Seguridad de Active Directory: configurar administradores locales

Una de las tareas más importantes (ya menudo la que más tiempo consume) de cualquier administrador de IP es delegar permisos y garantizar la seguridad. Esto se vuelve más difícil en empresas donde los servicios son administrados por diferentes grupos de administradores.

En el artículo anterior, cubrimos el proceso de delegación a nivel de unidad organizacional, donde monitoreamos la capacidad de crear objetos en Active Directory. En el mismo artículo, establecimos una estructura de apoyo a la delegación en dos niveles. Los nombres de nivel que usamos en este artículo fueron país y ciudad.

La ventaja de este enfoque es que gestionamos todas las delegaciones de seguridad a través de equipos de Active Directory. De esta manera, cualquier nuevo administrador no necesitará un nuevo asistente de delegación para comenzar. Solo es cuestión de agregarlo a un grupo existente de Active Directory.

En este artículo iremos un poco más allá. Usaremos la estructura que establecimos en el artículo anterior y nos aseguraremos de que estos mismos grupos puedan configurarse como administradores locales en los servidores que usan la Política de grupo.

Índice

Revisión del guión

El guión es sencillo. Tenemos una empresa multinacional que utiliza un dominio de Active Directory y la administración de TI se divide en tres niveles: Administradores globalesquiénes son administradores de dominio/administradores de empresas (solo hay unos pocos usuarios); Administradores del paísquiénes pueden administrar objetos y ser administradores locales en todos los servidores del país donde se encuentran; y administradores de la ciudadque sólo pueden gobernar a nivel de su ciudad.

Cada país tiene una unidad organizativa en el nivel raíz del dominio, seguida de una unidad organizativa secundaria para las ciudades y, debajo, una unidad organizativa para cada ciudad. En cada ciudad tenemos ordenadores, servidores y usuarios, también separados por unidades organizativas. El permiso para crear objetos a nivel de Active Directory ya se configuró en un artículo anterior.

Todos los grupos de Active Directory que tienen permisos delegados a sus respectivos países y/o ciudades se pueden encontrar en la Unidad de Organización de Servicios Globales/Aplicaciones/ADSec. Su nombre denota un país y una ciudad. Si solo hay un código de país, significa que son administrador del pais. La misma regla se aplica si su prefijo de grupo tiene un código de país + ciudad, y en este caso no lo tienen. administradores de la ciudad.

Antes de configurar, analicemos los grupos de administradores locales de cualquier nuevo servidor Windows Server 2012 R2 o Windows Server 2016 si está conectado a un dominio. De forma predeterminada, el grupo tendrá una cuenta de administrador local y un grupo de administradores de dominio con Active Directory.

Nuestro objetivo es permitir la administración local de algunos servidores, pero al mismo tiempo proteger administradores de dominio grupo.

Delegación de administradores locales al servidor

Ahora que tenemos una idea clara de cómo se construyó nuestra estructura y dónde están los grupos que recibieron la delegación, usaremos ese conocimiento y crearemos los permisos necesarios para nombrar administradores de servidores locales.

Vamos a utilizar la directiva de grupo junto con las unidades organizativas para que esto suceda. El primer paso es crear una política de grupo vacía y asociarla con el servidor de la unidad organizativa a nivel de ciudad. Comencemos con la unidad organizativa Canadá Ciudades Toronto. Usaremos una convención de nomenclatura similar para facilitar la comprensión de las dependencias de las políticas de grupo, los grupos de Active Directory y las unidades organizativas. Una convención de nomenclatura que usaremos para las políticas de grupo Delegación del servidor CATOR, donde CA representa a Canadá, TOR - Toronto. El sufijo será el mismo para todos los lugares.

  1. Inicie sesión en el controlador de dominio, abra la Consola de administración de directivas de grupo
  2. Expandir Bosque: infralab.org, argumentoy seleccionamos la unidad organizativa donde queremos aplicar la nueva política. Vamos a crear en la parte superior Canadá UNED. Haga clic derecho sobre él y luego haga clic en Cree un GPO en este dominio y vincúlelo aquí...

  1. En la nueva ventana, ingrese el nombre del nuevo GPO, que en nuestro caso será Delegación del servidor CAy haga clic en bien
  2. Haga clic con el botón derecho en la directiva de grupo recién creada y haga clic en Editar…

Como práctica recomendada, haga clic con el botón derecho en el nombre de la directiva de grupo (primer elemento a la izquierda) y haga clic en Propiedadesy en la página Propiedades, seleccione Deshabilitar los ajustes de configuración del usuario. Por lo tanto, nos aseguramos de que esta política solo se aplique a los objetos de el ordenador.

  1. En el Editor de administración de directivas de grupo, expanda Configuración del equipo, políticas, configuración de Windows, configuración de seguridad. Botón derecho del ratón Grupos limitados y haga clic en Añadir grupo…

  1. En el nuevo cuadro de diálogo, ingrese Administradores. Este grupo debe coincidir con el administrador local en los servidores/ordenadors donde se aplicará la Política de grupo. A continuación, haga clic en bien.
  2. У Administradores properties, necesitamos conocer algunos puntos clave antes de configurar los permisos, a saber:
  • Si usa la máquina que no está en inglés, asegúrese de ingresar el mismo nombre que corresponde a la palabra "administrador" en el idioma que usa;
  • Asegúrate de agregar Administradorcuál es el administrador del servidor local que recibirá la directiva de grupo
  • Asegúrese de agregar grupos de Active Directory usando DOMAIN GroupName
  • Asegúrate de agregar DOMINIO Administradores de dominio como parte de un grupo
  • En este caso, agregaremos un administrador de país y un administrador de ciudad para mantener la consistencia de los permisos.

Si queremos aumentar la seguridad, tenemos dos opciones Configuración del equipo Políticas Configuración de Windows Configuración de seguridad Políticas locales Asignación de derechos de usuario.

La primera opción es la configuración. Permitir inicio de sesión localy todos los grupos enumerados aquí son los únicos que podrán iniciar sesión en la consola del servidor.

La segunda opción Permitir inicio de sesión a través de Servicios de escritorio remoto. Con esta opción, podemos determinar qué grupos pueden conectarse a Escritorio remoto a un servicio determinado donde se aplica la política.

Resultados de las pruebas

Permita un tiempo para que se produzca la replicación entre los controladores de dominio y actualice a la fuerza la directiva de grupo en un servidor en ejecución gpupdate / fuerza.

Los resultados se pueden verificar con compmgmt.mscy si verificamos la membresía en el grupo de Administradores locales, veremos todas las entradas que hemos configurado en la Política de grupo.

Hemos terminado, y ahora su trabajo se vuelve más fácil: si aparece un nuevo administrador en el sitio, simplemente agregue el usuario al grupo deseado y se encargará de los permisos en todos los servidores de ubicación.


Artículos de interés

Subir