O planejamento detalhado no projeto de um domínio e estrutura lógica de Active Directory possibilita ações pró-ativas e respostas rápidas em ambientes de crise.
É comum em empresas onde não existe documentação a criação de diversas politicas redundantes aplicadas ao domínio quando no decorrer do tempo os colaboradores de TI são alterados.
Uma estrutura enxuta facilita a localização e isolamento de erros.
Se existem regras fora de seus lugares teremos dificuldade em aplicar alterações rapidamente pois a política padrão é primeiro negar, dessa forma se temos uma politica que bloqueia direito ou acesso e outra que permite, o bloqueio prevalece.
Modelo para aplicação de políticas
A criação do layout Active Directory é especifico de empresa para empresa mas podemos ter alguns princípios que nos permitirão maior facilidade no gerenciamento e tolerância a falhas.
Ao criarmos as Unidades Organizacionais é necessário ter em mente a ordem de aplicação de GPO's pois a finalidade principal da organização de containers é justamente obter um fluxo lógico para aplicação de políticas.
De uma forma geral cada departamento da empresa possui necessidades especificas como a liberação ou bloqueio de aplicações, acessos e recursos de rede. Agrupar computadores e usuários por núcleo de atividade facilita e simplifica esta tarefa.
Unidades Organizacionais
Políticas de Grupo
As GPO's podem ser divididas de forma simplificada entre; destinadas a todas máquinas cliente da rede (GP_PADRAO) que será posicionada na raiz da OU "Departamentos" e GPO's especificas das áreas (GP_ADM, GP_COM, etc).
Reunir todas regras em poucas GPO's pode ser mais trabalhoso por um lado mas quando temos problemas esse trabalho tem seu retorno, pois rapidamente podemos isolar a política e fazer o troubleshooting do problema.
GPO's
Grupos
Por falta de planejamento observamos inúmeros grupos de segurança criados para fins específicos, na medida do possível podemos agrupar direitos em um número reduzido destes, facilitando na hora de criar usuários e definir direitos.
No exemplo abaixo temos apenas dois grupos por departamento.
GSDL = Grupo de Segurança de Dominio Local.
SHARE = Grupo para compartilhamento de arquivos e DFS.
RESOURCE = Grupo para direito de acesso a recursos como impressoras, Wi-Fi, etc.
Documentação
Após a criação da estrutura de Unidades Organizacionais podemos usar o recurso "Export List..." e documentar as alterações.
O tamanho da rede influencia no detalhamento e granularidade de Containers e políticas, porém partindo sempre do mais simples e resumido podemos crescer com ordem e praticidade.
Nenhum comentário:
Postar um comentário