Ya que se necesita segmentar los servicios y los datos, deben definirse los diferentes niveles de administración que son requeridos. Como añadido a los administradores, que pueden llevar a cabo servicios únicos en la organización, la guía de seguridad de Windows Server 2003 recomienda considerar varios tipos de administradores:
Administradores de servicios
Responsables de la configuración y entrega del servicio de directorio. Por ejemplo, estos administradores mantienen los controladores de dominio, el control de los ajustes de configuración de directorio extenso, y asegurarse de la disponibilidad del servicio. Debe considerarse el que los Administradores de Active Directory sean los Administradores de servicios.
La configuración del servicio de AD es con frecuencia determinado por valores de atributo. Estos valores corresponden a los ajustes de sus respectivos objetos, que están almacenados en el directorio. Consecuentemente, los administradores de servicios en AD son también administradores de datos. Una organización puede necesitar otros grupos de administradores de servicios para el diseño de AD. Algunas posibilidades incluyen:
- Un grupo de administración del dominio que es el principal responsable de los servicios de directorio. El administrador del bosque elegirá el grupo para administrar cada dominio, ya que el acceso de alto nivel se concede al administrador de dominio, estos administradores deben disponer individualmente de gran confianza. Los administradores de dominio controlan el dominio a través del grupo de Administradores de Dominio y otros grupos de built-in.
- Grupos de administradores que administran el DNS. El grupo de administradores de DNS completa el diseño de DNS y administra su infraestructura, haciéndolo mediante el grupo de Administradores de DNS.
- Grupos de administradores que administran OUs. El administrador para una OU designado, como grupo o individualmente, como responsable para cada OU, administra los datos almacenados en la OU asignada. Estos grupos pueden controlar como se delega la administración y como se aplican las políticas a los objetos dentro de sus OUs. También pueden crear nuevos subárboles y delegar su administración para aquéllos que son responsables.
- Grupos de administradores que administran la infraestructura de servidores. El grupo que es responsable de administrar los servidores, WINS, DHCP y DNS. En algunos casos el grupo que maneja la administración del dominio administrará la infraestructura DNS, ya que AD se integra con DNS y se almacena y gestiona desde los Controladores de Dominio.
Administradores de datos
Los administradores de datos de AD gestionan los datos almacenados en AD o en los equipos que están unidos a AD. Estos administradores no tienen control sobre la configuración o entrega del servicio de directorio. Son miembros de un grupo de seguridad creado en la organización. Algunas veces los grupos de seguridad predeterminados de Windows no son apropiados para todas las situaciones posibles. Por tanto, las organizaciones pueden desarrollar sus propios grupos de seguridad más aptos y mejores para su entorno. Algunas tareas diarias de un administrador de datos incluyen:
- Controlar un subconjunto de objetos en el directorio. A través del control de acceso de nivel de atributos heredado se les puede conceder el control a secciones muy específicas del directorio, pero no sobre la configuración del servicio en sí mismo.
- Administrar los equipos miembros en el directorio y los datos que almacenan. (En muchos casos los valores de atributo de los objetos almacenados en el directorio determinan la configuración del servicio de directorio)
- Se cree, razonablemente, que estos administradores se concentrarán en lo que les concierne a ellos mismos y con los mejores intereses de la propia organización. No debe permitirse la unión al bosque o dominio si los propietarios del bosque o dominio a unir poseen razones para actuar maliciosamente en contra de la organización.
- Se cree, razonablemente, que estos administradores realizarán las mejores practicas y restringirán el acceso físico a los controladores de dominio.
- Entender y aceptar los riesgos para la organización que supone la posibilidad de: que un administrador granuja aprovechando sus privilegios en la red, use cualquier aplicación, API, herramienta, editor de disco, depurador, robe SIDs desde el historial de SIDs dentro de su dominio. O que un administrador sea coaccionado, impelido o amenazado a realizar acciones que supongan una brecha en la seguridad de cualquier equipo de la red.