Exportar (0) Imprimir
Expandir Tudo

Práticas recomendadas para o Active Directory

Práticas recomendadas

  • Como prática de segurança, é recomendável que você não faça logon no computador com credenciais administrativas.
    Quando fizer logon no computador sem credenciais administrativas, você poderá usar Executar como para realizar tarefas administrativas.
    Para obter mais informações, consulte Motivos pelos quais você não deve executar o computador como um administrador e Usando Executar como.
  • Para proteger ainda mais o Active Directory, é recomendável que você implemente as seguintes diretrizes de segurança:
    • Renomeie ou desabilite a conta Administrador (e a conta de convidado) em cada domínio para impedir ataques em seus domínios. Para obter mais informações, consulte Contas de usuário e de computador.
    • Proteja fisicamente todos os controladores de domínio em uma sala trancada. Para obter mais informações, consulte Controladores de domínio e Protegendo o Active Directory.
    • Gerenciar a relação de segurança entre duas florestas e simplificar a administração e a autenticação entre florestas. Para obter mais informações, consulte Relações de confiança de floresta.
    • Para garantir proteção adicional ao esquema do Active Directory, remova todos os usuários do grupo Administradores de esquema e adicione um usuário ao grupo somente quando precisar fazer alterações no esquema. Depois que a alteração tiver sido feita, remova o usuário do grupo.
    • Restrinja o acesso do usuário, do grupo e do computador a recursos compartilhados e ao filtro de configurações de Diretiva de Grupo. Para obter mais informações, consulte Tipos de grupos.
    • Evite desabilitar o uso de tráfego LDAP assinado ou criptografado para ferramentas administrativas do Active Directory. Para obter mais informações, consulte Conectando a controladores de domínio que executam o Windows 2000.
    • Alguns direitos de usuário padrão atribuídos a grupos específicos padrão podem permitir que os membros desses grupos obtenham direitos adicionais no domínio, inclusive direitos administrativos. Por isso, a organização deve confiar igualmente em todas as pessoas que fazem parte dos grupos Administradores de empresa, Admins. do Domínio, Opers. de contas, Opers. de servidores, Opers. de impressão e Operadores de cópia. Para obter mais informações sobre esses grupos, consulte Grupos padrão.
    • Use grupos globais ou grupos universais em vez de grupos de domínio local ao especificar permissões para objetos de diretório de domínio replicados para o catálogo global. Para obter mais informações, consulte Duplicação do catálogo global.
      Para obter informações gerais de segurança sobre o Active Directory, consulte Informações sobre segurança do Active Directory e Protegendo o Active Directory.
  • Estabeleça como site toda área geográfica que precise de acesso rápido às informações de diretório mais recentes.
    O estabelecimento de áreas que requerem acesso imediato às informações atualizadas do Active Directory como sites separados fornecerá os recursos necessários para atender às suas necessidades.
    Para obter mais informações, consulte Criar um site.
  • Coloque, no mínimo, um controlador de domínio em cada site e transforme pelo menos um controlador de domínio de cada site em um catálogo global.
    Sites que não têm seus próprios controladores de domínio e pelo menos um catálogo global dependem de outros sites para obter as informações de diretório e são menos eficientes.
    Para obter mais informações, consulte Habilitar ou desabilitar um catálogo global.
  • Execute backups regulares dos controladores de domínio para preservar todas as relações de confiança do domínio.
    Para obter mais informações, consulte Controladores de domínio.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft