Active Directory – Best practices II

Siguiendo la primera entrada de blog de Active Directory, continuamos exponiendo algunos consejos a aplicar. Pese a que parecen básicos, hay mucha gente que los desconoce, y que pueden más adelante ayudar a simplificar y organizar la gestión de plataformas bajo nuestra propia administración.

Tras la entrada anterior, nos habíamos quedado explicando algunos consejos sobre políticas de grupo:

Políticas de publicación de impresoras

Windows permite compartir impresoras de forma sencilla desde cada cliente, no obstante, hay una mucha mejor opción que nos permitirá tener el control sobre qué usuarios tienen acceso a qué impresoras y de qué formas pueden imprimir. Para esto podemos utilizar el propio sistema de administración de impresoras integrado en active directory, en el servidor.

Al añadir una impresora, solemos aconsejar utilizar la IP de la misma como nombre del puerto de la impresora, pero se pueden usar otras metodologías, por ejemplo, utilizar un nombre descriptivo en el propio objeto de AD. Siempre se debería intentar seguir la misma sintaxis entre todas las impresoras para tenerlo de forma organizada y reconocible.

Por ejemplo, si tenemos tres impresoras en un edificio de dos plantas, y son todas de la misma marca, lo aconsejable sería dividirlas por planta y por lugar de localización:

• Planta 1 Taller HP
• Planta 2 Despacho HP
• Planta 2 Comercial HP

De esta forma podremos discernir cual es cual más adelante. También es recomendable poner la IP o diferenciarlas por marca si están situadas dos impresoras en el mismo lugar. Ejemplo:

• Planta 1 Taller (192.168.3.25) Kyocera
• Planta 1 Taller (192.168.3.26) HP
• Planta 2 Comercial (192.168.15.16) HP

Así, si tenemos que realizar una consulta rápida, podremos saber rápidamente a cuál se refiere cada entrada.

Siempre hay que publicar las impresoras por política, y no compartirlas a través de la red a través de un equipo, ya que de la segunda forma podríamos perder el control sobre los permisos que damos a las impresoras y los usuarios tal como hemos comentado anteriormente.

Políticas de Grupo de seguridad

Es importante que tengamos en cuenta que quizás no todos los usuarios deban poder apagar depende de qué equipos, o que no deban acceder al panel de control de los mismos, por poner ejemplos.

Para esto también hay políticas de grupo que nos permiten ocultar o bloquear estas opciones, y que facilitan las tareas para proteger tanto los datos como a los propios usuarios de acciones no deseadas. Siempre recomendamos tener una política general que excluya únicamente a los administradores (o a un grupo de AD con los usuarios justos y necesarios) y afecte únicamente a los equipos necesarios, que oculte las opciones de reinicio y apagado, así como el acceso al panel de control del equipo u otros lugares considerados “delicados” (Gestión de servidor, instalación de características…)

En caso que nuestros equipos no requieran del uso de dispositivos de almacenamiento externo, como memorias USB o discos, siempre intentaremos bloquearlos por política en todos los equipos, y de esta forma evitamos problemas con posibles infecciones de software malintencionado a través de estos dispositivos.

Permisos en carpetas

Reglas generales

Algo a tener en cuenta antes de empezar con los permisos en carpetas, es que siguen unas reglas generales que se deben cumplir para que se pueda mantener la infraestructura con una coherencia que luego nos permita entender su funcionamiento y como se accede a las carpetas.

Para empezar, tenemos que tener en cuenta que si un usuario no tiene acceso a una carpeta, a las subsecuentes tampoco debería poder acceder, o al menos, no navegando normalmente por el explorador de archivos.

Con esto, podemos prever que, por ejemplo, si tenemos la ruta “C:\Prueba\Test2\Hola”, y quitamos el acceso a “Test2”, lo más lejos que el usuario podrá llegar haciendo click en carpetas es a “C:\Prueba”.

Por ende, los permisos tienen siempre que ir de más permisivos a menos, a no ser que haya una excepción que nos obligue a dar acceso a una subcarpeta en concreto. (Por ejemplo, si un programa necesita acceso a esa carpeta.)

Cabe destacar que en Windows, si una carpeta tiene un permiso de acceso y el mismo de denegación, primero tomará el de denegación y negará por lo tanto el acceso, en vez de concederlo.

Importante tener en cuenta la sintaxis de los nombres en todo momento. No hay que caer en denominar los grupos de forma similar. No obstante, si está bien incluir una categorización en el propio nombre, para indicar diferentes tipos de grupos y su propósito.

Permisos por grupos

Para poder distribuir los permisos de forma correcta y sencilla, siempre recomendamos generar grupos de usuarios como antes ya hemos mencionado, siguiendo las reglas que advertimos, y dar permisos a ese grupo de usuarios, en vez de darlos de forma unipersonal. De esta forma podemos dar acceso a secciones enteras (Como Marketing, Contabilidad..) o denegarlo.

 

Esperamos que esta entrada os haya podido dar ideas o ayudado a organizar una infraestructura de Active Directory y securizarla. En otra entrada más adelante seguiremos con estos consejos para este sistema tan útil.