Implementar delegación de seguridad en Active Directory

Delegar seguridad y permisos a Active Directory es una de las funciones más importantes para cualquier profesional de TI, especialmente si el servicio es administrado por diferentes grupos de administradores. Aunque esto es más común en medianas y grandes empresas, el mismo concepto se puede aplicar en entornos pequeños donde se puede requerir cierta delegación.

Un Active Directory puede tener hasta 800 controladores de dominio, y cada controlador de dominio puede crear hasta 2150 millones (¡sí, con "b"!) Objetos durante su vida útil. Eso dice mucho, y con esos números sabemos que un dominio puede manejar muchos objetos. Este es un buen escenario para muchas empresas, y para tal entorno, la planificación de la seguridad y la delegación adecuada se están convirtiendo en un área clave de desarrollo. Aquí este es el enlace oficial que explica las limitaciones de Active Directory.

En entornos grandes podemos tener varios dominios. Con este enfoque, cada dominio puede tener su propio conjunto de administradores y la delegación puede ocurrir a un nivel más detallado dentro del dominio oa nivel de dominio.

¿Cómo podemos empezar por delegar la seguridad a Active Directory? El proceso es simple, pero incluye algunas funciones clave de Active Directory como:

  • Unidades organizativas (OU)
  • Maestro de Delegación
  • política de grupo

El nivel de delegación que queremos implementar determina qué funciones usaremos. En este artículo, nos centraremos en la delegación de Active Directory, donde un grupo dedicado de usuarios puede realizar algunas tareas de administración en algunos lugares. En el siguiente artículo, veremos la parte que delega la seguridad a nivel de servidor.

Índice

La secuencia de comandos

Usemos un script simple para mostrar algunas de nuestras ideas para implementar Active Directory a través del proceso de delegación. Nuestro escenario es una corporación multinacional con un solo dominio, y en cada país hay varias ciudades donde opera nuestra empresa. Todos los servidores, usuarios y ordenadors están ubicados físicamente a nivel de ciudad, nunca a nivel de país.

El administradores locales podrá administrar usuarios y grupos de objetos a nivel de ciudad para administradores locales específicos; también una administrador del país habrá un grupo de usuarios que podrán gestionar las mismas instalaciones pero en todas las ciudades de este país.

La consistencia es la clave

Antes de llevar a cabo una delegación, necesitamos desarrollar y planificar la estructura de la unidad organizativa (OU). Las unidades organizativas son una característica clave que se utiliza para separar objetos lógicos (similares a las carpetas en un servidor de archivos) y permiten a los administradores delegar derechos en función de los usuarios/grupos.

Según nuestro escenario, vamos a utilizar OU para cada país donde está presente nuestro negocio. Debajo de esta capa tendremos una segunda capa que será la ciudad donde tenemos los objetos de Active Directory. A nivel nacional tendremos Administración, Ciudades y Gruposy a nivel de ciudad tendremos un lugar de descanso real para las instalaciones: ordenadors, servidores, y Usuarios.

Las mejores prácticas de seguridad son usar una cuenta separada para administradores y otra para acceso regular. Todas las cuentas de administrador deben crearse en Administración Pues a nivel de país.

Planificación de seguridad para apoyar a la delegación de seguridad

En nuestro escenario tenemos un pequeño grupo de administradores de dominio y son los responsables de la delegación inicial a nuevos países/ciudades que se suman a la infraestructura. El equipo local será entonces responsable del manejo de usuarios, servidores y ordenadors.

Mi consejo es crear una unidad organizativa separada en el nivel raíz para mantener todos los grupos de seguridad que recibirán una delegación en el nivel de país/ciudad. La razón es simple: solo los administradores de dominio podrán administrar la membresía del grupo. Al hacer esto, la solución se vuelve segura por defecto.

Para esta serie de artículos vamos a crear una unidad organizativa llamada Servicios globales y bajo esto vamos a crear dos OU: cuentas de servicio y Aplicaciones. El cuentas de servicio Una unidad organizativa puede tener una unidad organizativa para cada país, y todas las cuentas de servicio de esos países pueden almacenarse en esa ubicación. El Aplicaciones La unidad organizativa se utilizará para almacenar grupos que administran programas de Active Directory. El primer requisito sería ADSecdonde vamos a almacenar los grupos que creamos para delegar la administración de Active Directory.

2

Ahora que tenemos una idea de cómo se verá nuestra estructura de Active Directory, podemos comenzar a planificar cómo delegaremos los permisos. Mi consejo es usar siempre grupos, porque hacerlo perjudica a todos los usuarios, y créeme, te arrepentirás cuando necesites otro usuario con el mismo permiso. La convención de nomenclatura es importante para mantener la administración simple, de modo que con un simple vistazo el administrador pueda determinar dónde se usa este grupo.

En este artículo, usaremos los primeros dos a seis caracteres para identificar un país o ciudad (que tendrá un prefijo de país). El sufijo será el mismo: - Administradores. Por ejemplo: CA-Admins es un grupo de administradores que pueden administrar Canadá y ciudades; al mismo tiempo el grupo como administradores CATOR es responsable de la gestión de las instalaciones solo a nivel de la unidad de Toronto.

Me gusta pasar algún tiempo en un acuerdo de nombres para cualquier nueva implementación, y tú también deberías hacerlo. Otra posible sugerencia para este esquema es agregar un prefijo, por ejemplo ADSec. De esta forma, el administrador siempre puede hacer coincidir el nombre del grupo con la unidad organizativa y la ubicación.

3

Delegación de permisos

El asistente del proceso de delegación se puede ejecutar desde usuarios y equipos de Active Directory, y la delegación se puede asignar mediante tareas preconfiguradas (conocidas como Tareas comunes) o creando una tarea de delegación personalizada.

Vamos a delegar a nivel de país a esta sección. La misma lógica se aplica a nivel de ciudad.

Inicie sesión en Usuarios y equipos de Active Directory, haga clic con el botón derecho en el país deseado, en nuestro caso Canadáy luego haga clic en Control delegado… . En la página del asistente de saludo simplemente haga clic en próximo.

4

У Usuarios o grupos página, haga clic en Agregar… e ingrese el nombre del grupo, en este caso Administradores de CAy presiona Próximo.

5

У Tareas a delegar página, asegúrese de que los administradores del país puedan administrar cuentas de usuarios y grupos. Hacer clic próximo y Terminar.

6

En la fase anterior, delegamos la capacidad de administrar cuentas de usuarios y grupos. Pero no mencionamos la capacidad de administrar cuentas de ordenador. Para ello podemos crear el mismo asistente, pero en este momento elegimos Crear una tarea personalizada para la delegación. La próxima página será un poco diferente.

Ahora tendremos una lista de todos los objetos que queremos administrar. Escoger Objetos de ordenadory luego seleccione Crear objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en esta carpetay luego presione próximo.

7

Movámonos a permisos página. Debido a que usamos una tarea de delegación personalizada, podemos determinar la resolución para el objeto anterior que seleccionamos. En este caso, permitiremos el control total sobre los objetos de el ordenador (elemento seleccionado de la página anterior). Haga clic en próximo y Terminar.

8

En este momento tenemos un grupo de administradores de CA con permiso para todas las divisiones bajo la estructura canadiense en Active Directory para administrar ordenadors, usuarios y objetos de grupo. Podemos repetir el mismo proceso a nivel de ciudad delegando a otro grupo. Por ejemplo: permisos de delegados de Toronto administradores CATOR grupo.

Si a nivel de ciudad administradores locales Se requieren menos permisos, podemos reducir y ajustar la resolución a nuestro antojo seleccionando las disponibles personalizando las tareas de delegación o personalizándolas.

Tenga en cuenta que asignamos permisos a nivel principal (país o ciudad), y esto se aplica a todos los departamentos, y esto permite a los administradores crear un usuario en una unidad organizativa diferente a Usuarioseso puede ser un problema en algunos escenarios. Si es así, es mejor delegar permisos en el nivel de sub-OU. Por ejemplo: delegar capacidades de grupo solo a Grupos UNED. La misma lógica se aplica a los usuarios y objetos de el ordenador.

Foto: Stock de FreeRange


Artículos de interés

Subir