Existen dos niveles de directivas de seguridad, las que afectan a todo el domino o Directorio Activo o sólo a la máquina. Si el servidor es local sólo afectarán a la máquina, pero hay que tener en cuenta que si posteriormente promocionamos el servidor a Directorio Activo, algunos usuarios del equipo local pueden tomar permisos en el Directorio Activo que no deberían tener. Aquí vamos a explicar cómo configurar los permisos del servidor antes de promocionarlo para luego evitar estos problemas.
Antes de promocionarlo, cuando el servidor aún es local accedemos al Asistente de configuración de seguridad, desde Herramientas administrativas -> asistente de configuración de seguridad.
Nos aparece la pantalla de Directiva de seguridad local del servidor.
Para cambiar la directiva de contraseñas, en directivas de Cuenta elegimos Directiva de contraseñas y en el panel derecho podemos elegir que directiva cambiar.
Podemos proceder del mismo modo al anterior para las Directivas de bloqueo de cuenta.
Todos los intentos de acceso se auditan por si hubiera alguien intentado entrar en algún dominio sin permisos. Las directivas de seguridad están por grupo, por lo que conviene trabajar por grupos y no por usuarios. También conviene quitar el acceso a los usuarios para evitar que al hacer al servidor controlador de dominio cualquier usuario pueda acceder al dominio.
Para ello desde Directivas locales elegimos Asignación de derechos de usuario y seleccionamos Permitir inicio de sesión a través de terminal server.
Esto nos abre una pantalla en la que elegimos Usuarios de escritorio remoto y pulsamos el botón Quitar.
Ahora si promocionamos este servidor a servidor de Directorio Activo ya tendremos los permisos controlados.
También es posible acceder al firewall de Windows desde la pantalla de Directiva de seguridad local en Firewall de Windows con seguridad avanzada.
Requisitos previos antes de instalar Servicios de Dominio Active Directory
Para evitar problemas posteriores y agujeros de seguridad, antes de crear un dominio en el directorio activo es importante cumplir algunos requisitos:
El nombre de la máquina debe estar definido.
Hay que tener cuidado con las actualizaciones de Windows en un servidor, se pueden descargar pero es mejor que como administradores, decidamos cuando se instalan y cuales se instalan. Si no afectan a mi sistema no se instalan, antes es necesario leer lo que hace cada actualización.
Conviene instalar el servidor de impresión en un servidor aparte (puede ser una máquina antigua) Si la máquina del servidor es muy potente, se puede montar como máquina virtual, pero los discos virtuales deben ser discos físicos para cada servidor.
Además si lo vamos a crear sobre un servidor virtualizado, antes de promocionar el equipo a servidor de dominio, conviene hacer una instantánea en frio, para evitar que alguien recupere la instantánea y entre como administrador.
La carpeta de instantáneas está en General en la pestaña Avanzado:
El disco duro y su instantáneas se puede ver en la pestaña discos duros del Administrador de medios virtuales.
Hecha la instantánea en frío y cumplidos los requisitos procedemos a la creación del dominio.
No hay comentarios:
Publicar un comentario