Estes
procedimentos tem o objetivo de criar um grupo de administradores do AD (Active
Directory) para os usuários de suporte Nível I, em conformidade ao que descreve
o Framework ITIL (Information Technology Infrastructure Library ou em tradução
livre), ou seja, conjuntos de boas práticas.
CAPÍTULO 1
O novo grupo terá permissões de
administrador típicas na OU que você selecionar. Para este projeto será
concedido os privilégios mínimos, apenas o de instalar programas, colocar máquinas
no AD ou outras ações pertinentes que a gestão de TI achar necessário.
Principais ações que o novo grupo não será capaz de fazer:
· Reorganizar OUs;
· Alterar propriedades no nível de domínio;
· Coletar senhas do LAPS (Microsoft Local Administrator Solution);
Estes perfis de configuração é o padrão utilizado para a
maioria dos cenários nas empresas, contudo é possível ajustar com cada
necessidade.
Iniciando os trabalhos, será usado o ASSISTENTE DE DELEGAÇÃO
DE CONTROLE. Primeiro siga com os passos abaixo, vejamos:
1. Abra Usuários e Computadores do Active Directory;
2. Crie uma OU (Organizational Unit) de SUPORTE
3. Clique com o botão direito na referida UO, vá para Novo e clique em Grupo;
Figura 1 – Criação de Grupo.
Figura 2 – Tela para nomear o nome do novo Grupo.
3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control.
Figura 3 – Usando o método de Delegação
5- Clique em Add e selecione o grupo que você acabou de criar
6- Verifique as seguintes opções:
·
Criar, excluir e gerenciar contas de usuário
·
Redefina as senhas do usuário e força a alteração da
senha no próximo logon
·
Leia todas as informações do usuário
·
Criar, excluir e gerenciar grupos
·
Modificar a associação de um grupo
·
Gerenciar links de política de grupo
·
Gerar conjunto de políticas resultante (planejamento)
·
Gerar conjunto de políticas resultante (registro)
Figura 4 – Criação das delegações, adicionando o grupo criado anteriormente.
1- Clique com o botão direito na
unidade organizacional para a qual deseja conceder permissões a este grupo e
clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
4- Selecione Only the following objects in the folder e
clique User Objects no final da lista
5- Selecione Property-specific em Show these
Permissions
6- Marque Ler e Escrever para LockoutTime
Com estas configurações o perfil já está criado para o time
de suporte, contudo é recomendado aplicar mais algumas camadas de segurança. Observe
logo abaixo:
1- Abra Usuários e Computadores do
Active Directory.
2- Clique com o botão direito na UO ( criada recentemente ) em que deseja criar
o grupo de segurança, vá para Novo e clique em Grupo.
Figura 5 – Procedimento 1, Criação de mais uma camada de segurança – Grupo
3- Nomeie o grupo;
4- Clique com o botão direito na unidade organizacional para a qual deseja
conceder permissões a este grupo e clique em Properties;
Figura 6 – Procedimento 2, para camada de segurança
Observe que, para seguir o Princípio de menor privilégio,
recomenda-se que é aplicada algumas diretivas, veja a seguir.
5- Vá para a Security guia
e clique em Advanced
6- Clique em Add=> Select a principal e escolha
o grupo que você acabou de criar
7- Permitir a política em This object and all descendant objects
Figura 7 – Procedimento 3, Criação da camada de segurança.
Figura 8 – Procedimento 4, Criação da camada de segurança.
Figura 9 – Procedimento
5, Criação da camada de segurança.
8- Verifique as seguintes opções:
o Criar
objetos de usuário
o Criar
objetos de computador
o Excluir
Objetos de Computador
o Criar
Objetos de Grupo
o Excluir
objetos do grupo
9- Clique OK
10- Clique em Add=> Select a principal e
escolha o grupo que você acabou de criar
11- Permitir a política em Descendant Computer objects
Figura 10 – Procedimento 6, Criação da camada de segurança.
Figura 11 – Procedimento 7, Criação da camada de segurança.
Este procedimento 7 segue o mesmo passo do procedimento 5 da
figura 8.
12- Verifique Full Control,
clique OK
13- Clique em Add=> Select a principal e
escolha o grupo que você acabou de criar
14- Permitir a política em Descendant Group objects
Figura 12 – Procedimento 8, Criação da camada de segurança.
15- Verifique Full Control, OK
16- Clique em Add=> Select a principal e
escolha o grupo que você acabou de criar
17- Permitir a política em Descendant User objects
18- Verifique Full Control,
clique OK
19- Clique OK e OK novamente para confirmar
Com estes procedimentos o grupo de administradores do Active
Directory já pode ser adicionado à sua equipe de Suporte/TI sem expor os
aspectos vitais do seu ambiente.
CAPÍTULO 2
DELEGAR
PERMISSÕES PARA INSERIR E TIRAR DO DOMÍNIO OU APENAS RENOMEAR COMPUTADORES NO DOMÍNIO
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
Se o objetivo for ingressar e reingressar computadores no domínio, as permissões necessárias são:
Active Directory Object Type
- Computer Object
- Create selected object in this folder
- Delete selected object in this folder
Permissions
- Reset Password
- Read and Write Account Restrictions
- Validated Write to DNS Host Name
- Validated Write to Service Principal Name
 |
| Figura 13 - Tela de exemplo para configuração de perfil com privilégios de remover do domínio ou ingressar. |
PROCEDIMENTO C2-2
Se o objetivo for renomear computadores no domínio, as permissões necessárias são:
Active Directory Object Type
- Computer Object
Permissions
- Read All Properties
- Write All Properties
- Validated Write to DNS Host Name
- Validated Write to Service Principal Name
- Read All Properties
- Write All Properties
Com estes procedimentos é possível alcançar os objetivos do artigo evitando assim o compartilhamento de senhas únicas para todos os colaboradores do time de TI. É de suma importância aplicar estes procedimentos, isto possibilita a criação da consciência saudável de segurança da informação e permite a responsabilização de suas ações por parte do colaborador.
O próximo passo é a criação de um artigo falando sobre a implementação do LAPS (Microsoft Local Administrator Solution), ele é responsável por alterar a senha automaticamente de forma aleatória. Concluindo então este Assessment de segurança do Active Directory.
Fonte:
https://docs.microsoft.com/pt-br/windows-server/failover-clustering/configure-ad-accounts
https://dicasdeinfra.com.br/criar-um-grupo-de-administradores-do-active-directory-win-2012-r2/
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.