POLITICAS DE SEGURIDAD Y PRODUCTIVIDAD EN ACTIVE DIRECTORY

Utilizar la administracin de polticas por medio de un objeto de directiva de grupo.

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de
una o ms polticas del sistema. Cada una de las polticas del sistema establece
una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para:

Cambio de contraseas a cada 2 meses

Roles de usuarios.

Hay dos tipos troncales de directivas segn su funcin:

1.

2.

Directivas de seguridad: Cuntos caracteres tiene una

contrasea? Cada cuanto tiempo debe ser cambiada sta?,
etc. Pueden ser aplicadas:
a.

A nivel de dominio: Son aplicadas en todas las

mquinas del dominio.

b.

A nivel de controladores de dominio: Se aplican tan

slo en los controladores de dominio, pero sin suplantar a
las del dominio (en caso de entrar en contradiccin una y
otra, se aplica la del dominio, no la de los controladores de
dominio).

Directivas de Entorno (GPO -> Group Policy Object):

Quin tiene acceso al panel de control? Cul es el tamao
mximo del archivo de registro de sistema? Pueden ser
aplicadas:

a.

A nivel de equipo local

b.

A nivel de sitio

c.

A nivel de dominio

d.

A
nivel
de Unidad
-> Organizational Unit).

Organizativa

(OU

Directivas segn el objeto al que configuran

Respecto al objeto al que configuran tambin son dos:

e.

Configuracin del equipo: que se divide en:

i.

Configuracin de software

ii.

Configuracin de Windows

iii.

f.

Configuracin del usuario, que al igual que la de

Windows se divide en:

i.

Configuracin de software

ii.

Configuracin de Windows

iii.

Plantillas administrativas

Plantillas administrativas

Prcticas recomendadas
Como prctica recomendada de seguridad, se recomienda que no
inicie una sesin en el equipo con credenciales administrativas.
Si ha iniciado una sesin en el equipo sin credenciales administrativas,
puede utilizar Ejecutar como para llevar a cabo las tareas administrativas.

Para obtener ms informacin, vea Por qu no debe trabajar en el equipo

como administrador y Utilizar Ejecutar como.
Para ofrecer proteccin adicional en Active Directory, se recomienda
que implemente las siguientes normas de seguridad:
o Cambie el nombre o deshabilite la cuenta Administrador (y la cuenta
de invitado) en todos los dominios para evitar intrusiones en los
dominios. Para obtener ms informacin, vea Cuentas de usuarios y
equipos.

o Proteja fsicamente todos los controladores de dominio en una sala

cerrada. Para obtener ms informacin, vea Controladores de
dominio y Proteger Active Directory.
o Administrar la relacin de seguridad entre dos bosques y simplificar
la administracin de seguridad y la autenticacin entre bosques.
Para obtener ms informacin, vea Confianzas de bosque.
o Para proporcionar proteccin adicional para el esquema de Active
Directory, quite todos los usuarios del grupo Administradores de
esquema y agregue un usuario al grupo slo cuando sea necesario
realizar cambios en el esquema. Una vez realizado el cambio, quite
el usuario del grupo.
o Restrinja el acceso de usuarios, grupos y equipos a los recursos
compartidos y a la configuracin de Directiva de grupo de filtros.
Para obtener ms informacin, vea Tipos de grupos.
o Procure no deshabilitar el uso de trfico LDAP cifrado o firmado para
las herramientas administrativas de Active Directory. Para obtener
ms informacin, veaConectar con controladores de dominio que
ejecutan Windows 2000.
o Algunos derechos de usuario predeterminados asignados a grupos
predeterminados especficos pueden permitir a los miembros de
esos grupos obtener derechos adicionales en el dominio, incluidos
derechos administrativos. Por tanto, su organizacin debe confiar de
igual modo en todas las personas que sean miembros de los grupos
Administradores de organizacin, Administradores de dominio,
Operadores de cuentas, Operadores de servidores, Operadores de
impresin y Operadores de copia de seguridad. Para obtener ms
informacin acerca de estos grupos, vea Grupos predeterminados.
o Utilice grupos globales o universales en lugar de grupos locales de
dominio al especificar permisos en los objetos del directorio de
dominio replicados en el catlogo global. Si desea obtener ms
informacin,
vea Replicacin
del
catlogo
global.

Para obtener informacin de seguridad general acerca de Active

Directory,
vea Informacin
de
seguridad
para
Active
Directory y Proteger Active Directory.
Establezca como un sitio todas las reas geogrficas que requieran
acceso rpido a la informacin de directorio ms reciente.
Al establecer como sitios independientes las zonas que requieren tener
acceso inmediato a informacin actualizada de Active Directory, les est
dotando
de
los
recursos
necesarios.
Para obtener ms informacin, vea Crear un sitio.

Coloque al menos un controlador de dominio en cada sitio y haga que

uno de los controladores de dominio del sitio, como mnimo, sea un
catlogo
global.
Los sitios que no disponen de sus propios controladores de dominio y de, al
menos, un catlogo global dependen de otros sitios para obtener la
informacin de directorio y son, por tanto, menos eficaces.

Para obtener ms informacin, vea Habilitar o deshabilitar un catlogo

global.
Realice copias de seguridad peridicas de los controladores de
dominio para conservar todas las relaciones de confianza del
dominio.
Para obtener ms informacin, vea Controladores de dominio.