Active Directory или AD, както често се посочваto, е собствената версия на Microsoft за услуга на директория LDAP. Това е от времето на Windows Server 2000 и замени тогава остаряващите функции за управление на домейна на Windows сървърите. Това е изключително сложна услуга, която се грижи за удостоверяване на потребителите и оборудването, определяне на местоположението им и управление на правата за достъп. Тъй като е толкова сложен, не е изненада, че няколко разработчици са се опитали да направят инструменти, които облекчават болката при управлението на Active Directory. Днес ви представяме някои от най-добрите инструменти на Active Directory, които можете да намерите в Интернет.
Първо ще имаме обща дискусия зауслуги на директории, какви са те, тяхното предназначение и полезност и ще ви дам някои примери за тях. След това ще говорим за LDAP и X.500, два стандартизирани протокола, свързани с услугите на директории. След това ще поговорим накратко за развитието на услугите на директории на Microsoft. Това ще ни доведе до основата на нашата материя, най-добрите инструменти за Active Directory, които бихме могли да намерим. Ще ви дадем кратък преглед на всеки от тях.
Справочни услуги, какви са те
Уикипедия определя Директория като „картографиране между имената на ресурси в дадена мрежа и техните съответни мрежови адреси.”И в най-простата си форма това наистина е всичкое. Може ли да попитате, дали системата за имена на домейни (DNS) е услуга на директория? Отговорът е силно ДА! Но ако е толкова просто, защо Active Directory е толкова сложен?
Active Directory, както повечето модерни директорииуслуги, реализира много повече функционалност, отколкото просто картографиране на имена към адреси. Те са в основата на сигурността на мрежата и ще съдържат подробна информация за потребителите (потребителски акаунти) и ресурси и също са в центъра на механизмите за контрол на достъпа на повечето мрежи. Съвременната услуга на директория е база данни, в която се съхранява по-голямата част от информацията за дадена мрежа, нейните ресурси и потребители.
Услугата директория е йерархична база данни наобекти, всеки от които представлява различно цяло. Някои обекти представляват потребители, други представляват компютри или други налични ресурси, като мрежови дялове. Други обекти са контейнери за обекти. Йерархичната структура улеснява намирането на всеки един обект и позволява лесно управление на разрешения, при което обектите могат да наследяват разрешения от своя родител.
Нашата цел не е да ви направим услуга на директорияексперт, но по-скоро, за да ви даде достатъчно основна информация, за да разберете по-добре какво представлява Active Directory и откъде идва. Нека да разгледаме някои примери от реалния живот на предишни и настоящи услуги на директории, с които може да сте се сблъскали.
Няколко примера
DNS е една от първите услуги в директорията. Датира от началото на осемдесетте години. Той имаше - и все още има - една основна цел: превеждане на имена на хостове в IP адреси. Той все още е широко използван днес и е една от основите на Интернет.
Най- Мрежова информационна услуга, или NIS, беше собствената реализация на Sun Microsystems на услуга за имена, подобна на DNS за своята Unix екосистема.
нovell дirectory Сervices- позвъня се eDirectory- беше услугата за директории на Novell Netwareмрежи. Донякъде подобна на Active Directory днес, тя беше всеобхватна система, използвана не само за разделителна способност на имената, но и за удостоверяване и контрол на достъпа.
NetInfo е разработена от NEXT и, когато Apple придоби компанията, се превърна в директорията на Mac OS, преди да бъде заменена с OpenDirectory.
На последно място, NT домейни са друг пример за услуга на директория. Те са прародител на Active Directory. NT домейните се използват главно за целите на контрола на достъпа и удостоверяването.
X.500 и LDAP, два стандарта за услуги за директории
В ерата на информацията оперативната съвместимост е по-важна от всякога, което води до появата на стандарти във всяка област. Услугите на директории не са различни, съществуват два основни стандарта - LDAP и X.500
Стандартът X.500, или по-точно X.500 серии от стандарти са група от спецификации от ITU-T, обхващащи няколко аспекта на услугите за електронни справочници. Първите итерации са от 1988 г., но X.500 все още се използва широко.
Една от целите на набор от стандартни протоколикакто е предложено от X.500, е да се осигури оперативна съвместимост и да се даде възможност на системи от различни доставчици да взаимодействат. X.500 всъщност е набор от девет индивидуални протокола
Лекият протокол за достъп до директория илиLDAP, е отворен, неутрален за доставчиците, стандартен приложен протокол за достъп за достъп и поддържане на информационни услуги за разпределена директория през IP мрежа. Днес повечето реализации на директорийни услуги, включително Active Directory на Microsoft са съвместими с LDAP.
LDAP първоначално е бил предназначен като лекалтернативен протокол за достъп до X.500 услугите на директория чрез по-простия TCP / IP стек протокол. Като такива, X.500 и LDAP не са взаимно изключващи се и вместо това се допълват. Например, LDAP спецификацията гласи, че структурата на базата данни на директорийните услуги трябва да е съвместима с X.500.
Клиентите на LDAP не могат да четат само атрибутите наобекти в база данни услуги на директории, те също могат да ги променят. Това, разбира се, означава, че LDAP е защитен и предлага механизъм за удостоверяване, за да се предпази от неразрешени модификации.
От NT домейн до Active Directory
Както беше посочено по-рано, домейните на Windows NT бяхапърва форма на услуга на директории в екосистемата на Microsoft. Както можете да се досетите, те за пръв път се появиха с Windows NT, още през 1993 г. Те имаха централизирана база данни, която беше разположена на контролер на домейн, който отговаряше главно за удостоверяването на потребителя. Базата данни може да бъде репликирана на няколко контролери на домейни за излишък и за да се гарантира, че големите мрежи с много сайтове могат да удостоверяват потребителите на местно ниво.
С Windows 2000 Microsoft пусна ActiveDirectory. Това беше много необходимо подобрение в сравнение с традиционните домейни, които се използват от години. Active Directory предоставя няколко различни услуги. На първо място са услугите на домейна. Това са крайъгълният камък на мрежите на Windows. Те съхраняват информация за членовете на домейна, включително устройства и потребители, проверява техните идентификационни данни, удостоверява ги и определя правата им за достъп.
Други важни услуги на Active Directoryвключват Сертификатни услуги, които предоставят локална инфраструктура за публични ключове. Те могат да създават, валидират и отнемат сертификати за публичен ключ за вътрешна употреба в дадена организация. Такива сертификати могат да се използват за криптиране на файлове, имейли и мрежов трафик. Други услуги, предоставяни от Active Directory, включват услуги за федерация, вид единен механизъм за вход и услуги за управление на правата.
Най-добрите инструменти за активен указател
Основната характеристика на Active Directory ече е голям и сложен. И с тази сложност идва главоболието в администрацията. За щастие, много инструменти са разработени от трети страни за справяне с някои от тежестите на администрацията на AD. Това са инструментите, които проучихме и ви представяме някои от най-добрите, които можем да намерим. Този списък далеч не е обширен, тъй като там просто има твърде много инструменти.
1. SolarWinds Server & Monitor Monitor (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Известно е, че SolarWinds прави някои от най-добритеинструменти за мрежови и системни администрации. Ние предлагаме безброй пъти продукти на SolarWinds, когато например преглеждахме най-добрите инструменти за мониторинг на SNMP или най-добрите колектори и анализатори NetFlow. SolarWinds е известен и със своите безплатни инструменти, специфични за задачите инструменти, насочени към администраторите.
Не е изненада, че SolarWinds сървър & Монитор на приложения е в нашия списък. И въпреки че неприемливото му име може да не накара човек да си мисли, че това е инструмент на Active Directory, широкият му набор от функционалности го правят чудесен инструмент за наблюдение и управление на Active Directory.
Нека започнем с разглеждане на това SolarWinds Server & Monitor Monitor може да помогне за управление на AD. Първо, инструментът разполага с контрола на домейн контролер, който следи няколко оперативни параметъра. Той ще ви каже кога използването на процесора става твърде високо, кога потребителският акаунт е заключен или когато има проблем с влизането.
Софтуерът ще следи и NTDS броячите на обекти, като помага за намаляване на претоварването на сървъра. Освен това SolarWinds сървър и монитор на приложения Ви дава информация за няколко LDAP статистики, включително LDAP активни нишки, време за обвързване, клиентски сесии и успешни обвързвания и търсения в секунда.
Най- SolarWinds Сървър и монитор на приложения може да изпраща известия, когато сървърите на директориине успее да се репликира, събитие, което може да попречи на потребителите да имат достъп до папки и файлове. Той също така предоставя подробна статистика на производителността, свързана с услугите на директории като разпределена файлова система, репликация на DFS, междинни съобщения, DNS клиент, време на Windows, RPC, услуги на сървъри и работни станции, както и услуги за домейн Active Directory, само за да назовем някои от най-значимите нечий.
Но както подсказва името му, този инструмент не самоследете услугите на Active Directory, но и самите сървъри и приложенията, работещи на тях. Този пълен пакет може да варира от най-малките мрежи до големи, многосайтови мрежи със стотици физически и виртуални сървъри. И също така може да наблюдава сървъри в облачни среди като тези от Amazon Web Services и Microsoft Azure също толкова добре.
Най- SolarWinds монитор за сървър и приложения първоначално автоматично ще открие хостове и устройства навашата мрежа. След това, второ сканиране на откриване ще открие приложения, работещи на всеки сървър. След като стартира и работи, използването на този инструмент трудно може да бъде по-лесно, благодарение на интуитивния си потребителски интерфейс. Кликвайки например върху подробности за възела, например показва информацията за работата и здравословното състояние на възела.
Цени за SolarWinds сървър и монитор на приложения започва от малко под $ 2 995 и за изтегляне е безплатна пробна версия за 30 дни.
2. ManageEngine Active Directory Free Tools
ManageEngine е друго често срещано име сред систематаи мрежови администратори. Това прави OpManager, може би един от най-добрите инструменти за мониторинг на ИТ инфраструктурата. И като SolarWinds, ManageEngine също прави някои страхотни безплатни инструменти. Всъщност те имат повече от петнадесет безплатни инструменти на Active Directory които могат да помогнат при наблюдение и администрираневашата AD инфраструктура. Някои от тях са самостоятелни програми, докато други са командлети на Powershell. Едно страхотно нещо за този инструментариум е, че повечето от инструментите са в пакет едно изтегляне, Нека да видим кои са най-интересните от тези инструменти.
Най- AD Query Tool ви позволява да четете всички атрибутни данни, които виеизискайте от Active Directory, като потребител на обекти, име, фамилия, адрес и т.н. Помощната програма може също така да помогне за запитване на Active Directory Group и Computer обекти.
Най- Инструмент за генератор на CSV ще генерира CSV файл (кой би мислел?), който съдържа персонализиран масив от посочени от потребителя атрибути на Active Directory и съответните им стойности. Полученият файл може да се използва за групово управление на Active Directory.
Най- Последно търсене на вход се използва за изброяване на последното време за влизане на всички или избрани потребители във всички избрани контролери на домейна в домейна. Обикновено се използва за одитни и почистващи дейности.
Най- Terminal Session Manager е командлет на Powershell, който можете да използвате, за да идентифициратеи да управлявате множество терминални сесии в домейн от една точка. С него терминалните сесии за множество потребители в един домейн могат да бъдат управлявани, изключени или излезли.
Най- Active Directory Replication Manager позволява на администраторите да налагат репликация наданни в домейн или цялата гора. Той също така позволява репликация на данни между два контролера на домейни и ще изброява изчерпателни отчети за последната репликация.
Най- DMZ порт анализатор позволява на администраторите да проверяват състоянието на портовете, изисквани от всяко трето приложение за работа с Active Directory. Може да се използва за отваряне на подходящи портове на защитни стени.
Най- Репортер на ролите на контролера на домейна изброява всички контролери на домейна и съответните им роли в домейна. Тя може да помогне на администраторите да идентифицират всяка свързана роля на контролер на домейн.
Най- Мениджър на местни потребители помага на администраторите да управляват потребителски акаунти в домейна. Тя предоставя информация за местните потребителски акаунти, а също така позволява управление на тези акаунти, като се използва удобен потребителски интерфейс.
Най- Инструмент за мониторинг на домейн контролер е прост инструмент, който автоматично открива домейнитеи ги показва. Той ще покаже различни параметри на контролерите на домейни като използване на процесора, използване на дискове и използване на паметта. Можете също така да видите други параметри като Четене на страница в секунда, Записване на страница в секунда, Четене на файлове, Запис на файлове и т.н.
Най- Мениджър на политиките за пароли позволява на всеки потребител да извлече и прегледа правилата за паролата на домейна. Той също така позволява на потребителите с административни права да редактират политиката за паролата на домейна.
Както подсказва името му, Празен инструмент за докладване на парола се използва за намиране на потребителските акаунти с полета за парола, зададени на нула, помагайки на администраторите да избегнат проблеми, свързани със сигурността.
Най- Active Directory Duplicate Finder е полезна програма Powershell, която позволява на администраторитеидентифицирайте дублиращи се записи за атрибутите на Active Directory в даден домейн. Дублиращите се записи са удобно изброени, което помага на администраторите да осигурят безпроблемно Active Directory.
Най- DNS Reporter ви помага да получите информация, свързана с вашатаDNS инфраструктура на мрежата. Той може да показва детайлите на наличните DNS записи, техните съответни типове записи, IP адреси и подробности за услугата, просто като въведе име на домейн.
Най- Управление на акаунти за услуги е създаден да ви помогне лесно да създавате, редактирате и изтривате управлявани акаунти за услуги само с няколко кликвания. Този инструмент не изисква никакви познания за PowerShell, обичайния инструмент, използван за изпълнение на тези задачи.
Най- Доклад за слаби пароли потребители помага да намерите слаби пароли в Active Directory отсравнявайки паролите на потребителите със списък от над 100 000 често използвани слаби пароли. След това можете да принудите потребителите със слаби пароли да променят паролите си следващия път, когато влязат.
3. Верен компас
компас от ENow Software ви помага да идентифицирате скрити проблеми във вашата среда, преди да бъде компрометиран. Той позволява мрежов мониторинг в реално време на вашия Active Directory и всички контролери на домейни. компас може да гарантира, че Active Directory е здрав отнаблюдение на репликацията на DFS / FRS Освен това ще намери проблеми с разрешаването на имена на DNS и ще помогне за отстраняване на проблемни приложения, за да ви помогне да поддържате безпроблемно функционирането на AD.
компас има над 50 доклада, които включват одита наDomain Admins Group, идентифициране и премахване на неактивни потребителски акаунти и идентифициране на FSMO роли. Инструментът е бърз за инсталиране и лесен за използване. Той разполага с интуитивно и лесно за използване табло за управление, което помага да се идентифицират проблемите рано, преди да станат прекъсвания.
Подробна информация за цените за компас може да се получи, като се свържете с продажбите на Enow и можете да получите безплатно 14-дневно изпитание.
4. Anturis Active Directory Monitor
Половината работа по управление на Active Directory е да се гарантира, че всички услуги работят безпроблемно и точно това е Active Directory Monitor от Anturis е всичко. Този инструмент може да ви предупреди за ненормални ситуации чрез имейл, SMS или известия за гласови повиквания. Можете също да използвате Active Directory Monitor за да създадете базови показатели за вашата работаСървърите на Active Directory и репликационната структура, която ви позволява да разпознавате тенденциите в производителността и да помогнете да намалите риска от тесните места, преди те да окажат отрицателно въздействие върху ефективността на AD.
Най- Active Directory Monitor ще ви покаже сървър и LDAP сесии и задайтеалармени прагове. Той също така ще ви показва Kerberos и NTLM удостоверяване в секунда, като ви дава представа за общото зареждане на сървъра. И тъй като репликацията е един от най-важните аспекти на Active Directory, се наблюдават и показателите за ефективност на репликацията като състояние на репликация, DRA чакащи синхронизации на репликации и DRA чакащи операции по репликация.
Active Directory Monitor е облачна услуга и няколко абонаментаплановете са достъпни на цени от 10 $ / месец за 10 монитора до $ 650 / месец за 1000 монитора. Предлага се и безплатна версия, но тя е ограничена до 5 монитора. Всички платени планове обаче имат безплатно 30-дневно изпитание.
5. Quest Active Administrator
Лас в нашия списък е търсене Активен администратор, Това е цялостен и интегриран ActiveСофтуерно решение за управление на директории. Той преодолява пропуските, които инструментите на Microsoft оставят след себе си. Инструментите ще улеснят и по-бързо отговарят на изискванията за одит и нуждите на сигурност. Той има функции, адресиращи много от най-важните области на управление на AD.
Сред основните функции на инструмента е ActiveАдминистраторът предлага интегрирана, проактивна администрация. Той също така има интуитивно отчитане и сигнализиране, което ви позволява бързо да наблюдавате и отчитате промените, като филтрирате типа събитие, потребителя и датата, както и активността за влизане и блокиране на потребителя. Можете също да зададете сигнали за събития и да автоматизирате действия, базирани на предупреждения.
Цената за активен администратор е на активиранапотребителски акаунт във вашата AD и започва от $ 16.37 за вечен лиценз с едногодишна поддръжка. Трябва да се закупи минимален лиценз за 20 потребителски акаунта. Безплатна 30-дневна пробна версия може да бъде изтеглена.
Коментари