Contas e grupos administrativos têm direitos, privilégios e permissões poderosos para executar ações críticas no Active Directory (AD), servidores membros e estações de trabalho. Existem quatro grupos administrativos internos principais no AD: Administradores de Empresa, Administradores de Domínio, Administradores de Esquema e Administradores. Cada um desses grupos oferece níveis variados de acesso a computadores, servidores e configurações de rede, com alguns fornecendo privilégios mais altos do que outros.
Embora os direitos e permissões concedidos a cada um desses grupos sejam diferentes, todos eles são poderosos. É normal que uma empresa tenha alguns membros nos grupos Administradores e Administradores de Domínio para realizar tarefas diárias, mas os grupos Administradores Corporativos e Administradores de Esquema devem estar vazios.
Cada domínio em um ambiente de TI tem seu próprio grupo de administradores de domínio que controla o respectivo domínio. Um dos maiores desafios que a maioria das organizações enfrenta é gerenciar a associação ao grupo de administradores de domínio, o que nos deixa imaginando: quantos deles são demais?
A associação ao grupo de administradores de domínio deve ser limitada
Os membros do grupo Administradores de Domínio podem gerenciar todas as estações de trabalho, servidores e controladores de domínio em seu domínio junto com o Active Directory e a Diretiva de Grupo. Para a maioria das empresas, esse poder deve ser limitado a apenas um punhado de pessoas. A menos que um administrador precise gerenciar o AD junto com todos os computadores do domínio, ele não precisa estar no grupo Administradores de Domínio.
A remoção de membros do grupo Administradores de Domínio é a primeira etapa para garantir a segurança, seguida pela delegação de privilégios aos usuários que precisam supervisionar o domínio.
Basicamente, para proteger seus usuários privilegiados, há dois passos muito importante para serem seguidos, e que são fáceis de executar. Primeiro, certifique-se de que todas as contas de usuários privilegiados tenham senhas longas—15 caracteres ou mais. Isso garante com que as senhas não sejam descobertas com facilidade. Não esqueça de inserir caracteres especiais, assim como maúsculas e minúsculas.
Além disso, altere as senhas de todos os usuários regularmente. Isso garante que a organização se mantenha segura e que o acesso seja sempre renovado e estaja em monitoramento. Para resumir, a administração de domínio é normalmente realizada por um pequeno número de pessoas, e a participação em Administradores de Domínio deve ser limitada. Quando se trata de decidir quantos funcionários devem estar no grupo de administradores de domínio, a resposta é simples: quanto menos, melhor.
Quer saber mais sobre cibersegurança e monitoramento de senhas? Confira as soluções de segurança que a ManageEngine tem a oferecer e comece a proteger sua infraestrutura hoje mesmo!
