Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas de delegación de Active Directory

Mejores prácticas de delegación de Active Directory

Mejores prácticas de delegación de Active Directory

Delegar el control sobre partes específicas de la red permite a los usuarios acceder a los datos necesarios para su trabajo. Sin embargo, proporcionar acceso ilimitado a todos puede representar riesgos significativos de ciberseguridad para una organización. La delegación de Active Directory puede restringir eficazmente el acceso solo a lo que los usuarios requieren.

Siga las mejores prácticas de delegación de Active Directory a continuación para proteger su red.

¿Qué es la delegación de Active Directory?

La delegación de Active Directory (AD) le permite otorgar a los usuarios la capacidad de realizar tareas que requieren permisos elevados, sin tener que agregarlos a grupos altamente privilegiados como Administradores del Dominio y Operadores de Cuentas. Para delegar control en Active Directory, puede utilizar el Asistente para la delegación de control en la Consola de Administración de Microsoft (MMC) complemento de Usuarios y Computadoras de Active Directory (ADUC).

Cómo desarrollar un modelo de delegación de AD

Es mejor adoptar un enfoque práctico para delegar derechos. Recuerda, la simplicidad equivale a soporte, y un modelo de delegación sostenible te proporcionará grandes beneficios al permitirte controlar adecuada y eficientemente los permisos delegados de Active Directory.

Paso 1: Crear roles

El primer paso para desarrollar un modelo de delegación de Active Directory es crear un conjunto de roles de administrador y asignarles las responsabilidades correctas. Limítese a un número pequeño y manejable de roles para un control práctico de la delegación. Encontrar el equilibrio adecuado puede ser desafiante porque tener demasiados roles añade complejidad y sobrecarga de gestión, pero tener muy pocos roles no permitirá una separación adecuada de los mismos.

Las mejores prácticas sugieren utilizar los siguientes roles:

Administradores de servicio:

  • Los Enterprise Admins son responsables de la administración de servicios de alto nivel en toda la empresa. Este grupo no debe contener miembros permanentes.
  • Domain Admins son responsables de la administración de servicios de alto nivel en todo el dominio. Este grupo debe contener solo un número pequeño y manejable de administradores de confianza.
  • Los administradores de Nivel 4 son responsables de la administración del servicio en todo el dominio. Los derechos de acceso otorgados permiten la gestión solo de los servicios y características necesarios y sirven como punto de escalada para los administradores de datos.

Administradores de datos:

  • Los administradores de nivel 1 son responsables de la gestión general de objetos de directorio, incluyendo la realización de restablecimientos de contraseña, modificación de propiedades de cuentas de usuario, etc.
  • Los administradores de Nivel 2 son responsables de la creación y eliminación selectiva de cuentas de usuario y de computadora para su ubicación u organización.
  • Los administradores regionales son responsables de gestionar la estructura de la unidad organizativa (OU) y tienen permisos concedidos para crear la mayoría de los objetos dentro de su OU.
  • Los administradores de nivel 3 gestionan a todos los administradores de datos y actúan como puntos de ayuda y escalada de máximo nivel para todos los administradores regionales.

Paso 2: Asignar Responsabilidades

A continuación, desarrolle un conjunto de casos de uso para ayudar a identificar lo que cada rol puede y no puede hacer. Los casos de uso bien preparados le ayudarán a explicar los roles a los interesados en su organización y asegurar una asignación adecuada de roles. Al definir responsabilidades, clasifíquelas por frecuencia, importancia y dificultad.

Las listas de control de acceso (ACL) en contenedores de Active Directory definen qué objetos pueden ser creados y cómo se gestionan esos objetos. La delegación de derechos implica operaciones básicas en objetos, como la capacidad de ver un objeto, crear un objeto hijo de una clase especificada, o leer información de atributos y seguridad en objetos de una clase especificada. Además de estas operaciones básicas, Active Directory define Derechos Extendidos, que permiten operaciones como Enviar Como y Gestionar la Topología de Replicación.

Automatice el proceso de pruebas para asegurar que cada rol funcione como se espera.

Paso 3: Definir un modelo de seguridad de OU

Una vez que se hayan establecido sus roles y responsabilidades, debe definir su modelo de OU y grupo de seguridad. Se debe crear una OU de nivel superior (o una serie de OUs) directamente debajo del dominio para albergar todos los objetos. Esta OU de nivel superior sirve al propósito específico de definir el alcance de gestión de nivel avanzado para los Tier 4 Admins. Con una OU de nivel superior, los derechos sobre el servicio de directorio pueden comenzar en el nivel de OU en lugar de en el nivel de dominio.

Debajo de las unidades organizativas (OU) de nivel superior, debe crear jerarquías de sub-OU separadas para representar cada región o unidad de negocio con un equipo de gestión de datos independiente. Cada sub-OU regional debe tener una jerarquía de OU estándar y no extensible para gestionar objetos de directorio.

Finalmente, para evitar que los administradores escalen sus privilegios, cree grupos sub-administradores separados — un grupo de Admins de Nivel 1, un grupo de Admins de Nivel 2 y un grupo de Admins Regionales para cada subjerarquía de OU — y coloque las cuentas apropiadas en cada grupo. Colocar estas cuentas en OUs separadas permite que la gestión se restrinja a su nivel o inferior.

Paso 4: Controle cómo se utilizan los derechos delegados

La clave para un modelo de delegación exitoso es hacer cumplir el principio de mínimo privilegio. En la práctica, esto significa que cada principal de seguridad (como un usuario o cuenta de servicio) debe poder realizar solo las tareas requeridas para sus roles y nada más. Todos los administradores deben iniciar sesión como usuarios promedio y usar sus derechos privilegiados solo cuando sea necesario.

Para lograr esto sin requerir que el usuario cierre y vuelva a iniciar sesión, utilice el servicio de inicio de sesión secundario (Runas.exe). Esto permite a los usuarios elevar sus privilegios proporcionando credenciales alternativas al ejecutar scripts u otros ejecutables en servidores y estaciones de trabajo.

Cómo delegar privilegios de administrador en Active Directory

El Asistente para la delegación de control ofrece una manera fácil de delegar permisos en Active Directory. Por ejemplo, supongamos que quieres que los miembros del grupo Help Desk puedan crear, eliminar y gestionar cuentas de usuario en la OU All Users de tu dominio AD. Para hacer esto, necesitas realizar los siguientes pasos:

  1. Abra la consola de Active Directory Users and Computers.
  2. Haga clic derecho en la All Users OU y elija Delegate Control. Haga clic en el botón Next dentro del Delegation of Control Wizard.
  3. Haga clic en el botón Agregar en la página de Usuarios o Grupos del asistente.
  4. En el cuadro de diálogo Select Users, Computers, or Groups, ingrese el nombre del grupo (Help Desk), haga clic en el botón Check Names para asegurarse de que el nombre es correcto y haga clic en OK.
  5. Asegúrese de que el nombre del grupo seleccionado esté ahora en la lista de la página de Usuarios o Grupos y haga clic en Next.
  6. Seleccione Create, delete, and manage user accounts en la página de Tasks to Delegate y haga clic en Siguiente.
  7. Verifique la información de la página final del asistente y haga clic en Finish.

Puede confirmar que los permisos se escribieron correctamente revisando la pestaña de Seguridad en las propiedades de la OU objetivo.

Consideraciones al delegar permisos específicos

La delegación en Active Directory permite a las organizaciones otorgar permisos que los usuarios normalmente no tendrían sin añadirlos a grupos privilegiados. Sin embargo, las empresas deben considerar algunas cosas al delegar permisos.

Por ejemplo, un buen diseño de Unidad Organizativa (OU) juega un papel crítico en la delegación de AD. Luego, con esa OU o conjunto de OUs, establezca niveles para la seguridad. En cada nivel, debe otorgar el acceso con el menor privilegio posible. El acceso de mínimo privilegio limita lo que los usuarios pueden hacer solo al mínimo indispensable requerido para su trabajo. El acceso de mínimo privilegio es la clave para la ciberseguridad de una organización, ya que limita la cantidad de personas que tienen acceso a datos críticos.

Por ejemplo, una organización puede restringir el restablecimiento de contraseña o los permisos de desbloqueo, otorgar permisos para modificar solo números de teléfono, delegar la gestión de membresía de grupos en Active Directory a usuarios específicos, y así sucesivamente.

También es del mejor interés de una empresa evitar el uso de grupos integrados (incluidos Enterprise Admins o Domain Admins) ya que esos grupos pueden tener permisos robustos y de amplio alcance. En su lugar, es mejor delegar permisos de Active Directory en niveles y realizar auditorías regulares de Privileged Access.

Mejores prácticas de delegación de AD

Siga estas pautas para usar Active Directory Domain Services con éxito y delegar de manera adecuada.

  • Para que la delegación sea exitosa, las OU deben ser diseñadas e implementadas correctamente, y los objetos adecuados (usuarios, grupos, computadoras) deben ser colocados en ellas.
  • No utilice grupos integrados; los privilegios dentro del dominio suelen ser demasiado amplios. En su lugar, se deben crear nuevos grupos diseñados exclusivamente para la delegación.
  • Utilice OUs anidadas. Habrá varios niveles de administradores de datos dentro de AD. Algunos tendrán control delegado sobre un tipo completo de datos, como servidores — y otros podrían recibir solo un subconjunto de un tipo de datos, como servidores de archivos. Esta jerarquía se establece creando OUs y sub-OUs, con la administración delegada en la parte superior teniendo más privilegio que aquellos más abajo en la estructura de OU.
  • Realice auditorías regulares para ver quién ha recibido privilegios administrativos delegados a diferentes niveles en AD.
  • Realice auditorías anuales sobre quién tiene qué controles delegados de Active Directory.
  • Audita tu entorno en busca de actividades sospechosas que puedan ser un signo de compromiso o uso indebido de derechos delegados, como intentos de elevar privilegios para controlar objetos del equipo, obtener acceso a datos confidenciales a través de la red o cambiar o eliminar configuraciones de seguridad (como los requisitos de contraseña).
  • Considere cambiar de un modelo de delegación que depende de privilegios permanentes a una estrategia de Privileged Access Management con acceso justo a tiempo. De esa manera, puede evitar el abuso o uso malicioso de los derechos de acceso permanentes, mejorar el control sobre el uso de privilegios y reducir significativamente la superficie de su ataque.

Software de Privileged Access Management de Netwrix

Vaya más allá de la delegación de privilegios de AD para minimizar el riesgo de cuentas privilegiadas comprometidas o mal utilizadas.

Solicitar una demostración individual

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management