- - Úvod do domén a lesů služby Active Directory - Nejlepší nástroje služby Active Directory

Úvod do domén a lesů služby Active Directory - Nejlepší nástroje služby Active Directory

Již od svého založení, téměř přesně před 20 lety zavedením systému Windows 2000 Server Edition v únoru 1999, Aktivní adresář byl klíčovou součástí ekosystému serveru Microsoft. Jeho primárním účelem je uchovávání informacío síťových zdrojích. Počítačové sítě mohou být poměrně komplikované. V důsledku toho je služba Active Directory také komplikovaná, a proto je naším hlavním cílem dnes poskytnout úvod do domén a domén doménové struktury Active Directory.

Nemáme v úmyslu učinit z vás Active Directoryodborníci, ale naše naděje je vrhnout nějaké světlo na toto složité téma. Vzhledem k relativně vysoké úrovni složitosti technologie není žádným překvapením, že bylo vytvořeno několik nástrojů třetích stran pro sledování a / nebo správu různých aspektů služby Active Directory. Podíváme se tedy na to, co pro vás mohou někteří udělat.

Zde je návod, jak plánujeme naši cestu dojádro služby Active Directory: Začneme tím, že odstraníme jakýkoli zmatek s konceptem domény. Je to klíčový prvek AD, ale také klíčový prvek internetu, a přesto se jedná o dva zcela odlišné typy domén, které by neměly být zaměněny. Poté představíme Active Directory, co to je a odkud pochází. Dále probereme AD domény a stromy, které používáme k reprezentaci jejich struktury. V přírodě se skupina stromů nazývá les. Totéž platí ve službě Active Directory, jak uvidíme dále. Správa a monitorování služby Active Directory bude naším dalším obchodním záměrem a na závěr si projdeme některé z nejlepších nástrojů pro sledování a správu služby Active Directory.

Jak se vyhnout záměně - Co je to doména?

Doména může být mnoho věcí v závislosti na tom, copole, ve kterém se nacházíte. A dokonce i v oblasti informačních technologií se termín doména používá pro dvě velmi odlišné věci. Prvním typem domény, kterou většina uživatelů počítačů - i těch, kteří nejsou počítačovými vědci - zná, je internetová doména. Je to skupina internetových zdrojů patřících ke konkrétní organizaci. Názvy domén se používají k přístupu k různým prostředkům pomocí uživatelsky příjemných (er) jmen, nikoli kryptických IP adres. Například addictivetips.com je doménové jméno tohoto webu. Microsoft.com je další známý název domény a jsem si jistý, že si snadno pomyslíte na desítky dalších.

Další místo, kde je termín doména širocepoužitý souvisí s Active Directory. Doména Active Directory je skupina zdrojů (všimněte si podobnosti s předchozími doménami?), Na kterou se vztahuje jediná ověřovací databáze. Popíšeme AD domény brzy podrobněji. Klíčem je prozatím pochopit, že stejný pojem se používá k definování dvou zcela nesouvisejících konceptů a že je důležité je nemíchat, protože rozhodně nejsou totéž.

Active Directory v kostce

První otázka, na kterou se lidé obecně ptajíActive Directory je: Co to je, přesně? Odpověď je jednoduchá, jedná se o implementaci adresářové služby LDAP společností Microsoft. I když je tato odpověď naprosto přesná, je možná zbytečná a vyvolává více otázek, než odpovídá.

Pojďme dolů. Za prvé, adresářová služba v kontextu počítačových sítí je databáze, která obsahuje informace o každé součásti sítě. Komponenty znamenají každý počítač a server, ale také každého uživatele nebo skupinu uživatelů nebo každý adresář. Můžete si to představit jako telefonní seznam. Každý prostředek, který potřebuje najít jiný prostředek, jej vyhledá v adresáři.

Pokud jde o část LDAP naší počáteční odpovědi, jezkratka pro Lightweight Directory Access Protocol. Jednoduše řečeno, LDAP definuje, jak jsou informace o prostředcích uloženy v databázi a jak k nim lze přistupovat. Jedná se o průmyslový protokol sdílený několika prodejci, což bohužel neznamená, že různé implementace jsou interoperabilní.

Struktura služby Active Directory je hierarchickáorganizace objektů. Existují tři primární kategorie objektů: prostředky (například počítače nebo tiskárny), služby (například e-mail) a uživatelé (uživatelské účty a skupiny uživatelů). Služba Active Directory poskytuje informace o objektech, organizuje je a řídí jejich přístup a zabezpečení. Pro všechny účely je to databáze záznamů, přičemž každá položka má jméno a sadu atributů. Každý atribut má název, typ a jednu nebo více hodnot. Atributy jsou definovány ve schématu databáze.

Můžete myslet na hierarchickou strukturuDatabáze Active Directory jako souborový systém. A stejně jako souborový systém obsahuje kontejnery (nazývané adresáře nebo složky), AD je také má. Nazývají se Organizační jednotky (OU) a pomáhají seskupovat související věci dohromady. Správci systému mohou vytvářet organizační jednotky, jak uzná za vhodné, a není neobvyklé, například vidět jednotlivé organizační jednotky pro každé oddělení organizace.

Domény služby Active Directory

Teď, když jsme všichni na stejné stránce jako coActive Directory je, podívejme se na domény. Je zajímavé, že domény předcházejí Active Directory o několik let. Ještě předtím, než společnost Microsoft v roce 1999 vydala svou vlastní adresářovou službu LDAP, existovaly domény již od počátků Windows NT. V typické síti serverů Windows je alespoň jeden z nich - a často dva nebo více - nakonfigurován jako řadiče domény. Jsou to servery, které hostují databázi domén, čímž ověřují uživatele a řídí přístup ke zdrojům. Informace, které drží, se mezi nimi replikují. A v neposlední řadě objekty v doméně jsou organizované hierarchicky.

Stromy a les

K popisu se často používá analogie stromuhierarchické struktury, jako je doména. Ale s Active Directory se Microsoft rozhodl posunout tuto analogii o krok dále a nazývá hierarchickou strukturu domén stromem. Pamatujte, že doména je skupina prostředků pod kontrolou jedné databáze, ale strom může být z různých důvodů tvořen několika doménami. To je ve skutečnosti docela běžné u větších organizací a není vůbec neobvyklé vidět jednu doménu pro každou divizi velké společnosti. A pro ještě větší organizace mohou být stromy seskupeny do lesů. Toto je nejvyšší prvek ve službě Active Directory a vše ostatní z něj pochází.

Stromy a lesy ve službě Active Directory

Správa a sledování služby Active Directory

Sledování je všechno! Pokud jste správci sítě nebo systému, pravděpodobně jste tuto frázi slyšeli nespočetkrát. A víš ty co? Je to všechno! Monitorování je jedním z nejlepších způsobů, jak zůstat na špičce. Existují různé typy monitorovacích nástrojů, které vám umožní přesně zjistit typ metrik, po kterých jste. Například sledování šířky pásma bude informovat o použití různých segmentů sítě, sledování CPU zobrazí měřiče CPU vašich serverů. Lze monitorovat většinu provozních metrik systémů a sítí. Hlavní výhodou použití monitorovacích nástrojů je to, že jsou většinou automatické. Nemusíte je neustále sledovat. Kdykoli je něco neobvyklého, monitorovací nástroje vás upozorní.

V případě služby Active Directory několikparametry lze sledovat. Například řadiče domény - servery, kde jsou uloženy databáze domény - by mohly být sledovány z hlediska reakce a výkonu. K určitým výhodám lze také sledovat změny přístupových práv. Přihlašovací údaje - zejména neúspěšné - jsou další parametry, které stojí za sledování, protože by to mohlo být známkou škodlivé činnosti.

Správa Active Directory je něco jiného. Společnost Microsoft poskytuje několik nástrojů, které vám pomohou spravovat službu Active Directory. Umožní vám vytvářet objekty, přidělovat práva a obecně provádět většinu každodenních činností souvisejících se správou AD. Některé z těchto nástrojů se však mohou ukázat jako poměrně těžkopádné nebo nepraktické a několik dodavatelů se zvýšilo, aby nabídli různé nástroje pro správu služby Active Directory, což může mnohem snadněji usnadnit správu služby Active Directory.

Nejlepší AD nástroje

Prohledali jsme trh pro některé z nejlepšíchNástroje Active Directory. Dnes pro vás máme kombinaci nástrojů pro monitorování - některé specifické pro AD a některé obecné - a nástroje pro správu. Všechny vám mohou pomoci - a to bylo jedno z našich hlavních kritérií pro zahrnutí - s vašimi každodenními úkoly, které se týkají služby Active Directory. Některé jsou zaměřeny na bezpečnost, zatímco jiné jsou zaměřeny na výkon.

1- SolarWinds Správce přístupových práv (ZKUŠEBNÍ VERZE ZDARMA)

SolarWinds je jedním z nejlepších vydavatelů softwaru pro správu sítě a systému. Její vlajková loď se jmenovala Sledování výkonu sítě trvale patří mezi nejlepší síťsystémy pro monitorování šířky pásma. Společnost je také známá svým svobodným softwarem. Mluvíme o menších nástrojích, z nichž každý řeší konkrétní potřeby správců sítě. Dva skvělé příklady těchto bezplatných nástrojů jsou Pokročilá kalkulačka podsítě a Server Kiwi Syslog.

Navzdory poněkud zavádějícímu jménu, které by vás mohlo vést k přesvědčení, že se jedná pouze o povolení objektů, SolarWinds Správce přístupových práv je primárně zaměřen na poskytování uživatelůa unprovisioning, tracking a monitoring easy. Nabízí také výkonný a snadný způsob správy a monitorování uživatelských oprávnění, aby bylo zajištěno, že nebudou udělena zbytečná oprávnění.

Screenshot aplikace SolarWinds Access Rights Manager

  • ZKUŠEBNÍ VERZE ZDARMA: SolarWinds Správce přístupových práv
  • Odkaz ke stažení: https://www.solarwinds.com/access-rights-manager/registration

Jednou z největších sil tohoto produktu jejeho intuitivní ovládací panel pro správu uživatelů, pomocí kterého můžete vytvářet, upravovat, mazat, aktivovat a deaktivovat přístupy uživatelů k různým souborům a složkám. Obsahuje šablony specifické pro role, které mohou uživatelům snadno poskytnout přístup ke konkrétním prostředkům ve vaší síti.

Také velmi zajímavé a zcela unikátní jsou SolarWinds Správce přístupových právFunkce hlášení. Software může vytvářet zprávy, které lze použít jako důkaz v případě sporů nebo případných soudních sporů. K dispozici jsou také podrobné zprávy pro účely auditu a dodržování specifikací stanovených regulačními normami, které se vztahují na vaše podnikání. Přehledy lze rychle a snadno vytvářet pomocí několika kliknutí. Mohou obsahovat jakékoli informace, které považujete za užitečné. Například do protokolu mohou být zahrnuty činnosti protokolu v přístupu ke službě Active Directory a přístup k souborovému serveru. Je na uživateli, aby je učinil tak souhrnným nebo podrobným, jak je potřeba.

K útokům nebo únikům dat často dochází, kdyžke složkám a / nebo jejich obsahu přistupují uživatelé, kteří k nim nemají nebo by neměli mít oprávnění, což je běžná situace, kdy je uživatelům umožněn široký přístup ke složkám nebo souborům. SolarWinds Správce přístupových práv vám může pomoci zabránit těmto typům úniků aneautorizované změny důvěrných dat a souborů. Nabízí správcům vizuální reprezentaci oprávnění pro více souborových serverů a umožňuje snadno a vizuálně vidět, kdo má jaká oprávnění k danému souboru.

Ceny za SolarWinds Správce přístupových práv je založeno na počtu aktivovaných uživatelů v rámci služby Active Directory. v SolarWinds aktivovaný uživatel je buď aktivníuživatelský účet nebo účet služby. Ceny za produkt začínají na 2 995 USD až pro 100 aktivních uživatelů. Pro více uživatelů (až 10 000) lze podrobné ceny získat kontaktováním prodejů společnosti SolarWinds. Pokud chcete, aby nástroj před jeho zakoupením vyzkoušel, můžete získat bezplatnou neomezenou 30denní zkušební verzi.

2- Monitor serverů a aplikací SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)

The Monitor serverů a aplikací SolarWinds byl navržen tak, aby pomohl správcům monitorovatservery, jejich provozní parametry, jejich procesy a aplikace, které na nich běží. Je to jeden z nejlepších nástrojů, které můžete použít ke sledování vašich řadičů domény Active Directory a kritických služeb, které musí být spuštěny. Tento nástroj však bude sledovat i všechny nebo všechny vaše servery. Lze snadno škálovat od nejmenších sítí po velké se stovkami serverů - fyzických i virtuálních - rozložených na více webech.

SolarWinds Server a Application Monitor Dashboard

  • ZKUŠEBNÍ VERZE ZDARMA: Monitor serverů a aplikací SolarWinds
  • Odkaz ke stažení: https://www.solarwinds.com/server-application-monitor/registration

Monitorování výkonu služby Active Directory nabízené serverem Monitor serverů a aplikací SolarWinds vám umožní nahlédnout do problémů se službou Active Directorysouvisející s uživatelským účtem, jako je vytvoření účtu, změna hesla a pokusy o reset, zakázané a smazané uživatelské účty. Poskytne také informace o změnách domén a systémových zásad a obnově dat, stejně jako poskytuje přehled o nastavení brány firewall a dalších systémových změnách a aktuálně provozovaných službách. Tento nástroj také umožňuje monitorování relací LDAP. S počtem připojených klientů ovlivňujících zatížení serveru bude nástroj sledovat čítače objektů NTDS, aby zabránil přetížení serveru připojenému ke konkrétní relaci LDAP. Kromě toho může software poskytnout nahlédnutí do pokročilých statistik, jako jsou aktivní vlákna LDAP, čas vazby, relace klienta, úspěšné vazby / sec a vyhledávání / sec.

Počáteční konfigurace produktu je rychláa snadno se provádí pomocí dvouprůchodového automatického vyhledávacího procesu. První průchod objevuje každý server a druhý najde aplikace na každém objeveném serveru. Přestože tento proces může chvíli trvat, lze jej urychlit dodáním seznamu konkrétních aplikací, které je třeba hledat. Jakmile je nástroj spuštěn, uživatelsky přívětivé uživatelské rozhraní umožňuje jeho používání hračkou. Ovládací panel nástroje lze přizpůsobit a umožní vám zobrazit informace v tabulce nebo grafickém formátu.

Cena za Monitor serverů a aplikací SolarWinds začíná na 2 995 $ a je založen na počtu sledovaných komponent, uzlů a svazků. Bezplatná 30denní zkušební verze je k dispozici ke stažení, pokud si chcete produkt vyzkoušet před zakoupením.

3- Zdarma AD nástroje od ManageEngine

SpravovatEngine je další známé jméno se správci systému a sítě. Své ManageEngine OpManager balíček patří mezi špičkové IT infrastrukturymonitorovací nástroje. Stejně jako někteří jeho konkurenti i společnost ManageEngine vyrábí skvělé nástroje zdarma. A pokud jde o Active Directory, společnost nabízí nejméně patnáct bezplatných nástrojů, které mohou pomoci s monitorováním a správou vaší AD infrastruktury. Existuje kombinace samostatných programů a rutin Powershell. Většina nástrojů je spojena do jediného souboru ke stažení, takže jejich získání by nemělo být velkým problémem. Podívejme se, jaké jsou nejzajímavější z těchto nástrojů.

  • AD Query Tool, jak název napovídá, umožňuje číst všechna data atributů, která požadujete ze služby Active Directory
  • Poslední přihlašovací vyhledávač se používá k zobrazení posledního času přihlášení všech nebo vybraných uživatelů ve všech vybraných řadičích domény v doméně. Obvykle se používá pro činnosti auditu a čištění.
  • Správce replikace Active Directory umožňuje správcům replikaci dat v doméně a poskytuje komplexní zprávy o poslední replikaci.
  • Reportér role řadiče domény vypíše všechny řadiče domény a jejich příslušné role v doméně.
  • Monitorovací nástroj řadiče domény je jednoduchý, ale výkonný nástroj. Automaticky zjistí domény a zobrazí je, přičemž zobrazí důležité parametry řadičů domény, jako je využití CPU, využití disku a využití paměti.

ManageEngine Active Directory DC Monitorovací nástroj

  • Správce zásad hesla umožňuje jednomu načtení a zobrazení a úpravě zásady hesel v doméně (za předpokladu, že má správná práva).
  • Vyhledávač duplikátů služby Active Directory je obslužný program Powershell, který umožňuje správcům identifikovat duplicitní položky pro atributy Active Directory v doméně.
  • Správa účtů služeb je navržen tak, aby vám pomohl snadno vytvořit, upravit a odstranit účty spravovaných služeb několika kliknutími.
  • Zpráva o slabých heslech uživatelů pomáhá najít slabá hesla ve službě Active Directory porovnáním hesel uživatelů se seznamem více než 100 000 běžně používaných slabých hesel.

To jsou jen některé z mnoha zdarma Nástroje Active Directory poskytuje ManageEngine. I když použití samostatných nástrojů pro každý jednotlivý úkol pravděpodobně není tak praktické jako použití integrovaného nástroje se všemi vestavěnými funkcemi, cena těchto nástrojů je těžko porazitelná a určitě by z nich mohla stát možnost, která stojí za zvážení.

4- Aktivní správce

Poslední na našem seznamu je Aktivní správce z Quest software, nyní součástí Dell. Toto je kompletní a integrovaný aktivníSoftwarové řešení pro správu adresářů. Překlenuje mezery, které některé nástroje společnosti Microsoft zanechávají. Toto je druh nástroje, který může usnadnit a zrychlit splnění požadavků na zabezpečení i audit. Má funkce zaměřené na mnoho nejdůležitějších oblastí správy AD.

Screenshot aktivní správce administrátora

Mezi hlavní funkce nástroje patří: Aktivní správce nabízí integrovanou, proaktivní správu. Je to také velmi účinný monitorovací nástroj, který má intuitivní hlášení a výstrahy, což vám umožní rychle objevit změny a zprávy o nich pomocí filtrování podle typu události, uživatele a data, stejně jako přihlašování a blokování uživatelů. Můžete také nastavit upozornění na události a automaticky zahájit akce založené na výstrahách.

Ceny za Aktivní správce je za aktivovaný uživatelský účet ve vašem AktivnímAdresář a začíná na 16,37 USD za trvalou licenci s roční podporou. Musí být zakoupena minimální licence pro 20 uživatelských účtů. Můžete si zdarma stáhnout 30denní zkušební verzi.

Přečtěte si také

Fotografie ActiveTime Active Directory přidává fotografie uživatelům služby Active Directory
SysAdmin Anywhere pomáhá spravovat domény serveru 2008/2003 s UI v Metro
Identifikujte nepoužité uživatelské účty služby Active Directory pomocí služby AD Tidy
Ověřte uživatele domény ověřením uživatele proti Active Directory
Odstranění souborů protokolu z adresáře Windows pomocí příkazového řádku
Kopírování složitých adresářových struktur bez kopírování souborů uvnitř
GetFolder: Export seznamu souborů / adresářů uvnitř Active Directory
TreeSizeNet - stromové zobrazení velikosti souboru a adresáře
Automaticky skrýt jakékoli aktivní okno s WinAutoHide
Přidat uživatele Unixu, Linuxu a Mac OS do Active Directory
Úplně smažte uživatele společně s přidruženým domovským adresářem v systému Ubuntu Linux
Jak změnit váš aktivní stav na LinkedIn

Komentáře