus actividades, debido al papel central que desempeña AD en la autenticación y las autorizaciones.
Utilice una nomenclatura estándar
Utilice una nomenclatura estándar
En todos los niveles (dominio, unidades organizativas, esquema), asegúrese de desarrollar y seguir prácticas de nomenclatura estandarizadas. De este modo, es más fácil para todos, por ejemplo, comunicarse con el usuario adecuado o identificar el equipo en una sala de conferencias concreta. Es particularmente importante ser sistemático a la hora de nombrar los grupos de seguridad de AD, para poder aprovisionar y volver a proveer a los usuarios con facilidad y precisión. También es inteligente agregar una descripción clara del propósito de cada grupo de seguridad. Solo se necesitan unos segundos y puede ayudarle a evitar problemas graves más adelante.
Monitoree el estado de AD
Un entorno de TI es un lugar dinámico, no se puede simplemente configurar Active Directory y olvidarse de él, por muy perfecta que sea la planificación de los dominios, las unidades organizativas, los esquemas, entre otros. Los usuarios, equipos, impresoras y otros objetos de AD aparecen y desaparecen, por lo que necesitará procedimientos de aprovisionamiento y desaprovisionamiento, que deberían automatizarse en la medida de lo posible mediante flujos de trabajo basados en la aprobación. También debe identificar periódicamente las cuentas de usuario y de equipo inactivas para poder eliminarlas antes de que se puedan utilizar de forma indebida.
En términos más generales, también es necesario monitorear el estado de los controladores de dominio y la replicación de datos entre ellos en tiempo real. De lo contrario, los usuarios podrían tener problemas para iniciar la sesión o acceder a los recursos que necesitan para realizar su trabajo.
Microsoft proporciona varias herramientas de administración de Active Directory, como Windows PowerShell, Usuarios y equipos de Active Directory (ADUC), Usuarios y grupos locales y los snap-ins de Active Directory Schema para Microsoft Management Console (MMC). No obstante, la funcionalidad de las herramientas nativas es limitada, en el mejor de los casos resulta incómodo alternar entre ellas y las tareas suelen ser manuales, largas y propensas a errores.
Realice un seguimiento estricto de las cuentas de servicio
Realice un seguimiento estricto de las cuentas de servicio
Los scripts y las aplicaciones suelen necesitar más derechos de acceso de los que tiene una cuenta de usuario típica. Pero no debería usar una cuenta administrativa, ya que a menudo otorga a la aplicación más acceso del que necesita y pone su cuenta de administrador en un riesgo mayor de ser comprometida. En cambio, la mejor práctica es crear una cuenta de servicio para cada aplicación y conceder a esa cuenta solo los permisos que necesita, según lo requerido por el mínimo privilegio.
Pero no se olvide de estas cuentas. Dado que las cuentas de servicio tienen acceso a recursos importantes en su entorno de TI, es fundamental realizar un seguimiento de lo que hace cada cuenta de servicio. Busque proactivamente cualquier actividad inusual o injustificada, que podría ser una señal de que la cuenta está en peligro y se está utilizando de forma indebida.
Administre la política de grupo
Administre la política de grupo
Otro aspecto crítico de la administración de Active Directory
es la administración de la política degrupo La
política de grupo es un conjunto de políticas, llamadas objetos de política grupal (GPO),
que se pueden aplicar a todo un dominio o solo a determinadas unidades
organizativas. Por ejemplo, puede utilizar la política de grupo para
exigir a todos los usuarios del dominio de Chicago que utilicen
contraseñas complejas, o para no permitir el uso de medios removibles
en todos los equipos solo en la unidad organizativa de finanzas del dominio de
Chicago. Microsoft ofrece cientos de GPO que se pueden configurar.
La política de grupo es muy potente, por lo que es fundamental
configurarla correctamente y administrar con cuidado los cambios que se
realicen en ella. Un solo cambio inadecuado en un GPO podría provocar
un tiempo de inactividad o un fallo de seguridad. Por desgracia, las
herramientas nativas no facilitan el control de la política de grupos.
Deshabilite la creación de archivos PST
Agregue los sitios de uso frecuente a los navegadores de los usuarios
Asigne unidades de red útiles
Establezca valores de registro personalizados en todos los equipos
Implemente sistemas operativos estándar y otro software en todos
los equipos del servidor de Windows y otros equipos.
Ejecute determinados scripts al encender o apagar el equipo o al iniciar o
cerrar la sesión del usuario
Implemente el control de cambios
Implemente el control de cambios
Cualquier cambio inadecuado en Active Directory o en la política de
grupos, ya sea deliberado o accidental, puede interrumpir los servicios
críticos y bloquear el acceso legítimo de los usuarios a los
recursos, perjudicando las operaciones de la empresa. Para evitar problemas,
asegúrese de planificar, documentar y probar todos los cambios, y
asegúrese de poder revertir cualquier cambio que cause problemas
inesperados.
Además, es imprescindible poder evitar los cambios en los objetos
más importantes de AD, incluidos los potentes grupos de seguridad
administrativos y los GPO cruciales. Quest Change
Auditor y GPOADmin agilizan el control
de cambios para reforzar la administración de Active Directory.
Garantice la continuidad de la empresa
Por último, pero no por ello menos importante, la administración adecuada de Active Directory garantiza la continuidad comercial. Esto se consigue mediante procesos confiables de respaldo y recuperación, y la automatización de las tareas repetitivas de AD.
Para asegurar la productividad y la continuidad comercial, es necesario realizar de forma periódica respaldos de su AD y ser capaz de recuperarse con rapidez de cualquier incidente o desastre a nivel de objetos y atributos, a nivel de directorio y a nivel de sistema operativo en todo el bosque. Si bien la papelera de reciclaje de AD permite la recuperación rápida de algunos objetos eliminados recientemente, no es (y nunca fue concebida para ser) una solución empresarial de respaldo y recuperación.
El valor de contar con respaldos completos y fiables de Active Directory queda bien ilustrado por el caso del gigante naviero internacional Maersk, que fue víctima del ataque NotPetya en 2017. A las horas de haberse liberado el software malicioso en su red, Maersk quedó efectivamente paralizada. Casi todos sus 150 controladores de dominio en todo el mundo estaban fuera de servicio, y la empresa no tenía ni un solo respaldo de Active Directory que pudiera utilizar para restaurar las operaciones. Afortunadamente para la empresa, uno de los centros de distribución de Ghana estaba desconectado cuando el software malicioso atacó, por lo que sus datos seguían intactos. No obstante, el ancho de banda de la oficina de Ghana era tan lento que cargar los datos desde el DC habría llevado días, y nadie allí tenía una visa británica, por lo que el equipo de recuperación debió emprender una especie de carrera de relevos que incluía vuelos de muchas horas para llevar la preciada máquina a la sede de la empresa en el Reino Unido. Pero finalmente, pudieron utilizar el equipo para recopilar los otros DC.
Automatice las tareas de AD
Automatice las tareas de AD
Muchas de las tareas de administración de Active Directory son bastante tediosas y requieren mucho tiempo, lo que aumenta el riesgo de que se pospongan o se realicen incorrectamente. La automatización puede reducir la carga de trabajo de TI, eliminando los errores humanos y garantizando la realización puntual de tareas importantes pero rutinarias. Por ejemplo, todas las siguientes tareas son las principales candidatas a un determinado nivel de automatización:
Creación, modificación y eliminación de cuentas de usuario
Aprovisionamiento y cierre de equipos
Implementación de software y aplicación de parches
Inventario
Informes
Limpieza del directorio
¿Dónde puedo obtener más información sobre Active Directory?
Active Directory es fundamental para el éxito de cualquier empresa
moderna. Consulte estas páginas de utilidad adicionales para conocer
las prácticas recomendadas para las áreas más
críticas de Active Directory:
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.