Contas e grupos administrativos têm direitos, privilégios e permissões poderosas para realizar ações críticas no Active Directory (AD), servidores membros e estações de trabalho. Existem quatro grupos administrativos internos principais no AD: Enterprise Admins, Domain Admins, Schema Admins e os Administradores. Cada um desses grupos oferece vários níveis de acesso a computadores, servidores e configurações de rede, alguns deles fornecendo privilégios mais altos do que outros.
Embora os direitos e permissões concedidos a cada um desses grupos sejam diferentes, todos são poderosos a sua maneira. É normal que uma empresa tenha alguns membros nos grupos Administradores e Domain Admin para realizar tarefas diárias, mas os grupos Enterprise Admin e Schema Admins devem estar vazios.
Cada domínio em um ambiente de TI tem seu próprio grupo de administradores que o controla. Um dos maiores desafios que a maioria das organizações enfrenta é gerenciar a associação desse grupo, o que nos deixa pensando: quantos administradores de domínio são administradores demais?
A associação ao grupo Domain Admin deve ser limitada
Os membros do grupo Domain Admin podem gerenciar todas as estações de trabalho, servidores e controladores de domínio junto com o Active Directory e a Política de Grupo. Para a maioria das empresas, esse poder deve ser limitado somente a poucas pessoas. A menos que um administrador precise gerenciar o AD junto com todos os computadores no domínio, eles não precisam estar inclusos no grupo.
Remover membros do grupo é a primeira etapa para garantir a segurança, seguida pela delegação de privilégios aos usuários que precisam supervisionar o domínio. Aqui estão algumas outras coisas que você pode fazer para proteger usuários com privilégios:
- Certifique-se de que todas as contas de usuário com privilégios tenham senhas longas com 15 caracteres ou mais.
- Altere as senhas de todos os usuários regularmente.
Resumindo, a administração do domínio normalmente é realizada por um pequeno número de pessoas e a associação aos Domain Admnis deve ser limitada. Quando se trata de decidir quantos funcionários devem estar no grupo, a resposta é simples: quanto menos, melhor.
