15 de September de 202022 de September de 2020

Como manter seu AD funcionando

by in Artigostags , , , , , , ,
Como manter seu AD funcionando

O Active Directory da Microsoft existe há muito tempo, desde sua estreia como parte do Windows Server 2000. Desde aqueles primeiros dias, houve muitas mudanças, melhorias e atualizações de esquema para melhorar a plataforma que se tornou tão popular, e um componente principal da maioria dos ambientes baseados em Windows. No entanto, não tem havido muito foco nas maneiras de limpar as unidades organizacionais (OUs) e os objetos dentro delas; isso é deixado para você fazer por si mesmo.

Semelhante a um compartilhamento de rede deixado aberto para que todos possam usar e abusar como quiserem, o Active Directory pode lentamente se transformar em uma bagunça incontrolável. Objetos com nomes inadequados, colocados em áreas que não deveriam ir ou Políticas de Grupo que não se aplicam aos usuários ou computadores certos são um grande risco. Isso leva a um ambiente que piora a experiência de todos os envolvidos, embora potencialmente exponha riscos de segurança de todas as maneiras diferentes.

Supondo que você esteja diante de uma bagunça como essa, por onde começar e como manter um Active Directory limpo?

Estrutura OU

Primeiro, certifique-se de que sua estrutura de UO faça sentido. Confira meu artigo sobre como projetar uma estrutura de unidade organizacional aqui. Se for muito difícil ou complicado consertar o que você tem, construa uma estrutura totalmente nova em uma única sub OU com seu novo design.

A próxima etapa é vincular novamente as Políticas de Grupo à nova estrutura. Se você estiver satisfeito com o que você tem, este é fácil – basta vinculá-los às novas OUs. Se você não estiver satisfeito, então, novamente, é o caso de criar novas políticas do zero ou modificar cópias de cada objeto da política, dando-lhes um novo nome para identificar que fazem parte do seu novo design e, em seguida, vinculando-os a as novas OUs.

Terceiro, é a movimentação real de seus objetos (usuários, computadores, grupos etc.) para sua nova estrutura. Comece devagar e teste conforme avança; provavelmente há algo que você perdeu e também é fácil migrar os objetos de volta para o lugar de onde vieram para problemas mais complexos que possam surgir. Certifique-se de que todos os objetos na estrutura antiga tenham algum lugar para ir na nova; se não estiver claro para onde ele deve ir, talvez seja necessário renomear ou criar mais OUs.

Finalmente, quando estiver satisfeito com a nova estrutura, você pode começar a excluir as OUs antigas. Outro benefício de criar uma nova estrutura de OU é que você terá uma linha de base de segurança muito mais fácil para trabalhar – todas as pastas devem ter as mesmas configurações de segurança e delegação, para que você possa começar a bloquear ou permitir o acesso com base nos requisitos da equipe. Se possível, use a associação ao grupo que define a função necessária ao aplicar as configurações de segurança, em vez de fazer usuário por usuário, pois isso tornará as auditorias e alterações muito mais fáceis no futuro.

Manutenção

Agora que seu AD está limpo, como você o mantém assim? Esperançosamente, você bloqueou OUs conforme descrito acima para evitar que as pessoas cometam erros ao colocar objetos no local errado, mas ainda melhor é ter fluxos de trabalho automatizados para alterações. Quando alguém adiciona um computador ao domínio, você pode garantir que ele sempre seja colocado na OU correta para que o computador receba as Políticas de Grupo que deveria receber, em vez do contêiner especial embutido ‘Computadores’ que não tem políticas? E quanto à criação de uma nova lista de distribuição de e-mail, ela será criada com um nome que faça sentido e um proprietário será aplicado, enquanto é colocada onde deveria estar?

Ter um processo documentado para os itens acima é um bom começo, mas um processo de fluxo de trabalho automatizado remove o risco de erro humano ou negligência. Você pode conseguir isso de várias maneiras, incluindo a criação de seus próprios scripts do PowerShell para funções padrão, bem como relatórios frequentes de objetos existentes ou alterados no Active Directory. O Adaxes também pode ajudar nisso, fornecendo uma maneira fácil para a equipe de TI executar essas tarefas comuns e garantindo que o resultado final seja exatamente o que você espera. Você pode até mesmo ter fluxos de  aprovação ou notificações de alterações enviadas por e-mail automaticamente à medida que são realizadas.

Objetos abandonados são o outro item importante a se observar ao garantir que o Active Directory esteja limpo; ter um processo de limpeza do usuário e certificar-se de que os computadores sejam removidos se não forem usados ​​por um certo tempo são tarefas que devem ser automatizadas – raramente as pessoas vão querer executar essas tarefas manual e repetidamente. Novamente, Adaxes é uma boa opção aqui, onde uma tarefa agendada pode ser executada com frequência para relatar e limpar os objetos que você não deseja mais.

É um grande trabalho limpar o Active Directory e implementar um sistema que faça sentido para mantê-lo limpo, mas não é difícil. Ter uma OU e uma estrutura de Política de Grupo que faça sentido para todos que a examinam, combinada com relatórios contínuos e processos de limpeza ajudará a manter a ordem em seu ambiente, em vez de controlar o caos que todos delicadamente passam e fingem que não existe.

Apresentação e Demonstração – ADAXES – http://www.cloverit.com.br/adaxes-apresentacao

Publicado por: Adam Fowler – IT-Admin

Link: https://www.adaxes.com/blog/how-to-keep-your-ad-up-and-running.html

Palavras chaves: adaxes, active directory, AD, OU, organização, automação, regras, aprovação

Leave a Reply

Your email address will not be published.