AD Manager Plus para el manejo descentralizado de usuarios via Web

Las operaciones en el área IT son de gran importancia y necesarias para toda empresa, sobre todo la gestión en el Active Directory (AD), ya que cumple un rol importante dentro de la organización e impacta en la productividad de los usuarios (desde el saber el por qué del retraso en la realización de tareas en AD, la incorporación de nuevos empleados, el restablecimiento de contraseñas o el desbloqueo de cuentas).

Por ello te presentamos 3 razones del por qué la herramienta de ManageEngine ADManager Plus ayudan en la gestión de todo el Active Directory, optimizando recursos en una empresa.

  1. Automatiza operaciones críticas del Active Directory, como la creación de cuentas de usuario para nuevos empleados.
  2. Mejorar la productividad y la eficiencia de la mesa de ayuda al capacitar a los técnicos con derechos administrativos.
    ADManager Plus ofrece funciones especialmente diseñadas para ejecutar operaciones realizadas con frecuencia, como restablecer contraseñas; desbloquear o habilitar usuarios; Modificación de la pertenencia a grupos de usuarios y permisos NTFS; y trasladar usuarios a otro departamento. Le permite delegar de forma segura estas tareas a la mesa de ayuda o incluso al personal que no es de TI, que puede ejecutar fácilmente estas tareas con solo un clic. Esta característica permite a los administradores centrarse en tareas más importantes y urgentes.
  3. Completar posibles brechas de seguridad limpiando cuentas obsoletas y monitoreando los privilegios de los usuarios.
    Con ADManager Plus, se puede identificar y limpiar automáticamente inactivo, deshabilitado y caducado cuentas de usuario, así como grupos sin miembros. Con informes predefinidos que son automáticamente entregado a su bandeja de entrada, en diferentes formatos como PDF, Excel, CSV y HTML, con una función incorporada planificador, puede ver información importante específica de seguridad, como quién tiene derechos sobre otros usuarios, grupos, archivos o carpetas; usuarios que son miembros de un grupo de seguridad específico; y los usuarios permisos efectivos (obtenidos a través de la pertenencia a grupos anidados).

No solo eso, ADManager Plus es una herramienta completa que ofreces muchos más beneficios dentro de una organización:

  • Integración con múltiples plataformas para ayudar a adaptarse a las nuevas tecnologías.
  • Incluye más de 150 informes para la gestión sobre la marcha. ADManager Plus ofrece funciones de administración predefinidas para más de 150 informes, proporcionando información clave sobre cuentas de usuario de AD inactivas o bloqueadas, últimos tiempos de inicio de sesión de los usuarios y más.
  • Y… tiene aplicaciones para móviles.

Primeramente, debemos saber que consume recursos, así que pongamos mínimo 50Gb HDD, 4Gb RAM y 2Micros con 2 Núcleos cada uno, de los estándar que tengamos. De ser necesario aumentamos las prestaciones más adelante según nuestro propio criterio y alcance que le queramos dar.

Para esto, lo primero que yo hice para que no me afectara el funcionamiento de mi PDC fue montar un PDC secundario que será copia fiel del primero pero que será el ADManager su principal función.

Descargamos y descompactamos el ManageEngine_ADManager_Plus_7.0.0_Build_7053_Professional_x64_Downloadly.ir.rar, por supuesto nos hará falta también un descompactador para hacerlo, ya que tenemos un server acabadito de instalar y solo tiene replica de mi dominio y usuarios.

Ejecutamos la instalación y le dejamos terminar, reiniciamos el equipo y revisaremos que el cortafuegos de mi PDC no interfiera con la publicación del sistema. Fíjense que durante la instalación nos hace preguntas claves que debemos tener presentes, una de ellas es el puerto por el que se va a publicar el sistema, por defecto viene el 8080, yo lo deje así y tome otras medidas luego.

Primeramente, en cuanto ejecute el sistema en la propia pc del PDC lo primero que hay que loggearse es como admin local del ADManager, lo que por defecto es:
Usuario: admin
Contraseña: admin

Entramos y le cambiamos la contraseña dando en el simbolito de usuario que aparece en la parte superior derecha, ahí va a pedirme cambiar la contraseña de admin, pongamos una que sea segura y no se nos olvide para tener un acceso garantizado, seguro y por contingencia.

Vamos luego donde dice “Licencia” en la parte superior derecha y le importamos la licencia que tenemos si no se la pusimos durante la instalación.

Como medida de seguridad, que nunca esta de más, y para enmascarar la llegada a nuestro PDC, vamos a usar un proxy inverso de por medio, lo que facilitara el uso de la url sin saber los puertos abiertos en mi PDC para quienes lo usaran ni lo que hay por detrás.

Vamos a usar un webserver instalado con un nginx, que puede ser exclusivo para esto o tener otras tantas funcionalidades, ustedes deciden.

Configuramos un Virtual Hosting como proxy inverso nginx:

Creamos el fichero de configuración:

nano /etc/nginx/sites-enable/ad.conf

Contenido de ad.conf:

server {
listen 80 default_server;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name ad.syscu.net;
access_log  /var/log/nginx/access.log;
error_log   /var/log/nginx/error.log;
include /etc/nginx/ssl.conf;
location / {
proxy_set_header        Host $host;
proxy_set_header        X-Real-IP $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header        X-Forwarded-Proto $scheme;
proxy_pass          http://172.16.28.30:8080;
proxy_read_timeout  90;
proxy_redirect      http://172.16.28.30:8080 https://ad.syscu.net;
}
}

Podemos incluir acceso personalizado por IPs para mejorar la seguridad.

Ahora vamos a dar permisos y configurar nuestro acceso, primeramente:
Primero, nosotros somos los Administradores de Dominio, por lo que Pertenecemos al grupo “Admins. del dominio”, por lo que daremos todos los privilegios en el sistema a ese grupo.
Vamos a la pestaña “Delegación AD”
Yo deshabilite “Help desk de ADManager Plus” y “Asociado de RRHH de ADManager Plus”, deje habilitado el usuario “admin” para tener un seguro mientras termino de configurar todo, pero se puede deshabilitar también, no ha hecho falta su uso.
Entonces vamos a “+ Agregar Nuevo Técnico”, seleccionamos el Dominio, el usuario o el grupo del AD, le ponemos el Rol que queremos y escogemos la UO o las Uso sobre las que va a trabajar ese técnico.
En el caso nuestro escogemos el grupo “Admins. del dominio”, marcamos todos los Roles (que luego vamos a ver su transformación) y todas las uso; pues vamos a tener control completo. En todos los casos debe estar marcado el Checmark “Hacerse pasar como Admin” porque sino la persona no se podrá loggear en el sistema.
Cuando listemos los técnicos no se asusten pero los integrantes del grupo que agregamos no aparecerán listados dentro de este hasta su primer loggeo en el sistema.

Vamos a ver los Roles

Primero debo especificar que mi idea con esto es que mis delegaciones territoriales puedan ellos mismos manejar sus usuarios de su entidad sin entorpecer su orden el AD, ni los permisos, ni los grupos a los que pertenecen, en todo caso cambio de contraseña no mas, así me quito una carga y es mas seguro que hacerlo vía telefónica sin conocer a la persona, o hacer pasar al usuario por tramites interminables solo porque olvido su contraseña o se le venció o por algo necesita asistencia en ese sentido. Luego mas adelante se puede pensar en nuevas funciones que puedan cumplir en los territorios sin depender todo el rato de mi persona o del nodo nacional.
En “Delegación AD”, “Delegación del Help Desk”, “Roles del Help Desk”; podemos listar los roles disponibles y agregar o transformar los existentes, por lo que antes de darle un rol a alguno de nuestros técnicos se sugiere revisar los permisos que lleva. Se les puede dar acceso a informes y por supuesto a las funciones que les necesitemos dar para su trabajo.
Luego de revisado y creado los Roles, procedemos a agregar técnicos de la misma manera que nos agregamos nosotros mismos jugando con lo que queremos que hagan y el alcance, para esto también debemos tener bien preparados los grupos y Uso bien organizadas.

Luego, un técnico con acceso a informes básicos en su desktop del sistema y solo a cambiar contraseñas de los usuarios de su entidad que todos están en una UO definida verán su entrada al sistema por su usuario del dominio al cual hemos agregado como técnico de la siguiente forma:

Podrán generarse sus propios reportes según los que les hemos autorizado y revisar sus usuarios. También se le puede hasta poner fotos en el AD a los usuarios.

El sistema trae Informes predeterminados, pero nos da la opción en el final del Menú a la izquierda de personalizar los que necesitemos y de Programarlos y enviárnoslo a nosotros u otros por correo de manera programada por horas, diaria, semanal o mensual; es solo cuestión de jugar un poco con las opciones y se logran muchas cosas, incluso que se envíen a los responsables designados de cada entidad subordinada de sus propios usuarios. Solo tener en cuenta el poner una dirección de recepción valida y una de envió del mismo dominio para que su Sistema de correo no lo marque como SPAM.

Se puede Personalizar el desktop de cada cual según queramos, así como el logo de nuestra empresa puede estar presente tambien en la parte superior.

En la pestaña “Admin” podrán encontrar varias opciones de configuración para personalizar su sistema como poner capcha, inicio de sesión, explórenla!

En “Admin”, “Preferencias del empleado”, “Configurar búsqueda en AD”: deshabilite “Mostrar búsqueda de empleados en la página de inicio de sesión” para que solo pueda tenerse acceso a buscar en el AD loggeados y evitarnos dolores de cabeza.

En “Admin”, “Configuraciones personalizadas”, “Política de contraseñas”: puede manejar las políticas que usa para este objetivo de una forma mas amigable.

En “Delegación AD”, “Configuración”, “Ajustes de inicio de sesión”: se pueden ver muchas opciones interesantes, entre ellas las de poner capcha.

Y demás opciones de seguridad que queramos, recuerden que la seguridad nunca esta de mas y pensemos bien lo que queremos y lo que buscamos, planifiquemos y juguemos con las opciones que nos brinda el ADManager Plus que son muchas.

Suerte!!!

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 6

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

2 comentarios

  1. Firefox 86.0 Firefox 86.0 Windows 10 Windows 10
    Mozilla/5.0 (Windows NT 10.0; rv:86.0) Gecko/20100101 Firefox/86.0

    Como podría hacer ese mismo virtualhost pero para apache no nginx, que debeira cmabiar ahi saludos espero que me ayuden soy nuevo en esta amteria

  2. Firefox 91.0 Firefox 91.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0

    Cuantos dominios se pueden administrar con este sistema?

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*