Quais são as atividades periódicas de manutenção e segurança para uma implementação de médio porte do Active Directory?

2

Quais são as atividades periódicas mais comuns a serem executadas para garantir que a implementação média a grande do Active Directory seja executada sem problemas e com segurança.

    
por Santosh Chandavaram 12.02.2010 / 05:56

4 respostas

1

O DCDiag.exe é um bom lugar para começar.

    
por 12.02.2010 / 05:58
1

Adicionaremos replmon e repadmin como noções básicas - elas devem ser verificadas pelo menos uma vez por semana para garantir que a replicação do AD esteja funcionando corretamente.

Se você conseguir puxar todos os logs de eventos relevantes (Directory Service, DNS, FRS) de seus DCs, também é uma boa maneira de entender o que está acontecendo.

    
por 12.02.2010 / 11:49
1

Excluindo ou desativando antigos usuários e computadores. Os usuários são bastante fáceis, mas os computadores podem ser difíceis, dependendo da sua configuração. Confira as multidões de scripts do Powershell, eles podem realmente facilitar o gerenciamento do AD. Além disso, verifique se a estrutura da sua UO está sendo mantida. Revise os GPOs que podem não ser necessários e desative-os.

    
por 12.02.2010 / 18:08
1

Dependendo do seu ambiente, você pode querer saber quando determinados grupos alteram a associação (como o departamento de folha de pagamento). Sugiro encontrar uma ferramenta / método com a qual você esteja satisfeito. Eu tinha alguns scripts e corria o windiff para ver visualmente as mudanças.

O Microsoft Baseline Security Analyzer seria uma boa maneira de acompanhar o número de correções necessárias.

Diretório Ativo (NTP, DNS, LDAP, NTFRS)

NTP - certifique-se de que seu emulador PDC esteja sincronizando a hora da Internet.

DNS - foi-me dito nos DCs ter todo o goto um principal DC executando o DNS como o primeiro servidor DNS listado para eles, tem o segundo endereço DNS pelo ip do próprio servidor.

LDAP - Eu tinha 14 CDs para cuidar, então criei uma OU e criei contatos para cada um dos DCs, eu tinha scripts no DC a cada 10 minutos para atualizar o campo de descrição com o GMT e a hora local. Dessa forma, se meu administrador do Exchange ou qualquer outra pessoa quisesse saber quando os DCs haviam recebido a última alteração de replicação de outro site, eles poderiam verificar o dc do site local no ADUC nesse SO e ver as alterações de horário.

NTFRS - isto é o que replica informações de política de grupo. Eu tinha visto um p2v em um DC (não suportado) causar problemas para replicação de política de grupo, depois disso eu queria saber quando a política de grupo não estava replicando então eu atualizaria um arquivo txt em uma pasta de política de teste, em seguida, olhar para ver se esse arquivo atualizado nos meus controladores de domínio.

Assegure-se de manter anotações sobre quais DC também são GC, onde estão os detentores da função FSMO - e quais medidas devem ser tomadas se um dos DCs falhar.

Se você estiver bloqueando a conta após um determinado número de tentativas inválidas ou tiver uma configuração do sistema para realizar uma ação para eventos como esse, convém acioná-los periodicamente para ver se estão funcionando conforme o esperado.

Também gosto de manter uma auditoria da chave de desinstalação, informações de configuração do ip, componentes do Windows instalados.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Setup \ OcManager \ Subcomponents ipconfig / all > ip_info.txt

Marcar

    
por 14.02.2010 / 05:11