none
Reestruturação do Active Directory RRS feed

  • Pergunta

  • Olá Galera!

    Tenho um problema relacionado ao AD aqui na empresa onde trabalho. Bom, já passaram vários analistas que administraram o AD da forma que bem entenderam e não existia documentação de nada, nem procedimentos a seguir, dai temos um ambiente totalmente fora de padrão e com vários erros e lixo.

    Pelo tipo de serviço prestado, temos vários clientes, entre eles alguns bancos, que exigem a aplicação de GPO's nas maquinas do ambiente que servem a eles. Deveriam ter mapeado essas necessidades no inicio mas não fizeram. Ou seja, temos uma politica de segurança na empresa que não é controlada por ela mesma e sim pelos seus clientes, pois como não há separação no ambiente, existem 2035 GPO's sendo aplicadas em 4000 OU's. Isso gera um gargalo e muita dor de cabeça pra quem administra. As maquinas levam muito tempo para aplicar as GPO's.

    Estou planejando uma mudança no ambiente para a separação do que é do cliente e o que é nosso. Pensei em criar subdomínios para estes clientes e separar estas GPOs para serem aplicadas somente a estes subdomínios.

    Isto é uma boa pratica? 

    É possivel separar as GPO's para estes subdominios ou elas ficam atreladas ao Dominio e juntas com as demais?

    O que me indicariam neste caso, para uma melhor separação do que é do cliente e o que é meu?

    Desde já obrigado.

    segunda-feira, 8 de junho de 2015 13:20

Respostas

  • Como opção você pode criar uma estrutura de diretórios nova e segmentar isso corretamente.

    • CUSTUMERS > CUSTUMER_A > ADMINS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > COMPUTERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > GROUPS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > SERVERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > SERVICES_ACCOUNTS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > USERS > DEPARTMENT_NAME
    • ...
    • CUSTUMERS > CUSTUMER_B > ADMINS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > COMPUTERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > GROUPS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > SERVERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > SERVICES_ACCOUNTS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > USERS > DEPARTMENT_NAME
    • ...

    Revise todas as políticas de grupo, tanto o nome para se adequar a nova estrutura de diretórios, quanto suas configurações, pois 235 objetos é um número relativamente grande na minha opinião. Com base no que eu vejo normalmente, eu posso presumir que devem existir políticas que poderiam estar consolidadas em apenas uma.

    Revise o escopo das políticas e suas configurações. Se o processo de startup e logon está levando um tempo maior do que o normal, isso pode ocorrer devido a políticas com escopos errados, lincadas em OUs incorretamente, com configurações ativas quando não deveriam estar, uso em excesso de filtros WMI, etc.

    Embora seja possível a reestruturação acima, isso irá separar apenas visualmente o que são clientes e o que não são clientes.

    No melhor dos mundos, segmentar todos em seus próprios domínios seria o ideal, mas também é possível fazer o mesmo com domínios filhos - nsfw.net, bigdealinc.nsfw.net, buildingcorp.nsfw.net, etc.

    No entanto, você terá que levar outros pontos antes como: Exchange Server, SharePoint Server, ISA, aplicações de terceiros que fazem LDAP Binding, aplicações dos clientes que podem fazer consultas LDAP no domínio atual ou até mesmo apontar diretamente para um DC específico, etc, pois haverão passos adicionais.

    Infelizmente a sua situação não é nada simples e tenho que lhe dizer que você vai ter que sacrificar a facilidade e nome do enorme esforço criando domínio filhos ou o oposto não tendo a separação do que é cliente e do que não é.

    Control the Scope of Group Policy Objects

    • Marcado como Resposta desfrage quarta-feira, 10 de junho de 2015 17:52
    quarta-feira, 10 de junho de 2015 13:22

Todas as Respostas

  • Olá,

    Neste caso, ao meu ver, lhe aconselharia a seguinte situação, como a sua empresa hoje lida com vários clientes, acredito que não seria necessário criar subdomínios, e sim, melhorar a identificação dos clientes, dividir as OU´s de usuários e computadores, e para cada cliente, criar uma identificação da nomenclatura dos desktops. Ex.:

    OU - UsuáriosCliente01 

    OU - ComputadoresCliente01

    GPO - USR_SETOR_CLIENTE01

    GPO - WKS_SETOR_CLIENTE01

    segunda-feira, 8 de junho de 2015 16:27
  • Olá Chará, rsrs

    Bom, tentaram fazer isso aqui mas como não documentaram, os sucessores não seguiram de forma correta. Posso seguir esta ideia que você sugeriu sim, mas gostaria de levantar só mais uma questão: seria interessante montar um nova rede para cada cliente e neste caso criar um domínio interno para cada um e criar uma relação de confiança entre eles e o meu domínio?

    segunda-feira, 8 de junho de 2015 17:01
  • A princípio e por curiosidade: qual é a quantidade de domínios (OUs) que vocês gerenciam e qual a razão da quantidade astrononica de GPOs?
    terça-feira, 9 de junho de 2015 00:41
  • Desculpe-me, mas a quantidade de GPO's é de 235. Bom, por alto eu contei cerca de 450 OUs. Temos somente um dominio.
    terça-feira, 9 de junho de 2015 20:18
  • Qual o número de clientes que são atendidos por esta estrutura?
    terça-feira, 9 de junho de 2015 21:54
  • Hoje temos em torno de 7 grandes clientes, com estruturas complexas e que de tempos em tempos fazem auditorias internas aqui.
    quarta-feira, 10 de junho de 2015 12:36
  • Como opção você pode criar uma estrutura de diretórios nova e segmentar isso corretamente.

    • CUSTUMERS > CUSTUMER_A > ADMINS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > COMPUTERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > GROUPS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > SERVERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > SERVICES_ACCOUNTS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_A > USERS > DEPARTMENT_NAME
    • ...
    • CUSTUMERS > CUSTUMER_B > ADMINS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > COMPUTERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > GROUPS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > SERVERS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > SERVICES_ACCOUNTS > DEPARTMENT_NAME
    • CUSTUMERS > CUSTUMER_B > USERS > DEPARTMENT_NAME
    • ...

    Revise todas as políticas de grupo, tanto o nome para se adequar a nova estrutura de diretórios, quanto suas configurações, pois 235 objetos é um número relativamente grande na minha opinião. Com base no que eu vejo normalmente, eu posso presumir que devem existir políticas que poderiam estar consolidadas em apenas uma.

    Revise o escopo das políticas e suas configurações. Se o processo de startup e logon está levando um tempo maior do que o normal, isso pode ocorrer devido a políticas com escopos errados, lincadas em OUs incorretamente, com configurações ativas quando não deveriam estar, uso em excesso de filtros WMI, etc.

    Embora seja possível a reestruturação acima, isso irá separar apenas visualmente o que são clientes e o que não são clientes.

    No melhor dos mundos, segmentar todos em seus próprios domínios seria o ideal, mas também é possível fazer o mesmo com domínios filhos - nsfw.net, bigdealinc.nsfw.net, buildingcorp.nsfw.net, etc.

    No entanto, você terá que levar outros pontos antes como: Exchange Server, SharePoint Server, ISA, aplicações de terceiros que fazem LDAP Binding, aplicações dos clientes que podem fazer consultas LDAP no domínio atual ou até mesmo apontar diretamente para um DC específico, etc, pois haverão passos adicionais.

    Infelizmente a sua situação não é nada simples e tenho que lhe dizer que você vai ter que sacrificar a facilidade e nome do enorme esforço criando domínio filhos ou o oposto não tendo a separação do que é cliente e do que não é.

    Control the Scope of Group Policy Objects

    • Marcado como Resposta desfrage quarta-feira, 10 de junho de 2015 17:52
    quarta-feira, 10 de junho de 2015 13:22
  • Muito obrigado amigo. Acho que vou partir para a a opção de domínios filhos e alterar todas as estruturas externas dependentes, apesar de dar mais trabalho, creio que ficara para sempre. Já estou filtrando as gpo's e pude observar uma serie de conflitos.

    Uma ultima pergunta, pra fechar o topico mesmo: Seria sábio eu criar um novo domínio na floresta para este cliente e estabelecer uma relação de confiança entre o meu e o dele, com o intuito de separar tudo mesmo?

    quarta-feira, 10 de junho de 2015 17:57
  • Você precisa de uma relação de confiança entre os domínios para que? Se não houver a necessidade de acesso de recursos entre os domínios, eu não vejo motivos para uma relação de confiança, logo, isso somente tornaria maior a complexidade. Keep it simple!
    quinta-feira, 11 de junho de 2015 13:10