La idea central es evitar darle a cualquier cuenta o usuario la gama completa de privilegios de administrador. En cambio, desglosa las responsabilidades administrativas en roles más pequeños y más específicos:
* Administradores de dominio: Estas cuentas tienen un control casi total sobre todo el dominio. Este debería ser un grupo muy limitado de personas altamente confiables.
* administradores empresariales: Este grupo tiene el nivel más alto de privilegios en un bosque de activo. Sus miembros pueden manejar todos los dominios en el bosque. El acceso debe ser extremadamente restringido.
* Administradores del servidor: Cuentas con privilegios administrativos específicos para un solo servidor. Estos podrían usarse para administrar aplicaciones, servicios u otros aspectos de un servidor sin otorgar acceso a todo el dominio.
* Administradores de aplicaciones específicos: Para tareas como administrar un servidor de base de datos o servidor web, puede crear cuentas de usuario separadas que solo tengan los privilegios necesarios para esas aplicaciones.
Los beneficios de esta separación incluyen:
* superficie de ataque reducido: Si una cuenta se ve comprometida, el daño se limita a las tareas que pueden realizar la cuenta. Una cuenta de administrador de dominio comprometida es mucho más devastadora que una cuenta comprometida con solo acceso a un solo servidor de aplicaciones.
* Responsabilidad mejorada: Es más fácil rastrear quién realizó qué cambios cuando los administradores tienen roles y responsabilidades claramente definidos.
* Principio de menor privilegio: Cada usuario o servicio solo tiene los permisos mínimos necesarios para realizar sus tareas.
Cómo implementar la separación de roles en Windows Server 2008:
Lo logras principalmente a través de:
* Creación de cuentas y grupos de usuarios específicos: En lugar de usar la cuenta de administrador incorporada para todo, cree muchas cuentas más pequeñas y más enfocadas.
* Uso de la política de grupo: Para asignar derechos y permisos específicos a estas cuentas y grupos.
* Delegación de control: Uso de las funciones de delegación de Active Directory para otorgar solo los privilegios necesarios a usuarios o grupos específicos para administrar recursos particulares.
* Uso de diferentes cuentas de servicio: Ejecución de servicios bajo cuentas que tienen privilegios mínimos.
En resumen, la "separación de roles de administración" en Windows Server 2008 no es una característica singular, sino una estrategia de seguridad implementada a través de una cuidadosa administración de cuentas de usuarios, política de grupo y adherencia al principio de menor privilegio. Es un aspecto crucial para asegurar un entorno de Windows Server 2008.