Active Directory – Best practices I

Active Directory es una herramienta muy útil que utilizamos en ICM para gestionar usuarios, permisos, contraseñas y accesos desde un único punto centralizado. Pero, ¿cómo podemos sacar el máximo de provecho a esta herramienta? ¿cuáles son los consejos que os recomendamos desde ICM? En el capítulo de hoy, os enseñamos algunas Best Practices de Active Directory.

Organización en Active Directory

El primer paso a tener en cuenta es que Active Directory es un servicio que puede darse On-Premise, en la nube, o de forma híbrida. Gracias a Azure, ahora es posible tener una infraestructura híbrida que contempla métodos de inicio de sesión compatibles con la nube, como la autenticación multifactor. Dicho esto, este pequeño “Best Practices” está enfocado a la versión Local/Híbrida del montaje, aunque algunos consejos también se pueden aplicar a la versión en la nube.

Unidades Organizativas

El primer paso a tener en cuenta son las Unidades Organizativas (también llamadas OU, Organizational Units). Estas son las “Carpetas” que se encargan de almacenar otras OU, o directamente los objetos (Usuarios, grupos, equipos…) que necesitemos registrar.

Siempre hay que planificar la estructura de OUs en base a los diferentes grupos dentro de nuestro ecosistema, que estén claramente definidos. Así, por ejemplo, podemos separar diferentes secciones de la empresa (IT, Ventas, Contabilidad…), o por sedes en caso de que haya más de una (Zaragoza, Madrid, Badajoz…), y siempre dependerá de las necesidades de la empresa.

Cabe decir que, dentro de cada OU, se pueden almacenar objetos u otra OU, y se organiza igual que las carpetas del sistema. Esto nos permitirá, más adelante, poder aplicar de forma sencilla diferentes políticas de Windows, por ejemplo, de seguridad, configuración o personalización.

Usuarios y Grupos en Active Directory

La forma en la que se crean los usuarios y los grupos es de igual manera importante. El formato que sigamos, tanto para el nombre de usuario como para las contraseñas, o los grupos, nos permitirá luego encontrar de forma más eficiente la información. Nosotros, personalmente, aconsejamos utilizar para el login de usuario siempre el mismo formato, y que contenga tanto algo del nombre como del apellido. Para la contraseña, aconsejamos contraseñas que sigan las siguientes reglas:

– Que tengan 8 caracteres

– Que dispongan como mínimo de una letra mayúscula

– Que dispongan como mínimo de una letra minúscula

– Que dispongan como mínimo de un número

1. ej:

Julio Martínez Delgado

Usuario: j.martinez

Contraseña: Xejo7535

Microsoft mismo recomienda seguir estas pautas, y optar por un sistema de contraseñas diversificadas pero sencillas de recordar, mejor que una contraseña complicada para entrar en varios lugares de la misma manera.

En cuanto a los grupos, es importante tener en cuenta de que éstos se pueden utilizar como grupos de seguridad y acceso a archivos, o de distribución de correo en entornos híbridos o en la nube. Siempre se debería diferenciar entre ambos y seguir una pauta a la hora de nombrarlos, para que quede claro de qué tipo son. Por ejemplo:

• Grupo de seguridad: SEGURIDAD_Marketing
• Grupo de distribución: DISTRIBUCION_Marketing

Siempre es importante seguir la misma sintaxis a la hora de generar usuarios/grupos, de esta forma será mucho más sencillo tenerlo todo ordenado.

Políticas de Grupo

Las políticas de grupo son una herramienta importante que Microsoft nos ofrece de forma gratuita junto con Active Directory, y que nos permite  realizar configuraciones en diferentes usuarios/equipos para que no tengamos que hacerlo uno a uno. Tan importante es conocerlas y saber las capacidades que nos ofrecen, como saber cómo organizarlas y dónde, para que no existan conflictos entre ellas.

Políticas por Unidad Organizativa

Siempre tenemos que tener en cuenta que las políticas las generamos siempre en su propio listado de políticas, y luego generamos un link a la(s) OU en las que queremos que se apliquen.

Esto significa que si hacemos un link de la política en la OU “Test1”, ésta se aplicará por defecto a todos los usuarios en la misma, aunque luego podemos modificarlo y afinar más los objetivos de la misma.

Políticas por Gupo/Usuario

Tras la sección anterior, cabe mencionar que dentro de los datos que podemos ver sobre la política en el editor de políticas, hay un apartado llamado “Scope”, que nos permitirá elegir a qué usuarios queremos que aplique la política.

Por defecto viene “Todos los usuarios”, pero podemos eliminar esto y configurar usuarios individuales o (Recomendado) grupos de usuarios para poder elegir a quién se le aplica más concretamente. Algo importante a tener en cuenta es que, para que funcione correctamente, en el apartado “Delegación”, debemos asegurarnos de que el grupo “Todos” tenga acceso de Lectura, y tan sólo de lectura, a la política.