Active Directory eller AD som det ofte omtalestil, er Microsofts egen version af en LDAP-katalogtjeneste. Det har eksisteret siden Windows-server 2000 og erstattet de daværende aldring af domænestyringsfunktioner på Windows-servere. Det er en enormt kompleks service, der tager sig af at autentificere brugere og udstyr, identificere deres placering og administrere adgangsrettigheder. At være så kompleks, det er ingen overraskelse, at flere udviklere har forsøgt at lave værktøjer, der letter smerten ved at styre Active Directory. I dag bringer vi dig nogle af de bedste Active Directory-værktøjer, der kan findes på Internettet.
Vi vil først have en generel diskussion omkatalogtjenester, hvad de er, deres formål og værktøj, og giver dig et eksempel på dem. Dernæst skal vi tale om LDAP og X.500, to standardiserede protokoller relateret til katalogtjenester. Derefter taler vi kort om udviklingen af Microsoft-katalogtjenester. Dette bringer os til kernen i vores sag, de bedste Active Directory-værktøjer, vi kunne finde. Vi vil give dig en kort gennemgang af hver enkelt.
Katalogtjenester, hvad de er
Wikipedia definerer en katalogtjeneste som "en kortlægning mellem navnene på ressourcer i et netværk og deres respektive netværksadresser.”Og i sin enkleste form er dette virkelig det heleer. Så spørger du måske, er Domain Name System (DNS) en katalogtjeneste? Svaret er et rungende JA! Men hvis det er så enkelt, hvorfor er Active Directory så kompleks?
Active Directory, ligesom de fleste moderne bibliotekertjenester implementerer meget mere funktionalitet end blot at kortlægge navne til adresser. De er kernen i netværkets sikkerhed og vil indeholde detaljerede oplysninger om brugere (brugerkonti) og ressourcer og er også i centrum for adgangskontrolmekanismerne i de fleste netværk. Den moderne katalogtjeneste er en database, hvor de fleste oplysninger om et netværk, dets ressourcer og brugere er gemt.
En katalogtjeneste er en hierarkisk database overobjekter, der hver repræsenterer en anden enhed. Nogle objekter repræsenterer brugere, andre repræsenterer computere eller andre tilgængelige ressourcer såsom netværksandele. Andre objekter er containere til genstande. Den hierarkiske struktur gør det lettere at finde et enkelt objekt og tillader nem tilladelse til administration, hvor objekter kan arve tilladelser fra deres overordnede.
Vores mål er ikke at gøre dig til en katalogtjenesteekspert, men snarere for at give dig nok baggrundsinformation til bedre at forstå, hvad Active Directory er, og hvor det kommer fra. Lad os se på nogle eksempler fra det virkelige liv på fortid og nutid katalogtjenester, du måske er stødt på.
Nogle eksempler
DNS er en af de allerførste katalogtjenester. Det går tilbage til de tidlige firs. Det havde – og har stadig – et enkelt primært formål: oversættelse af hostnavne til IP-adresser. Det er stadig i udbredt brug i dag, og det er en af grundlæggelserne på Internettet.
Det Netværksinformationstjeneste, eller NIS, var Sun Microsystems 'egen implementering af en navnetjeneste svarende til DNS til dets Unix-økosystem.
Novell Directory Sjenester- sidst kaldte eDirectory- var Novell Netwares katalogtjenestenetværk. Lidt ligner det, Active Directory er i dag, var det et altomfattende system, der ikke kun bruges til navneopløsning, men også til godkendelse og adgangskontrol.
NetInfo blev udviklet af NEXT, og da Apple købte virksomheden, blev det Mac OS's katalogtjeneste, før de blev erstattet af OpenDirectory.
Endelig, NT-domæner er et andet eksempel på en katalogtjeneste. De er stamfar til Active Directory. NT-domæner blev primært brugt til adgangskontrol og godkendelsesformål.
X.500 og LDAP, to katalogtjenestestandarder
I informationsalderen er interoperabilitet vigtigere end nogensinde, hvilket får standarder til at dukke op på alle områder. Katalogtjenester er ikke forskellige to primære standarder findes, LDAP og X.500
X.500-standarden, eller mere præcist X.500 serier af standarder er en gruppe specifikationer fra ITU-T, der dækker flere aspekter af elektroniske katalogtjenester. De første iterationer går tilbage til 1988, men X.500 er stadig i udbredt brug i dag.
Et af målene med et sæt standardprotokollersom foreslået af X.500 er at sikre interoperabilitet og give systemer fra forskellige leverandører mulighed for at interagere. X.500 er faktisk et sæt på ni individuelle protokoller
Protokollen med letvægtsadgangskatalog, ellerLDAP, er en åben, leverandørneutral, branchestandard applikationsprotokol til adgang til og vedligeholdelse af distribuerede kataloginformationstjenester over et IP-netværk. I dag er de fleste implementeringer af katalogtjenester, herunder Microsofts Active Directory, LDAP-kompatible.
LDAP var oprindeligt beregnet som en letvægtalternativ protokol til adgang til X.500-katalogtjenester gennem den enklere TCP / IP-protokolstabel. Som sådan er X.500 og LDAP ikke gensidigt eksklusive og er i stedet komplementære. For eksempel angiver LDAP-specifikationen, at strukturen i katalogtjenestedatabasen skal være X.500-kompatibel.
LDAP-klienter kan ikke kun læse attributterne forobjekter i en katalogtjenestedatabase, de kan også ændre dem. Dette betyder naturligvis, at LDAP er sikkert og tilbyder en godkendelsesmekanisme til beskyttelse mod uautoriserede ændringer.
Fra NT-domæne til Active Directory
Som nævnt tidligere var Windows NT-domænerførste form for katalogtjeneste i Microsofts økosystem. Som du kunne have gætt, dukkede de først op med Windows NT, tilbage i 1993. De havde en centraliseret database, der var placeret på en domænecontroller, som primært var ansvarlig for brugergodkendelse. Databasen kunne replikeres på flere domænecontrollere med henblik på redundans og for at sikre, at store netværk med flere websteder kunne autentificere brugere lokalt.
Med Windows 2000 frigav Microsoft ActiveVejviser. Det var en tiltrængt forbedring i forhold til de traditionelle domæner, der var blevet brugt i årevis. Active Directory leverer flere forskellige tjenester. Først og fremmest er domænetjenesterne. Dette er hjørnestenen i Windows-netværk. De gemmer oplysninger om medlemmer af domænet, inklusive enheder og brugere, verificerer deres legitimationsoplysninger, godkender dem og definerer deres adgangsrettigheder.
Andre vigtige tjenester i Active Directoryinkluderer certifikatservices, der leverer en lokal offentlig nøgleinfrastruktur. De kan oprette, validere og tilbagekalde offentlige nøglecertifikater til intern brug i en organisation. Sådanne certifikater kan bruges til at kryptere filer, e-mails og netværkstrafik. Andre tjenester leveret af Active Directory inkluderer føderationstjenester, en type single sign-on-mekanisme og rettighedsadministrationstjenester.
De bedste Active Directory-værktøjer
Det vigtigste kendetegn ved Active Directory erat det er stort og komplekst. Og med denne kompleksitet kommer administrationens hovedpine. Heldigvis er der blevet udviklet mange værktøjer af tredjepart til at tackle nogle af AD-administrationens byrder. Det er de værktøjer, vi har undersøgt, og vi præsenterer dig noget af det bedste, vi kunne finde. Denne liste er langt fra omfattende, da der ganske enkelt er alt for mange værktøjer derude.
1. SolarWinds Server & Application Monitor (GRATIS PRØVEVERSION)
SolarWinds er kendt for at gøre nogle af de allerbedstenetværk og systemadministrationsværktøjer. Vi har vist SolarWinds-produkt utallige gange, hvor vi for eksempel gennemgik de bedste SNMP-overvågningsværktøjer eller de bedste NetFlow-samlere og analysatorer. SolarWinds er også berømt for sine gratis værktøjer, opgavespecifikke værktøjer rettet mod administratorer.
Det er ikke nogen overraskelse, at SolarWinds Server & Applikationsmonitor er på vores liste. Og selvom dets beskedne navn muligvis ikke får en til at tro, at dette er et Active Directory-værktøj, gør dets brede vifte af funktionaliteter det til et fantastisk værktøj til overvågning og styring af Active Directory.
Lad os starte med at se på, hvordan SolarWinds Server & Application Monitor kan hjælpe med AD-styring. For det første har værktøjet domænecontrolovervågning, der overvåger flere operationelle parametre. Det fortæller dig, når CPU-brugen bliver for høj, når en brugerkonto er låst eller når der er et login-problem.
Softwaren overvåger også NTDS-objekttællere, hvilket hjælper med at reducere serveroverbelastning. Desuden SolarWinds Server og applikationsmonitor giver dig indsigt i flere LDAP-statistikker, inklusive LDAP-aktive tråde, bindetid, klientsessioner og vellykkede bindinger og søgninger pr. sekund.
Det SolarWinds Server & applikationsmonitor kan sende underretninger, når katalogservereundlader at gentage, en begivenhed, der kan forhindre brugere i at få adgang til mapper og filer. Det leverer også detaljerede ydelsesstatistikker, der er relateret til katalogtjenester såsom distribueret filsystem, DFS-replikering, intersite-meddelelser, DNS-klient, Windows-tid, RPC, server- og arbejdsstationstjenester og Active Directory-domænetjenester, bare for at nævne et par af de mest betydningsfulde dem.
Men som navnet antyder, vil dette værktøj ikke kunovervåge Active Directory-tjenester, men også serverne selv og de applikationer, der kører på dem. Denne komplette pakke kan skaleres fra de mindste netværk til store netværk med flere websteder med hundreder af fysiske og virtuelle servere. Og det kan lige så godt overvåge servere i skymiljøer som dem fra Amazon Web Services og Microsoft Azure.
Det SolarWinds Server & Application monitor oprindeligt automatisk opdager værter og enheder pådit netværk. Derefter registrerer en anden opdagelsesscanning applikationer, der kører på hver server. Når det først er kørt, kan brugen af dette værktøj næppe være lettere takket være dets intuitive brugergrænseflade. Hvis du f.eks. Klikker på nodedetaljer, vises nodens præstation og sundhedsoplysninger.
Priser for SolarWinds Server og applikationsmonitor starter på lige under $ 2 995, og en gratis 30-dages prøveversion er tilgængelig til download.
2. ManageEngine Active Directory Free Tools
ManageEngine er et andet almindeligt navn blandt systemetog netværksadministratorer. Det gør OpManager, uden tvivl til et af de bedste overvågningsværktøjer til it-infrastruktur. Og ligesom SolarWinds, gør ManageEngine også nogle gode gratis værktøjer. Faktisk har de mere end femten gratis Active Directory-værktøjer der kan hjælpe med overvågning og administrationdin AD-infrastruktur. Nogle er uafhængige programmer, mens andre er Powershell cmdlets. En stor ting ved dette værktøjssæt er, at de fleste af værktøjerne er samlet i et enkelt download. Lad os se, hvad det mest interessante af disse værktøjer er.
Det AD Query Tool giver dig mulighed for at læse alle attributdata, som du harkræve fra Active Directory som en brugerobjekter 'fornavn, efternavnstelefon, adresse og så videre. Hjælpeprogrammet kan også hjælpe med at forespørge Active Directory Group og Computerobjekter.
Det CSV-generatorværktøj genererer en CSV-fil (hvem ville have troet?), der indeholder en brugerdefineret matrix af brugerspecificerede Active Directory-attributter og deres tilsvarende værdier. Den resulterende fil kan bruges til Active Directory-styring.
Det Sidste login-søgning bruges til at liste den sidste logontid for alle eller valgte brugere i alle de valgte domænecontrollere i domænet. Det bruges typisk til revisions- og oprydningsaktiviteter.
Det Terminal Session Manager er en Powershell cmdlet, du kan bruge til at identificereog administrere flere terminalsessioner i et domæne fra et enkelt punkt. Med det kan terminalsessioner for flere brugere på tværs af et domæne administreres, kobles fra eller logges ud.
Det Active Directory Replication Manager gør det muligt for administratorer at tvinge replikation afdata i et domæne eller i hele skoven. Det tillader også replikering af data mellem to domænecontrollere, og det vil vise omfattende rapporter om den sidste replikering.
Det DMZ Port Analyzer lader administratorer kontrollere status for porte, der kræves af ethvert tredjepartsprogram til at arbejde med Active Directory. Det kan bruges til at åbne passende porte på firewalls.
Det Reporter for domænekontroller viser alle domænecontrollere og deres respektive roller i domænet. Det kan hjælpe administratorer med at identificere en tilknyttet rolle som en domænecontroller.
Det Lokal bruger manager hjælper administratorer med at administrere brugerkonti inden for domænet. Det giver information om lokale brugerkonti og tillader også styring af disse konti ved hjælp af en praktisk brugergrænseflade.
Det Domain Controller Monitoring Tool er et simpelt værktøj, der automatisk opdager domænerneog viser dem. Det vil vise forskellige parametre for domænecontrollere såsom CPU Utilization, Disk Utilization og Memory Utilization. Du kan også se andre parametre som sidelæsninger pr. Sekund, sideskrivning pr. Sekund, fillæsninger, filskrivninger osv.
Det Password Policy Manager tillader enhver bruger at hente og se domænes adgangskodepolitik. Det giver også brugere med administrative rettigheder mulighed for at redigere domæneadgangskodepolitikken.
Som navnet antyder, Tomt kodeord Brugere Rapportværktøj bruges til at finde brugerkonti med adgangskodefelter indstillet til null, hvilket hjælper administratorer med at undgå sikkerhedsrelaterede problemer.
Det Active Directory Duplicate Finder er et Powershell-værktøj, der lader administratoreridentificere duplikatposter for Active Directory-attributter i et domæne. Duplicerede poster vises bekvemt, hvilket hjælper administratorer med at sikre en duplikatfri Active Directory.
Det DNS Reporter hjælper dig med at få information relateret til dinnetværkets DNS-infrastruktur. Det kan vise detaljerne om de tilgængelige DNS-poster, deres tilhørende posttyper, IP-adresser og serviceoplysningerne blot ved at indtaste et domænenavn.
Det Styring af servicekonti er designet til at hjælpe dig med nemt at oprette, redigere og slette administrerede servicekonti med få klik. Dette værktøj kræver ingen viden om PowerShell, det sædvanlige værktøj, der bruges til at udføre disse opgaver.
Det Rapport om brugere af svag adgangskode hjælper med at finde svage adgangskoder i Active Directory afsammenligning af brugernes adgangskoder med en liste over over 100.000 almindeligt anvendte svage adgangskoder. Du kan derefter tvinge brugerne med svage adgangskoder til at ændre deres adgangskoder næste gang de logger på.
3. Tillad kompas
Kompas fra ENow-software hjælper dig med at identificere skjulte problemer i dit miljø, før det går på kompromis. Det giver mulighed for netværksovervågning i realtid af din Active Directory og alle domænecontrollere. Kompas kan sikre, at din Active Directory er sund afovervågning af DFS / FRS-replikering Den finder også problemer med DNS-navneløsning og hjælper med at fejlfinde problematiske applikationer, der hjælper dig med at holde din AD kørende.
Kompas har over 50 rapporter, der inkluderer revision afDomain Admins Group, identifikation og fjernelse af inaktive brugerkonti og identifikation af FSMO-roller. Værktøjet er hurtigt at installere og nemt at bruge. Det har et intuitivt og brugervenligt betjeningspanel, der hjælper med at identificere problemer tidligt, før de bliver brud.
Detaljerede prisoplysninger for Kompas kan fås ved at kontakte Enow-salg, og en gratis 14-dages prøveperiode kan opnås.
4. Anturis Active Directory Monitor
Halvdelen af arbejdet med at administrere Active Directory er at sikre, at alle tjenester kører problemfrit, og det er nøjagtigt hvad Active Directory Monitor fra Anturis handler om. Dette værktøj kan advare dig om unormale situationer via e-mail, SMS eller taleopkaldsmeddelelser. Du kan også bruge Active Directory Monitor at etablere baseline for præstationer til dinActive Directory-servere og replikationsstruktur, så du kan genkende ydelsestendenser og hjælpe med at reducere risikoen for flaskehalse, før de har en negativ indvirkning på din AD-ydelse.
Det Active Directory Monitor viser dig server- og LDAP-sessioner og sætalarmtærskler. Det vil også vise dig Kerberos- og NTLM-godkendelser pr. Sekund, hvilket giver dig en idé om den generelle serverbelastning. Og idet replikering er et af de vigtigste aspekter af Active Directory, overvåges også replikationspræstationsmetriker som replikationsstatus, DRA-afventende replikationssynkroniseringer og DRA-afventende replikationsoperationer.
Active Directory Monitor er en skybaseret service og flere abonnementerplaner er tilgængelige til priser, der spænder fra $ 10 / måned for 10 skærme til $ 650 / måned for 1000 skærme. En gratis version er også tilgængelig, men den er begrænset til 5 skærme. Imidlertid har alle betalte planer en gratis 30-dages prøveperiode.
5. Quest Aktiv administrator
Las på vores liste er Søgen Aktiv administrator. Dette er en komplet og integreret AktivDirectory management software løsning. Det broer de huller, som Microsofts værktøjer efterlader. Værktøjerne gør det lettere og hurtigere at imødekomme revisionskrav og sikkerhedsbehov. Det har funktioner, der adresserer mange af de vigtigste områder inden for AD-styring.
Blandt værktøjets vigtigste funktioner, AktivAdministrator tilbyder integreret, proaktiv administration. Det har også intuitiv rapportering og alarmering, så du hurtigt kan overvåge og rapportere om ændringer ved at filtrere begivenhedstype, bruger og dato samt bruger login og lockout aktivitet. Du kan også indstille begivenhedsadvarsler og automatisere alarmbaserede handlinger.
Priser for aktiv administrator er pr. Aktiveretbrugerkonto i din AD og starter ved $ 16,37 for en evigvarende licens med et års support. Der skal købes en minimumslicens for 20 brugerkonti. En gratis 30-dages prøveversion kan downloades.
Kommentarer