Active Directory nebo AD, jak je často uváděnoto je vlastní verze adresářové služby LDAP společnosti Microsoft. Bylo to již od systému Windows Server 2000 a nahradilo funkce správy domén, které se stárly, na serverech Windows. Jedná se o velmi komplexní službu, která se stará o autentizaci uživatelů a zařízení, určení jejich polohy a správu přístupových práv. Vzhledem k tomu, že je složitá, není překvapením, že se několik vývojářů pokusilo vytvořit nástroje, které zmírní bolest při správě služby Active Directory. Dnes vám přinášíme některé z nejlepších nástrojů služby Active Directory, které lze nalézt na internetu.
Nejdříve budeme mít obecnou diskusiadresářové služby, co jsou, jejich účel a pomůcka, a dá vám jejich příklad. Dále si povíme o LDAP a X.500, dvou standardizovaných protokolech týkajících se adresářových služeb. Poté si krátce povíme o vývoji adresářových služeb společnosti Microsoft. To nás přivede k jádru naší záležitosti, nejlepším nástrojům služby Active Directory, které můžeme najít. Každou z nich stručně zkontrolujeme.
Adresářové služby, co jsou
Wikipedia definuje adresářovou službu jako „mapování mezi názvy zdrojů v síti a jejich příslušnými síťovými adresami.„A ve své nejjednodušší podobě je to opravdu všechnoje. Takže se můžete zeptat, zda je systém názvů domén (DNS) adresářovou službou? Odpověď zní: ANO! Ale pokud je to tak jednoduché, proč je služba Active Directory tak složitá?
Active Directory, stejně jako většina moderních adresářůimplementuje mnohem více funkcí než jen mapování jmen na adresy. Jsou jádrem zabezpečení sítě a budou obsahovat podrobné informace o uživatelích (uživatelské účty) a zdrojích a jsou také středem mechanismů řízení přístupu většiny sítí. Moderní adresářová služba je databáze, kde je uložena většina informací o síti, jejích zdrojích a uživatelích.
Adresářová služba je hierarchická databázeobjekty, z nichž každý představuje jinou entitu. Některé objekty představují uživatele, jiné představují počítače nebo jiné dostupné zdroje, například sdílené síťové položky. Ostatní objekty jsou kontejnery na objekty. Hierarchická struktura usnadňuje nalezení libovolného objektu a umožňuje snadnou správu oprávnění, kde objekty mohou dědit oprávnění od svého nadřazeného objektu.
Naším cílem není učinit z vás adresářovou službuodborník, ale raději vám poskytne dostatek základních informací, aby lépe porozuměl, co je Active Directory a odkud pochází. Pojďme se podívat na několik skutečných příkladů minulých a současných adresářových služeb, s nimiž jste se možná setkali.
Nějaké příklady
DNS je jednou z prvních adresářových služeb. Pochází z počátku 80. let. Měl - a stále má - jediný primární účel: překlad názvů hostitelů na adresy IP. Dnes se stále běžně používá a je to jeden ze základů internetu.
The Síťová informační služba, nebo NIS, byla vlastní implementací jmenné služby Sun Microsystems podobné ekosystému Unix.
Novell Dadresář Services- zavolal eDirectory- byla adresářová služba Novell Netwaresítě. Poněkud podobné tomu, co je dnes Active Directory, šlo o všestranný systém, který se nepoužíval pouze pro překlad názvů, ale také pro autentizaci a řízení přístupu.
NetInfo byla vyvinuta společností NEXT a když společnost Apple získala společnost, stala se před jejím nahrazením adresářovou službou Mac OS OpenDirectory.
Konečně, NT domény jsou dalším příkladem adresářové služby. Jsou předky služby Active Directory. Domény NT byly primárně používány pro účely řízení přístupu a ověřování.
X.500 a LDAP, dva standardy adresářových služeb
V informačním věku je interoperabilita důležitější než kdy jindy, což způsobuje vznik standardů v každé oblasti. Adresářové služby nejsou rozdílné dva primární standardy, LDAP a X.500
X.500 standard, nebo přesněji X.Řada norem 500 je skupina specifikací ITU-T, která se týká několika aspektů služeb elektronických adresářů. První iterace sahají až do roku 1988, ale X.500 se dnes stále běžně používá.
Jeden z cílů řady standardních protokolůjak navrhuje X.500, je zajistit interoperabilitu a umožnit interakci systémů od různých dodavatelů. X.500 je ve skutečnosti sada devíti samostatných protokolů
Protokol Lightweight Directory Access Protocol neboLDAP je otevřený, dodavatelsky neutrální, průmyslový standardní aplikační protokol pro přístup a údržbu distribuovaných adresářových informačních služeb prostřednictvím sítě IP. Dnes je většina implementací adresářových služeb, včetně Active Directory společnosti Microsoft, kompatibilní s LDAP.
LDAP byl původně zamýšlen jako lehkýalternativní protokol pro přístup k adresářovým službám X.500 prostřednictvím jednoduššího zásobníku protokolů TCP / IP. X.500 a LDAP se proto vzájemně nevylučují a místo toho se doplňují. Například specifikace LDAP uvádí, že struktura databáze adresářových služeb musí být kompatibilní s X.500.
Klienti LDAP mohou nejen číst atributyobjekty v databázi adresářových služeb, mohou je také upravovat. To samozřejmě znamená, že LDAP je bezpečný a nabízí autentizační mechanismus pro ochranu před neoprávněnými úpravami.
Z domény NT na Active Directory
Jak bylo uvedeno výše, domény Windows NT bylyprvní forma adresářové služby v ekosystému Microsoft. Jak jste mohli uhodnout, poprvé se objevili u Windows NT, v roce 1993. Měli centralizovanou databázi, která byla umístěna na řadiči domény, který byl primárně zodpovědný za ověřování uživatelů. Databázi lze z důvodu redundance replikovat na několik řadičů domény a zajistit, aby velké sítě s více místy mohly uživatele ověřovat místně.
V systému Windows 2000 vydala společnost Microsoft ActiveAdresář. Bylo to tolik potřebné vylepšení oproti tradičním doménám používaným po celá léta. Služba Active Directory poskytuje několik různých služeb. V první řadě jsou to doménové služby. To jsou základní kameny sítí Windows. Ukládají informace o členech domény, včetně zařízení a uživatelů, ověřují jejich přihlašovací údaje, ověřují je a definují jejich přístupová práva.
Další důležité služby Active Directoryzahrnují certifikační služby, které poskytují infrastrukturu místního veřejného klíče. Mohou vytvářet, ověřovat a rušit certifikáty veřejných klíčů pro interní použití v organizaci. Tyto certifikáty lze použít k šifrování souborů, e-mailů a síťového provozu. Mezi další služby poskytované službou Active Directory patří federační služby, typ mechanismu jednotného přihlášení a služby správy práv.
Nejlepší nástroje služby Active Directory
Hlavní charakteristika služby Active Directory ježe je velký a složitý. A s touto složitostí přicházejí administrativní bolesti hlavy. Naštěstí bylo vyvinuto mnoho nástrojů pro řešení některých administrativních nákladů AD. To jsou nástroje, které jsme prozkoumali, a my vám představujeme některé z nejlepších, které jsme mohli najít. Tento seznam zdaleka není rozsáhlý, protože tam prostě existuje příliš mnoho nástrojů.
1. Monitor serverů a aplikací SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
SolarWinds je známo, že dělá jedny z nejlepšíchnástroje pro správu sítě a systému. Produkt SolarWinds jsme představili bezpočet časů, když jsme například zkontrolovali nejlepší monitorovací nástroje SNMP nebo nejlepší sběratele a analyzátory NetFlow. SolarWinds je také známý svými bezplatnými nástroji, nástroji specifickými pro úkoly zaměřenými na správce.
Není tedy žádným překvapením, že Server SolarWinds & Monitor aplikací je na našem seznamu. Ačkoli jeho nenáročné jméno nemusí vést k myšlence, že se jedná o nástroj Active Directory, jeho široká škála funkcí z něj činí skvělý nástroj pro monitorování a správu služby Active Directory.
Začněme se podívat, jak Monitor serverů a aplikací SolarWinds může pomoci se správou reklam. Za prvé, nástroj obsahuje monitorování řadiče domény, který monitoruje několik provozních parametrů. Řekne vám, kdy je využití CPU příliš vysoké, když je uživatelský účet uzamčen nebo když nastane problém s přihlášením.
Software bude také sledovat čítače objektů NTDS, což pomáhá snižovat přetížení serveru. Dále, Monitor serverů a aplikací SolarWinds vám umožní nahlédnout do několika statistik LDAP včetně aktivních vláken LDAP, doby vazby, klientských relací a úspěšných vazeb a vyhledávání za sekundu.
The SolarWinds Monitorování serverů a aplikací může odesílat oznámení, když adresářové serverynepodaří se replikovat, což je událost, která může uživatelům zabránit v přístupu ke složkám a souborům. Poskytuje také podrobnou statistiku výkonu související s adresářovými službami, jako je distribuovaný systém souborů, replikace DFS, zasílání zpráv mezi servery, klient DNS, čas Windows, RPC, služby serverů a pracovních stanic a doménové služby Active Directory, abychom jmenovali alespoň některé z nejvýznamnějších ty.
Jak však jeho název napovídá, tento nástroj bude nejensledovat služby Active Directory, ale také samotné servery a aplikace na nich spuštěné. Tento kompletní balíček může škálovat od nejmenších sítí po velké sítě s více servery se stovkami fyzických a virtuálních serverů. A také může monitorovat servery v cloudových prostředích, jako jsou servery Amazon Web Services a Microsoft Azure.
The Monitor serverů a aplikací SolarWinds bude zpočátku automaticky objevovat hostitele a zařízenívaší síti. Poté druhé vyhledávání zjišťuje aplikace spuštěné na každém serveru. Jakmile je tento nástroj funkční, může být používání tohoto nástroje díky intuitivnímu uživatelskému rozhraní obtížnější. Například kliknutím na Detail uzlu zobrazíte informace o výkonu a zdraví uzlu.
Ceny za Monitor serverů a aplikací SolarWinds začíná těsně pod 2 995 $ a je k dispozici bezplatná 30denní zkušební verze.
2. ManageEngine Active Directory Free Tools
ManageEngine je další běžné jméno mezi systémya správci sítě. Díky tomu je OpManager pravděpodobně jedním z nejlepších nástrojů pro monitorování IT infrastruktury. A stejně jako SolarWinds, ManageEngine také vyrábí některé skvělé bezplatné nástroje. Ve skutečnosti mají více než patnáct zdarma nástroje Active Directory které mohou pomoci s monitorováním a správouvaši AD infrastrukturu. Některé jsou samostatné programy, zatímco jiné jsou Powershell rutiny. Jedna skvělá věc na této sadě nástrojů je, že většina nástrojů je v jednom balíčku jediné stažení. Podívejme se, jaké z těchto nástrojů jsou nejzajímavější.
The AD Query Tool umožňuje číst všechna data atributů, která vyvyžadují od služby Active Directory jako jméno uživatele, příjmení telefon, adresu atd. Tento obslužný program může také pomoci při dotazování na objekty Active Directory Group a Computer.
The Nástroj pro generování CSV vygeneruje soubor CSV (kdo by si myslel?), která obsahuje vlastní pole uživatelem zadaných atributů služby Active Directory a jejich odpovídající hodnoty. Výsledný soubor lze použít pro hromadnou správu služby Active Directory.
The Poslední přihlašovací vyhledávač se používá k zobrazení posledního času přihlášení všech nebo vybraných uživatelů ve všech vybraných řadičích domény v doméně. Obvykle se používá pro činnosti auditu a čištění.
The Správce relací terminálu je rutina Powershell, kterou můžete použít k identifikacia spravovat více terminálových relací v doméně z jednoho bodu. Díky tomu lze spravovat, odpojovat nebo odhlásit terminálové relace pro více uživatelů v doméně.
The Správce replikace Active Directory umožňuje správcům vynutit replikacidata v doméně nebo v celé doménové struktuře. Umožňuje také replikaci dat mezi dvěma řadiči domény a zobrazí souhrnné zprávy o poslední replikaci.
The Analyzátor portů DMZ umožňuje správcům zkontrolovat stav portů, které vyžaduje aplikace třetích stran pro práci se službou Active Directory. Může být použit k otevření příslušných portů na firewallech.
The Reportér role řadiče domény vypíše všechny řadiče domény a jejich příslušné role v doméně. Může pomoci správcům identifikovat jakoukoli přidruženou roli řadiče domény.
The Místní správce uživatelů pomáhá správcům spravovat uživatelské účty v doméně. Poskytuje informace o místních uživatelských účtech a také umožňuje správu těchto účtů pomocí pohodlného uživatelského rozhraní.
The Monitorovací nástroj řadiče domény je jednoduchý nástroj, který automaticky detekuje doménya zobrazí je. Ukáže různé parametry řadičů domény, jako je využití CPU, využití disku a využití paměti. Můžete si také prohlédnout další parametry, jako například Čtení stránek za sekundu, Zápisy stránek za sekundu, Čtení souborů, Zápisy souborů atd.
The Správce zásad hesla umožňuje každému uživateli načíst a zobrazit zásady hesla pro doménu. Rovněž umožňuje uživatelům s právy správce upravovat zásady hesla k doméně.
Jak jeho název napovídá, Prázdný nástroj pro hlášení uživatelů hesel se používá k nalezení uživatelských účtů s poli hesla nastavenými na null, což pomáhá správcům vyhnout se problémům se zabezpečením.
The Vyhledávač duplikátů služby Active Directory je nástroj Powershell, který umožňuje administrátorůmidentifikovat duplicitní položky pro atributy Active Directory v doméně. Duplicitní položky jsou pohodlně uvedeny, což správcům pomáhá zajistit duplicitní službu Active Directory.
The Reportér DNS vám pomůže získat informace týkající se vašehosíťová infrastruktura DNS. Stačí zobrazit název dostupných DNS záznamů, jejich odpovídající typy záznamů, IP adresy a podrobnosti o službě.
The Správa účtů služeb je navržen tak, aby vám pomohl snadno vytvořit, upravit a odstranit účty spravovaných služeb několika kliknutími. Tento nástroj nevyžaduje znalost PowerShell, což je obvyklý nástroj používaný k plnění těchto úkolů.
The Zpráva o slabých heslech uživatelů pomáhá najít slabá hesla ve službě Active Directoryporovnání hesel uživatelů se seznamem více než 100 000 běžně používaných slabých hesel. Poté můžete uživatele, kteří mají slabá hesla, donutit, aby si při příštím přihlášení změnili svá hesla.
3. Enow Compass
Kompas od společnosti ENow Software vám pomůže identifikovat skryté problémy ve vašem prostředí dříve, než bude ohroženo. Umožňuje sledování sítě Active Directory a všech řadičů domény v reálném čase. Kompas můžete zajistit, aby vaše Active Directory byla zdravámonitorování replikace DFS / FRS Nalezne také problémy s překladem názvů DNS a pomůže vyřešit problémové aplikace, které vám pomohou udržet hladký chod vaší AD.
Kompas má více než 50 zpráv, které zahrnují auditDomain Admins Group, identifikace a odstranění neaktivních uživatelských účtů a identifikace rolí FSMO. Tento nástroj se rychle instaluje a snadno se používá. Je vybaven intuitivním a snadno použitelným řídicím panelem, který pomáhá identifikovat problémy dříve, než se stanou výpadky.
Podrobné informace o cenách pro Kompas lze získat kontaktováním prodeje společnosti Enow a získat bezplatnou 14denní zkušební verzi.
4. Anturis Active Directory Monitor
Polovina práce se správou služby Active Directory je zajistit, aby všechny služby fungovaly hladce, a to je přesně to, co Monitor služby Active Directory od Anturis je vše kolem. Tento nástroj vás může upozornit na neobvyklé situace prostřednictvím e-mailu, SMS nebo oznámení hlasovým hovorem. Můžete také použít Monitor služby Active Directory vytvořit základní výkonové parametry pro svůjServery Active Directory a struktura replikace vám umožňují rozpoznat trendy výkonu a pomáhají snižovat riziko úzkých míst, než budou mít negativní dopad na výkon vašeho AD.
The Monitor služby Active Directory zobrazí relace serveru a LDAP a nastaví sevarovné prahy. Zobrazí se také autentizace Kerberos a NTLM za sekundu, což vám poskytne představu o obecném zatížení serveru. A protože je replikace jedním z nejdůležitějších aspektů služby Active Directory, sledují se také metriky výkonu replikace, jako je stav replikace, synchronizace čekající na zpracování DRA a operace čekající na replikaci DRA.
Monitor služby Active Directory je cloudová služba a několik předplatnýchplány jsou k dispozici za ceny v rozmezí od 10 $ / měsíc pro 10 monitorů do 650 $ / měsíc pro 1000 monitorů. K dispozici je také bezplatná verze, ale je omezena na 5 monitorů. Všechny placené plány však mají 30denní bezplatnou zkušební verzi.
5. Quest Active Administrator
Las na našem seznamu je Hledání Aktivní správce. Toto je kompletní a integrovaný aktivníSoftwarové řešení pro správu adresářů. Překlenuje mezery, které zanechávají nástroje společnosti Microsoft. Tyto nástroje usnadní a zrychlí splnění požadavků na audit a potřeby zabezpečení. Má funkce zaměřené na mnoho nejdůležitějších oblastí správy AD.
Mezi hlavní funkce nástroje patří ActiveAdministrátor nabízí integrovanou, proaktivní správu. Má také intuitivní hlášení a upozornění, což vám umožní rychle sledovat a vykazovat změny podle filtrování typu události, uživatele a data, jakož i přihlašování a blokování uživatelů. Můžete také nastavit upozornění na události a automatizovat akce založené na výstrahách.
Ceny aktivního administrátora jsou povolenyuživatelského účtu ve vašem AD a začíná na 16,37 USD za trvalou licenci s roční podporou. Musí být zakoupena minimální licence pro 20 uživatelských účtů. Můžete si zdarma stáhnout 30denní zkušební verzi.
Komentáře