Lige siden starten, næsten nøjagtigt for 20 år siden med introduktionen af Windows 2000 Server Edition i februar 1999, Active Directory har været en nøglekomponent i Microsofts serverøkosystem. Dets primære formål er at holde informationom netværksressourcer. Computernetværk kan være temmelig kompliceret. Derfor har Active Directory også en tendens til at være kompliceret, hvorfor vores vigtigste mål i dag er at give dig en introduktion til Active Directory-domæner og skove.
Vi har ikke til hensigt at gøre dig til Active Directoryeksperter, men vores håb er at kaste lys over dette komplicerede emne. I betragtning af teknologiens relativt høje kompleksitet er det ikke overraskende, at der er oprettet adskillige tredjepartsværktøjer til at overvåge og / eller styre forskellige aspekter af Active Directory. Så vi skal se på, hvad nogle af dem kan gøre for dig.
Sådan planlægger vi vores rejse ind ikerne i Active Directory: Vi starter med at løfte enhver forvirring, der måtte være med begrebet domæne. Det er et nøgleelement i AD, men også et nøgleelement på Internettet, og alligevel er de to helt forskellige typer domæner, som ikke bør forveksles. Vi introducerer derefter Active Directory, hvad det er, og hvor det kommer fra. Dernæst diskuterer vi AD-domæner og de træer, vi bruger til at repræsentere deres struktur. I naturen kaldes en gruppe træer en skov. Nå, det samme er tilfældet i Active Directory, som vi ser næste. Administrering og overvågning af Active Directory vil være vores næste forretningsorden, og endelig, mens vi handler om emnet, gennemgår vi nogle af de bedste Active Directory-overvågnings- og styringsværktøjer.
Undgå forvirring - Hvad er et domæne?
Et domæne kan være mange ting, afhængigt af hvadfelt, du befinder dig i. Og selv inden for informationsteknologi bruges udtrykket domæne til to meget forskellige ting. Den første slags domæne, den mest computerbrugere - også dem, der ikke er computerforskere - er bekendt med, er internetdomænet. Det er en gruppe internetressourcer, der tilhører en bestemt organisation. Domænenavne bruges til at få adgang til forskellige ressourcer ved hjælp af brugervenlige (er) navne snarere end kryptiske IP-adresser. F.eks. Er addictivetips.com domænenavnet på dette websted. Microsoft.com er et andet velkendt domænenavn, og jeg er temmelig sikker på, at du nemt kan tænke på flere snesevis.
Det andet sted, hvor udtrykket domæne er bredtbrugt er relateret til Active Directory. Et Active Directory-domæne er en gruppe ressourcer (bemærk ligheden med de tidligere domæner?) Dækket af en enkelt godkendelsesdatabase. Vi vil snart beskrive AD-domæner i større detaljer. For øjeblikket er nøglen at forstå, at det samme udtryk bruges til at definere to totalt uafhængige begreber, og at det er vigtigt ikke at blande dem sammen, da de bestemt ikke er den samme ting.
Aktiv telefonbog i et nøddeskal
Det første spørgsmål folk generelt spørger omActive Directory er: Hvad er det nøjagtigt? Svaret er enkelt, det er Microsofts implementering af en LDAP-katalogtjeneste. Selvom dette svar er helt nøjagtigt, er det muligvis nytteløst, og det rejser flere spørgsmål, end det svarer.
Lad os grave os ned. For det første er en katalogtjeneste i forbindelse med computernetværk en database, der indeholder oplysninger om hver eneste komponent i et netværk. Med komponenter menes vi hver computer og server, men også hver bruger eller gruppe af brugere eller hvert bibliotek. Du kan tænke på det som et telefonkatalog. Enhver ressource, der skal finde en anden ressource, søger den op i biblioteket.
Hvad angår LDAP-delen af vores oprindelige svar, er det detet forkortelse til letvægtsvejledningsadgangsprotokol. Kort sagt definerer LDAP, hvordan information om ressourcer gemmes i databasen, og hvordan disse oplysninger kan fås. Det er en industristandardprotokol, der deles af flere leverandører, som desværre ikke betyder, at forskellige implementeringer er interoperable.
En Active Directory-struktur er en hierarkiskorganisering af genstande. Der er tre primære kategorier af objekter: ressourcer (f.eks. Computere eller printere), tjenester (som e-mail) og brugere (brugerkonti og brugergrupper). Active Directory giver oplysninger om objekterne, organiserer dem og kontrollerer deres adgang og sikkerhed. Det er til alt et formål en database med poster, hvor hver post har et navn og et sæt attributter. Hver attribut har et navn, en type og en eller mange værdier. Attributter er defineret i databasens skema.
Du kan tænke på den hierarkiske struktur af enActive Directory-database som for et filsystem. Og ligesom et filsystem har containere (kaldet mapper eller mapper), så har AD dem også. De kaldes organisationsenheder (OU) og hjælper dem med at gruppere ting sammen. Systemadministratorer er frie til at oprette OU'er, som de synes, og det er ikke ualmindeligt, for eksempel at se individuelle OU'er for hver afdeling i en organisation.
Active Directory-domæner
Nu hvor vi alle er på samme side om hvadActive Directory er, lad os se på domæner. Interessant nok domæner foregår Active Directory i flere år. Selv før Microsoft frigav deres egen LDAP-katalogtjeneste i 1999, havde der eksisteret domæner siden de tidlige dage af Windows NT. I et typisk netværk af Windows-servere er mindst en af dem - og ofte to eller flere - konfigureret som domænecontrollere. De er serverne, der er vært for domænedatabasen, og derved autentificerer brugere og kontrollerer adgangen til ressourcer. De oplysninger, de har, kopieres mellem dem. Og sidst men ikke mindst objekterne i et domæne er organiseret på en hierarkisk måde.
Træerne og skoven
En træanalogi bruges ofte til at beskrivehierarkiske strukturer såsom et domæne. Men med Active Directory har Microsoft besluttet at skubbe den analogi et skridt videre, og det kalder en hierarkisk struktur af domæner et træ. Husk, et domæne er en gruppe ressourcer under kontrol af en database, men et træ, af forskellige grunde kan bestå af flere domæner. Dette er noget, som faktisk er ret almindeligt i større organisationer, og det er slet ikke ualmindeligt at se et domæne for hver afdeling af et stort firma. Og for endnu større organisationer kan træer grupperes i, du gætte det, skove. Dette er det øverste element i Active Directory, og alt andet stammer fra det.
Håndtering og overvågning af Active Directory
Overvågning er alt! Hvis du er et netværk eller systemadministratorer, har du sandsynligvis hørt den sætning utallige gange. Og ved du hvad? Det er alt! Overvågning er en af de bedste måder at holde sig på toppen af tingene. Der findes forskellige typer overvågningsværktøjer, der giver dig mulighed for at opnå nøjagtigt den type metrics, du følger efter. For eksempel rapporterer båndbreddeovervågning brugen af forskellige segmenter i et netværk, CPU-overvågning viser dine serveres CPU-målere. De fleste operationelle målinger for systemer og netværk kan overvåges. Den største fordel ved at bruge overvågningsværktøjer er, at de stort set er automatiske. Du behøver ikke konstant at se dem. Hver gang noget er usædvanligt, advarer dit overvågningsværktøj (er) dig.
I tilfælde af Active Directory, flereparametre kan overvåges. For eksempel kunne domænecontrollere - de servere, hvor et domænes database er gemt - overvåges for respons og ydeevne. Ændringer i adgangsrettigheder kan også overvåges til en vis fordel. Login - især mislykkede - er en anden parameter, der er værd at overvåge, da det kan være en indikation af ondsindet aktivitet.
Active Directory Management er noget andet. Flere værktøjer leveres af Microsoft til at hjælpe dig med at administrere Active Directory. De giver dig mulighed for at oprette objekter, tildele rettigheder og generelt udføre det meste af den daglige aktivitet relateret til AD-styring. Nogle af disse værktøjer kan dog vise sig at være temmelig besværlige eller upraktiske at bruge, og flere leverandører er trådt op for at tilbyde forskellige Active Directory Management-værktøjer, som kan gøre opgaven med at administrere Active Directory meget lettere.
De bedste AD-værktøjer
Vi har skuret markedet for nogle af de bedsteActive Directory-værktøjer. Det, vi har til dig i dag, er en blanding af overvågningsværktøjer - nogle AD-specifikke og nogle generiske - og styringsværktøjer. Alle af dem kan hjælpe dig - og dette var et af vores vigtigste inkluderingskriterier - med dine daglige opgaver, når de vedrører Active Directory. Nogle er sikkerhedsorienterede, mens andre er præstationsorienterede.
1- SolarWinds Access Rights Manager (GRATIS PRØVEVERSION)
SolarWinds er en af de bedste udgivere af netværks- og systemadministrationssoftware. Dets flagskibsprodukt kaldet the Network Performance Monitor konsekvent scorer blandt det øverste netværkbåndbreddeovervågningssystemer. Desuden er virksomheden også berømt for sin gratis software. Vi taler om mindre værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. To gode eksempler på disse gratis værktøjer er Avanceret undernetberegner og Kiwi Syslog Server.
På trods af et noget vildledende navn, der kan få dig til at tro, at det kun omhandler objekttilladelser, SolarWinds Access Rights Manager er primært rettet mod at foretage brugerleveringog let at levere, spore og overvåge. Det tilbyder også en kraftfuld og nem måde at styre og overvåge brugertilladelse for at sikre, at der ikke gives unødvendige tilladelser.
- GRATIS PRØVEVERSION: SolarWinds Access Rights Manager
- Download link: https://www.solarwinds.com/access-rights-manager/registration
En af de største styrker af dette produkt erdets intuitive brugeradministrationsdashboard, som du kan bruge til at oprette, ændre, slette, aktivere og deaktivere brugeradgang til forskellige filer og mapper. Det indeholder rollespecifikke skabeloner, der let kan give brugerne adgang til specifikke ressourcer på dit netværk.
Også meget interessant og ganske unikt er SolarWinds Access Rights ManagerRapporteringsfunktioner. Softwaren kan oprette rapporter, der kan bruges som bevis i tilfælde af tvister eller eventuel retssag. Detaljerede rapporter til revisionsformål og til overholdelse af specifikationer, der er fastlagt i lovgivningsmæssige standarder, der gælder for din virksomhed, er også tilgængelige. Rapporter kan oprettes hurtigt og nemt med blot et par klik. De kan omfatte alle oplysninger, du måtte finde nyttige. For eksempel kan logaktiviteter i Active Directory- og filserveradganger inkluderes i en rapport. Det er op til brugeren at gøre dem så sammenfattede eller så detaljerede, som de har brug for.
Angreb og / eller datalækager sker ofte, nårmapper og / eller deres indhold får adgang til af brugere, der ikke - eller burde ikke være - autoriseret til at få adgang til dem, en almindelig situation, når brugerne får bred adgang til mapper eller filer. Det SolarWinds Access Rights Manager kan hjælpe dig med at forhindre disse typer lækager oguautoriserede ændringer i fortrolige data og filer. Det giver administratorer en visuel repræsentation af tilladelser til flere filservere, og det gør det let og visuelt, at man kan se, hvem der har tilladelse til, hvilken fil.
Priser for SolarWinds Access Rights Manager er baseret på antallet af aktiverede brugere i Active Directory. I SolarWinds parlance, er en aktiveret bruger enten en aktivbrugerkonto eller en servicekonto. Priserne for produktet starter ved $ 2 995 for op til 100 aktive brugere. For flere brugere (op til 10.000) kan detaljerede priser opnås ved at kontakte SolarWinds salg. Hvis du vil give værktøjet en testkørsel, før du køber det, kan du få en gratis ubegrænset 30-dages prøveversion.
2- SolarWinds Server og applikationsmonitor (GRATIS PRØVEVERSION)
Det SolarWinds Server og applikationsmonitor blev designet til at hjælpe administratorer med at overvågeservere, deres operationelle parametre, deres processer og de applikationer, der kører på dem. Det er et af de bedste værktøjer, du kan bruge til at overvåge dine Active Directory-domænekontrollere og de kritiske tjenester, som de har brug for at køre. Men værktøjet overvåger også enhver eller alle dine servere. Det kan nemt skaleres fra de mindste netværk til store med hundreder af servere - både fysiske og virtuelle - spredt over flere websteder.
- GRATIS PRØVEVERSION: SolarWinds Server og applikationsmonitor
- Download link: https://www.solarwinds.com/server-application-monitor/registration
Active Directory-overvågning, der tilbydes af SolarWinds Server og applikationsmonitor giver dig indsigt i Active Directory-problemerrelateret til brugerkonto såsom oprettelse af konto, ændring af adgangskode og nulstilling af forsøg, deaktiverede og slettede brugerkonti. Det vil også give oplysninger om domæne- og systempolitiske ændringer og gendannelse af data, ligesom det også giver indsigt i firewallindstillinger og andre systemændringer og aktuelt kørende tjenester. Værktøjet tillader også overvågning af LDAP-sessioner. Med antallet af tilsluttede klienter, der påvirker serverbelastningen, overvåger værktøjet NTDS-objekttællere for at forhindre en serveroverbelastning, der er forbundet til en bestemt LDAP-session. Derudover kan softwaren give indsigt i avancerede statistikker, såsom LDAP aktive tråde, bindetid, klientsessioner, vellykkede bindinger / sek og søgninger / sek.
Produktets oprindelige konfiguration er hurtigtog let gjort ved hjælp af en to-pass auto-opdagelsesproces. Den første gennemgang opdager hver server, og den anden finder applikationer på hver opdaget server. Selvom denne proces kan tage tid, kan den fremskyndes ved at levere en liste over specifikke applikationer, du kan kigge efter. Når værktøjet er i gang, gør det brugervenlige GUI at bruge det til en leg. Værktøjets betjeningspanel kan tilpasses, og det giver dig mulighed for at få vist oplysninger i enten en tabel eller et grafisk format.
Pris for SolarWinds Server og applikationsmonitor starter ved $ 2 995 og er baseret på antallet af komponenter, knuder og volumen, der overvåges. En gratis 30-dages prøveversion er tilgængelig til download, hvis du vil prøve produktet, før du køber det.
3- Gratis AD-værktøjer fra ManageEngine
ManageEngine er et andet velkendt navn med system- og netværksadministratorer. dens ManageEngine OpManager pakken er blandt de bedste it-infrastrukturerovervågningsværktøjer. Som nogle af sine konkurrenter laver ManageEngine nogle gode gratis værktøjer. Og når det kommer til Active Directory, tilbyder virksomheden ikke mindre end femten gratis værktøjer, der kan hjælpe med overvågning og administration af din AD-infrastruktur. Der er en kombination af uafhængige programmer og Powershell cmdlets. De fleste af værktøjerne er samlet i en enkelt download, så det bør ikke være meget problem at få dem. Lad os se, hvad nogle af de mest interessante af disse værktøjer er.
- AD Query Tool, som navnet antyder, giver dig mulighed for at læse alle attributdata, du har brug for fra Active Directory
- Sidste login-søgning bruges til at liste den sidste logontid for alle eller for udvalgte brugere i alle de valgte domænestyrere i domænet. Det bruges typisk til revisions- og oprydningsaktiviteter.
- Active Directory Replication Manager muliggør administratorer replikering af data i et domæne samt giver omfattende rapporter om den sidste replikering.
- Reporter for domænekontroller viser alle domænecontrollere og deres respektive roller i domænet.
- Domain Controller Monitoring Tool er et enkelt, men alligevel kraftigt værktøj. Det vil automatisk opdage domæner og vise dem ved at vise vigtige parametre for domænecontrollere såsom CPU Utilization, Disk Utilization og Memory Utilization.
- Password Policy Manager lader en hente og se og redigere - forudsat at han har de rette rettigheder - domænes adgangskodepolitik.
- Active Directory Duplicate Finder er et Powershell-værktøj, der lader administratorer identificere duplikatposter til Active Directory-attributter i et domæne.
- Styring af servicekonti er designet til at hjælpe dig med nemt at oprette, redigere og slette administrerede tjenestekonti med få klik.
- Rapport om brugere af svag adgangskode hjælper med at finde svage adgangskoder i Active Directory ved at sammenligne brugernes adgangskoder med en liste over over 100.000 ofte anvendte svage adgangskoder.
Dette er blot nogle af de mange gratis Active Directory-værktøjer leveret af ManageEngine. Selvom brugen af separate værktøjer til hver enkelt opgave sandsynligvis ikke er så praktisk som at bruge et integreret værktøj med alle de indbyggede funktionaliteter, er prisen på disse værktøjer svær at slå og kan bestemt gøre dem til en mulighed værd at overveje.
4- Aktiv administrator
Sidste på vores liste er Aktiv administrator fra Quest software, nu en del af Dell. Dette er en komplet og integreret AktivDirectory management software løsning. Det broer de huller, som nogle af Microsofts værktøjer efterlader. Dette er den slags værktøj, der kan gøre det lettere og hurtigere at imødekomme både sikkerhed og revisionskrav. Det har funktioner, der adresserer mange af de vigtigste områder inden for AD-styring.
Blandt værktøjets vigtigste funktioner, Aktiv administrator tilbyder integreret, proaktiv administration. Dette er også et meget potent overvågningsværktøj, der har intuitiv rapportering og alarmering, så du hurtigt kan finde ændringer og rapportere om dem ved at filtrere efter hændelsestype, bruger og dato samt bruger login og lockout-aktivitet. Du kan også indstille begivenhedsalarmer og automatisk starte alarmbaserede handlinger.
Priser for Aktiv administrator er pr. aktiveret brugerkonto i din ActiveDirectory, og det starter ved $ 16,37 for en evig licens med et års support. Der skal købes en minimumslicens for 20 brugerkonti. En gratis 30-dages prøveversion kan downloades.
Kommentarer