Още от създаването си, почти точно преди 20 години с въвеждането на Windows 2000 Server Edition през февруари 1999 г., Active Directory е ключов компонент на екосистемата на сървъра на Microsoft, Основната му цел е съхраняване на информацияотносно мрежовите ресурси. Компютърните мрежи могат да бъдат доста сложни. Следователно, Active Directory също е сложен, поради което основната ни цел днес е да ви запознаем с домейните и горите на Active Directory.
Нямаме намерение да ви правим Active Directoryексперти, но ние се надяваме да хвърлим малко светлина върху тази сложна тема. Освен това, като се има предвид сравнително високото ниво на сложност на технологията, не е изненада, че са създадени няколко инструмента на трети страни за наблюдение и / или управление на различни аспекти на Active Directory. И така, ще разгледаме какво могат да направят някои от вас.
Ето как планираме пътуването си къмсърцевина на Active Directory: Ще започнем да вдигаме всякакво объркване, което би могло да има с концепцията за домейн. Той е ключов елемент на AD, но също така и ключов елемент на Интернет и въпреки това, те са два напълно различни типа домейни, които не трябва да се бъркат. След това ще въведем Active Directory, какво представлява и откъде идва. След това ще обсъдим AD домейните и дърветата, които използваме за представяне на тяхната структура. В природата група дървета се наричат гора. Е, същото е и в Active Directory, както ще видим по-нататък. Управлението и мониторинга на Active Directory ще бъде следващият ни ред за работа и накрая, докато по темата ще разгледаме някои от най-добрите инструменти за мониторинг и управление на Active Directory.
Избягване на объркване - какво е домейн?
Един домейн може да бъде много неща в зависимост от товаи дори в информационните технологии терминът домейн се използва за две много различни неща. Първият вид домейн, с който са запознати най-много компютърни потребители - дори и тези, които не са компютърни учени, е интернет домейнът. Това е група от интернет ресурси, принадлежащи на конкретна организация. Имената на домейни се използват за достъп до различни ресурси, като се използват удобни (er) имена, а не криптични IP адреси. Например addictivetips.com е името на домейна на този уебсайт. Microsoft.com е друго добре познато име на домейн и почти съм сигурен, че лесно можете да измислите още десетки.
Другото място, където терминът домейн е широкоизползван е свързан с Active Directory. Домейнът Active Directory е група от ресурси (забележите сходството с предишните домейни?), Обхванати от една единствена база данни за удостоверяване. Ще опишем AD домейни по-подробно скоро. Засега ключът е да се разбере, че един и същ термин се използва за дефиниране на две напълно несвързани понятия и че е важно да не се смесват, тъй като те определено не са едно и също нещо.
Активна директория накратко
Първият въпрос, който хората обикновено задаватActive Directory е: Какво точно е това? Отговорът е прост, това е, че Microsoft е внедряване на услуга на директория LDAP. Въпреки че този отговор е абсолютно точен, той е вероятно безполезен и повдига повече въпроси, отколкото дава отговор.
Нека копаем. Първо, услуга на директории в контекста на компютърните мрежи е база данни, която съдържа информация за всеки компонент на мрежа. Под компоненти имаме предвид всеки компютър и сървър, но също така всеки потребител или група потребители или всяка директория. Можете да мислите за това като телефонен указател. Всеки ресурс, който трябва да намери друг ресурс, го търси в директорията.
Що се отнася до LDAP част от първоначалния ни отговор, така есъкращение за лек протокол за достъп до директория. Казано по-просто, LDAP определя как информацията за ресурсите се съхранява в базата данни и как може да се получи достъп до тази информация. Това е стандартен за индустрията протокол, споделен от няколко доставчици, което, за съжаление, не означава, че различните реализации са оперативно съвместими.
Структурата на Active Directory е йерархичнаорганизация на обектите. Има три основни категории обекти: ресурси (например компютри или принтери, например), услуги (като имейл) и потребители (потребителски акаунти и групи потребители). Active Directory предоставя информация за обектите, организира ги и контролира техния достъп и сигурност. Това е, за всички цели, база данни с записи, като всеки запис има име и набор от атрибути. Всеки атрибут има име, тип и една или много стойности. Атрибутите са дефинирани в схемата на базата данни.
Можете да мислите за йерархичната структура наБаза данни на Active Directory като тази на файлова система. И точно както файловата система има контейнери (наречени директории или папки), AD има и тях. Те се наричат Организационни звена (ОУ) и помагат да се групират свързани неща. Системните администратори са свободни да създават ОУ, както сметнат за добре и не е рядкост, например, да виждат отделни ОУ за всеки отдел на организация.
Домейни на Active Directory
Сега, когато всички сме на една и съща страницаActive Directory е, нека да разгледаме домейните. Интересното е, че домейните предхождат Active Directory от няколко години. Дори преди Microsoft да пусне своя собствена услуга LDAP директория през 1999 г., домейни съществуват от първите дни на Windows NT. В типичната мрежа на Windows сървъри, поне един от тях - а често и два или повече - са конфигурирани като контролери на домейни. Те са сървърите, хостващи базата данни на домейна, като по този начин удостоверяват потребителите и контролират достъпа до ресурси. Информацията, която притежават, се възпроизвежда между тях. И не на последно място, обектите в даден домейн сте организирани по йерархичен начин.
Дърветата и гората
Дълбова аналогия често се използва за описаниейерархични структури като домейн. Но с Active Directory Microsoft реши да прокара тази аналогия една стъпка по-нататък и нарича йерархична структура на домейни дърво. Не забравяйте, че един домейн е група от ресурси под контрола на една база данни, но дърво, поради различни причини може да се състои от няколко домена. Това е нещо, което всъщност е доста често срещано в по-големите организации и изобщо не е рядкост да се вижда по един домейн за всяко подразделение на голяма компания. И за още по-големи организации дърветата могат да бъдат групирани в, предполагате, гори. Това е най-горният елемент в Active Directory и всичко останало произлиза от него.
Управление и наблюдение на Active Directory
Мониторингът е всичко! Ако сте мрежови или системни администратори, вероятно сте чували тази фраза безброй пъти. И знаеш ли какво? Това е всичко! Мониторингът е един от най-добрите начини да останете на върха на нещата. Съществуват различни видове инструменти за мониторинг, които ще ви позволят да получите точно вида на показателите, които търсите. Например, мониторингът на пропускателната способност ще отчита използването на различни сегменти в мрежата, а мониторингът на процесора ще показва показанията на процесора на сървърите ви. Повечето оперативни показатели на системи и мрежи могат да бъдат наблюдавани. Основното предимство на използването на инструменти за мониторинг е, че те са предимно автоматични. Не е нужно да ги наблюдавате постоянно. Всеки път, когато нещо не е обичайно, вашият инструмент (и) за мониторинг ще ви предупреди.
В случай на Active Directory, няколкопараметрите могат да бъдат наблюдавани. Например контролерите на домейни - сървърите, където се съхранява базата данни на даден домейн, могат да бъдат наблюдавани за отговор и ефективност. Промените в правата за достъп също биха могли да бъдат наблюдавани до известна полза. Вход - особено неуспешни - е друг параметър, който си струва да се следи, тъй като може да е индикация за злонамерена активност.
Active Directory Management е нещо друго. Microsoft предоставя няколко инструмента, за да ви помогне да управлявате Active Directory. Те ще ви позволят да създавате обекти, да присвоявате права и като цяло да извършвате по-голямата част от ежедневните дейности, свързани с управлението на AD. Въпреки това, някои от тези инструменти могат да се окажат доста тромави или непрактични за използване и няколко доставчици се активизират, за да предложат различни инструменти за управление на Active Directory, което може да направи задачата за администриране на Active Directory много по-лесна.
Най-добрите AD инструменти
Прегледахме пазара за едни от най-добритеИнструменти на Active Directory. Това, което днес имаме за вас, е комбинация от инструменти за мониторинг - някои специфични за AD и някои общи - и инструменти за управление. Всички те могат да ви помогнат - и това беше един от основните ни критерии за включване - с ежедневните ви задачи, тъй като се отнасят до Active Directory. Някои от тях са ориентирани към сигурността, докато други са ориентирани към ефективността.
1- SolarWinds Мениджър за права на достъп (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
SolarWinds е един от най-добрите издатели на софтуер за мрежово и системно администриране. Нейният водещ продукт, наречен the Монитор на ефективността на мрежата последователно оценява сред топ мрежатасистеми за мониторинг на честотната лента. Освен това компанията е известна и със своя безплатен софтуер. Говорим за по-малки инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Два страхотни примера за тези безплатни инструменти са Разширен калкулатор на подмрежата и на Киви Syslog сървър.
Въпреки донякъде подвеждащо име, което може да ви накара да повярвате, че се занимава само с разрешения за обекти, SolarWinds Мениджър за права на достъп е насочена основно към осигуряване на потребителски резервациии лесно предоставяне, проследяване и наблюдение. Той също така предлага мощен и лесен начин за управление и наблюдение на потребителското разрешение, за да се гарантира, че не се предоставят ненужни разрешения.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Мениджър за права на достъп
- Линк за изтегляне: https://www.solarwinds.com/access-rights-manager/registration
Една от най-големите сили на този продукт енейното интуитивно табло за управление на потребителите, което можете да използвате за създаване, промяна, изтриване, активиране и деактивиране на потребителски достъп до различни файлове и папки. Той има шаблони, специфични за ролите, които лесно могат да дадат на потребителите достъп до конкретни ресурси във вашата мрежа.
Също така много интересни и доста уникални са SolarWinds Мениджър за права на достъпФункции за отчитане. Софтуерът може да създава доклади, които могат да се използват като доказателство в случай на спорове или евентуални съдебни спорове. Налични са и подробни отчети за одитни цели и за съответствие със спецификациите, определени от регулаторните стандарти, приложими за вашия бизнес. Отчетите могат да бъдат създадени бързо и лесно само с няколко кликвания. Те могат да включват всяка информация, която може да ви се стори полезна. Например дейностите в журнала в Active Directory и достъпа до файлов сървър могат да бъдат включени в отчет. От потребителя зависи да ги направи максимално обобщени или подробни, колкото им е необходимо.
Атаките и / или течовете на данни често се случват, когатопапки и / или тяхното съдържание се осъществява от потребители, които нямат или не би трябвало да имат разрешение за достъп до тях, често срещана ситуация, когато потребителите получават широкообхватен достъп до папки или файлове. Най- SolarWinds Мениджър за права на достъп може да ви помогне да предотвратите тези видове течове инеоторизирани промени в поверителни данни и файлове. Той предлага на администраторите визуално представяне на разрешения за множество файлови сървъри и лесно и визуално ви позволява да видите кой има какво разрешение за какъв файл.
Цени за SolarWinds Мениджър за права на достъп се базира на броя активирани потребители в Active Directory. в SolarWinds език, активиран потребител е или активенпотребителски акаунт или акаунт за услуга. Цените за продукта започват от $ 2 995 за до 100 активни потребители. За повече потребители (до 10 000), подробни цени могат да бъдат получени, като се свържете с продажбите на SolarWinds. Ако искате да изпробвате инструмента преди да го закупите, можете да получите безплатна неограничена 30-дневна пробна версия.
2- SolarWinds сървър и монитор на приложения (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Най- SolarWinds сървър и монитор на приложения е създаден, за да помогне на администраторите да наблюдаватсървъри, техните експлоатационни параметри, техните процеси и приложения, които се изпълняват на тях. Това е един от най-добрите инструменти, които можете да използвате, за да наблюдавате вашите Active Directory контролери на домейни и критичните услуги, които те трябва да работят. Но инструментът също ще следи всеки или всичките ви сървъри. Той може лесно да мащабира от най-малките мрежи до големи със стотици сървъри - както физически, така и виртуални - разпространени в множество сайтове.
- БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds сървър и монитор на приложения
- Линк за изтегляне: https://www.solarwinds.com/server-application-monitor/registration
Мониторингът на ефективността на Active Directory, предлаган от SolarWinds сървър и монитор на приложения ви дава представа за проблемите на Active Directoryсвързани с потребителски акаунт като създаване на акаунт, опити за промяна на парола и нулиране, деактивирани и изтрити потребителски акаунти. Той също така ще предостави информация за промените в политиката за домейни и системни политики и за възстановяване на данни, точно както също така дава информация за настройките на защитната стена и други промени в системата и текущите услуги. Инструментът също така позволява мониторинг LDAP сесии. С броя на свързаните клиенти, влияещи върху натоварването на сървъра, инструментът ще следи NTDS броячите на обекти, за да предотврати претоварването на сървъра, свързано към конкретна сесия LDAP. В допълнение, софтуерът може да осигури поглед върху напредналата статистика, като LDAP активни нишки, време за обвързване, клиентски сесии, успешни връзки / сек и търсене / сек.
Първоначалната конфигурация на продукта е бързои лесно се прави с помощта на процес на автоматично откриване с два прохода. Първият пропуск открива всеки сървър, а вторият ще намира приложения на всеки открит сървър. Въпреки че този процес може да отнеме време, той може да бъде ускорен, като предостави списък с конкретни приложения, които да търсите. След като инструментът е работещ, удобният за потребителя графичен интерфейс го прави лесно. Таблото за управление на инструмента може да бъде персонализирано и ще ви позволява да показвате информация или в таблица, или в графичен формат.
Цена за SolarWinds сървър и монитор на приложения започва от $ 2 995 и се базира на броя на наблюдаваните компоненти, възли и обеми. Безплатна 30-дневна пробна версия е налична за изтегляне, ако искате да опитате продукта, преди да го закупите.
3- Безплатни AD инструменти от ManageEngine
ManageEngine е друго добре познато име със системни и мрежови администратори. негов ManageEngine OpManager пакетът е сред топ ИТ инфраструктуратаинструменти за мониторинг Подобно на някои от своите конкуренти, ManageEngine прави страхотни безплатни инструменти. А що се отнася до Active Directory, компанията предлага не по-малко от петнадесет безплатни инструменти, които могат да помогнат при наблюдението и администрирането на вашата AD инфраструктура. Има комбинация от самостоятелни програми и командлети на Powershell. Повечето от инструментите са в комплект с едно изтегляне, така че получаването им не трябва да представлява голям проблем. Нека да видим какви са най-интересните от тези инструменти.
- AD Query Tool, както подсказва името му, ви позволява да четете всички данни за атрибути, които се изискват от Active Directory
- Последно търсене на вход се използва за изброяване на последното време за влизане на всички или на избрани потребители във всички избрани контролери на домейна в домейна. Обикновено се използва за одитни и почистващи дейности.
- Active Directory Replication Manager дава възможност на администраторите да репликират данни в даден домейн, както и предоставя изчерпателни отчети за последната репликация.
- Репортер на ролите на контролера на домейна изброява всички контролери на домейна и съответните им роли в домейна.
- Инструмент за мониторинг на домейн контролер е прост, но мощен инструмент. Той автоматично ще открива домейни и ще ги показва, показва важни параметри на контролерите на домейни като използване на процесора, използване на дискове и използване на паметта.
- Мениджър на политиките за пароли позволява на едно извличане и преглед и редактиране - при условие че има подходящи права - политиката на паролата на домейна.
- Active Directory Duplicate Finder е помощна програма Powershell, която позволява на администраторите да идентифицират дублиращи се записи за атрибути на Active Directory в даден домейн.
- Управление на акаунти за услуги е създаден да ви помогне лесно да създавате, редактирате и изтривате управлявани акаунти за услуги само с няколко кликвания.
- Доклад за слаби пароли потребители помага да намерите слаби пароли в Active Directory, като сравнява паролите на потребителите със списък от над 100 000 често използвани слаби пароли.
Това са само част от многото безплатни Инструменти за активен указател предоставени от ManageEngine. Въпреки че използването на отделни инструменти за всяка отделна задача вероятно не е толкова практично, колкото използването на интегриран инструмент с всички вградени функционалности, цената на тези инструменти е трудно да се преодолее и със сигурност може да ги направи опция, която си струва да се обмисли.
4- Активен администратор
Последно в нашия списък е Активен администратор от Quest софтуер, сега част от долчинка, Това е цялостен и интегриран ActiveСофтуерно решение за управление на директории. Той преодолява пропуските, които някои от инструментите на Microsoft оставят след себе си. Това е видът инструмент, който може да улесни и бързо да се изпълнят изискванията за сигурност и одит. Той има функции, адресиращи много от най-важните области на управление на AD.
Сред основните функции на инструмента, Активен администратор предлага интегрирана, проактивна администрация. Това е също много мощен инструмент за наблюдение, който има интуитивно отчитане и сигнализиране, като ви позволява бързо да откривате промените и да отчитате за тях, като филтрирате по тип на събитието, потребител и дата, както и активност за влизане и блокиране на потребителя. Можете също да зададете сигнали за събития и автоматично да стартирате действия, базирани на предупреждения.
Цени за Активен администратор е разрешен потребителски акаунт във вашия ActiveDirectory и той започва от $ 16.37 за вечен лиценз с едногодишна поддръжка. Трябва да се закупи минимален лиценз за 20 потребителски акаунта. Безплатна 30-дневна пробна версия може да бъде изтеглена.
Коментари