Active Directory es un componente crítico para una organización. Todas las aplicaciones empresariales utilizan el subsistema de autenticación de Active Directory antes de permitir el acceso a los datos de la aplicación. Active Directory es un componente básico que debe funcionar de manera eficaz para evitar tiempos de inactividad en aplicaciones empresariales críticas. Por ejemplo, si una aplicación diseñada internamente procesa 100 solicitudes de autenticación y el controlador de dominio no responde de manera oportuna a las solicitudes de autenticación procedentes de las aplicaciones, esto podría provocar pérdidas comerciales. Del mismo modo, es de esperar que los cambios creados en un sitio de Active Directory se replicen en todos los demás sitios de Active Directory lo antes posible. La gran pregunta es ¿cómo se realizan estas comprobaciones? Como MVP de Microsoft en Servicios de directorio, he realizado muchas interacciones con clientes locales y globales en la evaluación del estado de Active Directory. En el pasado, solía diseñar scripts individuales de PowerShell para comprobar un componente específico de Active Directory. Sin embargo, he trabajado con muchas otras herramientas automatizadas que puedo compartir con usted para que pueda elegir la mejor en función de sus necesidades.
¿Por qué realizar una evaluación de riesgos de Active Directory?
Hay varias razones por las que se debe realizar una evaluación de riesgos y salud de Active Directory, como se indica a continuación:
- Fines de auditoría y cumplimiento: Para las grandes organizaciones, es ciertamente necesario que las organizaciones cumplan con los estándares SOX, PCI, HIPPA y GDPR. Muchos de los productos de evaluación de riesgos de Active Directory siguen las directrices proporcionadas por los estándares de cumplimiento.
- Antes de pasar a la nube: Si su organización ha decidido pasar a la nube, debe considerar una comprobación de evaluación de riesgos y estado de Active Directory. Antes de decidirse a trasladarse a la nube, se debe realizar una comprobación de estado de Active Directory que incluya la comprobación de cuentas de usuario obsoletas, cuentas de usuario y equipo deshabilitadas y cualquier objeto huérfano que no se deba replicar en el poder. Del mismo modo, si decide implementar controladores de dominio en la nube, debe verificar la replicación para asegurarse de que funciona correctamente.
- Antes de realizar un gran cambio en el entorno de producción: Antes de realizar grandes cambios en el entorno de producción, es recomendable realizar una comprobación exhaustiva de todos los componentes de Active Directory. Las comprobaciones que realiza garantizan que Active Directory esté en buen estado antes de realizar un cambio importante, como la implementación de una tecnología que depende en gran medida de la infraestructura y los objetos de Active Directory.
- Fusión con otra empresa: También puede requerir que realice una comprobación de estado de Active Directory antes de que su bosque de producción de Active Directory se fusione con el bosque de Active Directory de otra empresa.
Métodos disponibles para la comprobación de estado de Active Directory
Hay varios métodos disponibles en función de sus requisitos, como el uso de scripts de Microsoft PowerShell, Microsoft ADRAP Engagement y el Análisis de riesgos y estado de TI de Office 365. Si bien hay varias herramientas disponibles en el mercado que pueden ofrecer algunas comprobaciones, no todas las herramientas pueden realizar una evaluación completa del estado y el riesgo de los bosques de Active Directory. Por ejemplo, algunas herramientas pueden no incluir comprobaciones de estado que son ciertamente necesarias y algunos productos pueden descubrir problemas ocultos, lo que, a su vez, ayuda a evitar interrupciones en el servicio.
Mediante scripts de PowerShell
Puede usar scripts de PowerShell para comprobar cada componente de Active Directory, pero necesita conocer todos los componentes que desea comprobar como parte de la comprobación de estado. Por ejemplo, es posible que haya decidido comprobar el estado de la replicación de bosques de Active Directory, pero es posible que haya olvidado comprobar otros componentes de Active Directory, como la Directiva de grupo, los sitios de Active Directory, etc. Aunque Microsoft proporciona los cmdlets de PowerShell necesarios para comprobar un componente específico de Active Directory, puede llevar meses diseñar un script de PowerShell que contenga comprobaciones para realizar en aspectos importantes de Active Directory. Por ejemplo, con el siguiente comando de PowerShell puede comprobar el estado de la replicación en un sitio de Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft ofrece un Programa de Evaluación de riesgos de Active Directory para clientes de primer nivel. El programa ADRAP cubre todas las comprobaciones que se realizarán en un entorno de Active Directory y también genera un informe sobre los problemas descubiertos por la herramienta. El programa ADRAP es realizado por un ingeniero de campo de Microsoft Premier que está calificado en el proceso de evaluación. Aunque el programa ADRAP puede descubrir todos los problemas de Active Directory utilizando la herramienta de instantáneas de Active Directory, es bastante caro y solo se puede usar para un solo bosque de Active Directory. Además de la limitación de bosque único, la herramienta ADRAP no está disponible para clientes que no tengan un contrato premier. Si tiene varios bosques de Active Directory, tendrá que pagar por cada bosque de Active Directory. También vale la pena mencionar que la herramienta ADRAP solo se puede usar durante un año.
Escáner de Salud y Riesgo de TI O365
Hay un gran producto disponible en el mercado llamado Escáner de Salud y Riesgo de TI O365. El escáner de TI O365 está diseñado para realizar una comprobación de estado completa de su ecosistema de Microsoft que incluye Active Directory, Hyper-V, Microsoft Exchange, SQL servers, Microsoft Azure, Office 365, etc. El producto puede realizar comprobaciones completas de estado y riesgo de Active Directory y proporcionar problemas y recomendaciones para solucionarlos. Una cosa buena del Escáner de Riesgos y Salud de TI O365 es que el producto es dinámico. Le permite crear sus propios controles de estado relacionados con cualquier tecnología. El escáner de riesgos y Salud de TI O365 se está convirtiendo en la primera opción para administradores de TI, arquitectos de TI y proveedores de servicios gestionados. Como puede ver en la imagen siguiente, puede agregar comprobaciones de estado de su elección haciendo clic en las etiquetas de tecnología y, a continuación, crear un perfil de evaluación:
He utilizado el escáner de TI O365 para muchos de nuestros clientes y lo encuentro bastante útil. Algunas de las características notables del Escáner de riesgos y salud de TI O365 ayudan a encontrar los problemas y riesgos de salud críticos y altos en el entorno de Active Directory, la capacidad de delegar tareas de evaluación de riesgos y salud mediante el uso del Complemento de delegación, la capacidad de programar paquetes dinámicos y ser capaz de generar un informe de evaluación de riesgos y salud rápidamente y poder personalizar el informe de acuerdo con sus necesidades.
Evaluación de salud y riesgos de Active Directory:
Proporcionamos una descripción general de por qué es necesario realizar una evaluación del estado y el riesgo de Active Directory para su bosque de producción de Active Directory. Proporcionamos métodos disponibles que podemos utilizar para realizar evaluaciones de salud y riesgos de los bosques de Active Directory. Mientras que la herramienta Microsoft ADRAP puede realizar una evaluación de Active Directory, el Escáner de Riesgos y Estado de TI de O365 puede realizar una evaluación de riesgos y estado de todo el ecosistema de Microsoft.
imagen Destacada: