Melhores práticas
Quando planejar construir uma infraestrutura do Active Directory, é bom saber alguns truques para evitar problemas de segurança e configuração:
Renomear Admin do domínio – O primeiro usuário usado para iniciar um ataque é o administrador, portanto, sua primeira etapa é alterar o nome padrão do administrador de domínio. use uma nomenclatura completamente diferente dos padrões, como AdminContosoAD.
Senha forte para o administrador do domínio – Segurança, segurança e segurança! O administrador do domínio deve ter uma senha forte e as credenciais devem ser reservadas.
Credenciais dedicadas para TI – Uma das primeiras regras é separar credenciais padrão do gerenciamento para evitar escalonamento de segurança em caso de ataque externo.
Atribuir a Permissão Certa – Se você tem multi admins em sua infraestrutura é fundamental atribuir a permissão certa e credenciais únicas para cada usuário. Ninguém deve estar acima dos administradores de domínio para evitar a possibilidade de alterar o esquema do AD ou modificar o modelo de floresta.
Configurar GPO – Configurando a Diretiva de Grupo por Usuários e Computador, isso permite a granularidade perfeita. Lembre-se de evitar muitos GPOs, mas também de consolidar muitas configurações em um único GPO. Não use o GPO de Diretiva de Domínio Padrão!
Senha forte para usuários – Não apenas o administrador do domínio, todos os usuários devem seguir a complexidade da senha. Se você usa o Windows 10, uma ideia é configurar o Windows Hello for Business para simplificar o método de autenticação, sem reduzir a segurança.
Ativar Lixeira – A Lixeira foi introduzida no Windows Server 2008 R2 e é a maneira perfeita de restaurar um item em poucos segundos, sem executar uma restauração do AD.
Pelo menos dois controladores de domínio – Não importa se sua infraestrutura não é uma empresa, você deve ter dois controladores de domínio para evitar falhas críticas.
Remover Itens Obsoletos – Não se esqueça de limpar sua infraestrutura de usuários e computadores onde eles não estão mais presentes ou são necessários. Isso evita problemas ou problemas de segurança.
Um controlador de domínio não é um computador – não instale nada dentro de um controlador de domínio! Nenhum software, nenhum aplicativo de terceiros, nenhuma função, nada! Um CD deve estar limpo!
Regra de Convenção de Nomenclatura – Defina uma convenção de nomenclatura antes de criar sua infraestrutura, sobre usuários, clientes, servidores, dispositivos e recursos (grupos, compartilhamento, mais). Isso ajudará você a simplesmente gerenciamento e escalabilidade.
Corrigir seus CDs – Os cybercriminosos são rápidos em explorar vulnerabilidades conhecidas, isso significa que deve manter sempre atualizada sua máquina. Planeje o horário correto para instalar as atualizações do Windows.
Auditoria – implante uma solução de auditoria para saber quem faz as alterações. Este não é um requisito GDPR, mas também é uma maneira de evitar problemas de segurança.
Máquina Virtual – Melhores Práticas
Há algumas regras a serem consideradas quando ao criar um controlador de domínio em uma máquina virtual:
O CD virtualizado é suportado – iniciando no Windows Server 2012, quando um novo recurso chamado VM Generation-ID foi adicionado, passou a ser suportada a instalação de um controlador de domínio como máquina virtual. Deve ser usado um CD físico? Depende da infra-estrutura, mas para a maioria das empresas a resposta é não. O importante é configurar a ação Iniciar como sempre iniciar em 0 segundos.
Não Checkpoint Virtualizados – Agora, os pontos de restauração para CD são suportados, mas seria melhor evitar essa operação.
Desativar sincronização de horário – os controladores de domínio esperam que estejam na parte superior da hierarquia de horário local e que o serviço de sincronização de horário do hospedeiro faça com que ele substitua qualquer outro conjunto de fontes para o serviço de tempo do Windows e isso pode causar problemas.
Não coloque controladores de domínio no estado de salvo – Quando uma máquina virtual sai de um estado salvo ou é revertida para um ponto de restauração, a única coisa que tem a garantia de corrigir seu relógio é o Serviço de Sincronização de Tempo. Mas, como informado antes, não deve ser habilitado em controladores de domínio virtualizados. Se o relógio se alterar muito, ele pode nunca se corrigir automaticamente.
Não converter o controlador de domínio – Não importa se você tem um CD físico ou virtual, o conversor está errado e não é suportado. Se deseja migrar do VMware para o Hyper-V, o controlador de domínio deve ser reinstalado do zero; mesmo caso ao quando tiver um DC físico.
Atualização no local – Como a conversão, a atualização não é suportada, portanto, se quiser instalar uma nova versão do Windows Server, planeje implantar uma nova máquina, adicione à floresta do AD, mova as funções FSMO e rebaixe o controlador de domínio mais antigo. Não há outra maneira!
Réplica – A réplica não deve ser usada na maioria dos casos. Se você tiver um site remoto de recuperação de falhas, pode ser muito melhor configurar outro controlador de domínio e usar o sistema de réplica do AD porque é melhor.
fonte
https://www.iperiusbackup.net/pt-br/active-directory-definicao-e-melhores-praticas/