- - Introducción a los dominios y bosques de Active Directory - Las mejores herramientas de Active Directory

Introducción a los dominios y bosques de Active Directory - Las mejores herramientas de Active Directory

Desde su inicio, hace casi exactamente 20 años con la introducción de Windows 2000 Server Edition en febrero de 1999, Directorio Activo ha sido un componente clave del ecosistema del servidor de Microsoft. Su objetivo principal es mantener la información.sobre recursos en red. Las redes de computadoras pueden ser bastante complicadas. En consecuencia, Active Directory también tiende a ser complicado, por lo que nuestro objetivo principal hoy es brindarle una introducción a los dominios y bosques de Active Directory.

No pretendemos convertirlo en Active Directoryexpertos, pero nuestra esperanza es arrojar algo de luz sobre este complicado tema. Además, dado el nivel relativamente alto de complejidad de la tecnología, no sorprende que se hayan creado varias herramientas de terceros para monitorear y / o administrar varios aspectos de Active Directory. Entonces, veremos qué pueden hacer algunos de ustedes por usted.

Así es como estamos planeando nuestro viaje hacia elnúcleo de Active Directory: comenzaremos por eliminar cualquier confusión que pueda existir con el concepto de dominio. Es un elemento clave de AD pero también un elemento clave de Internet y, sin embargo, son dos tipos de dominios completamente diferentes que no deben confundirse. Luego presentaremos Active Directory, qué es y de dónde viene. A continuación, analizaremos los dominios de AD y los árboles que utilizamos para representar su estructura. En la naturaleza, un grupo de árboles se llama bosque. Bueno, lo mismo es cierto en Active Directory como veremos a continuación. Administrar y monitorear Active Directory será nuestro próximo orden del día y finalmente, mientras estemos en el tema, revisaremos algunas de las mejores herramientas de monitoreo y administración de Active Directory.

Evitar la confusión: ¿qué es un dominio?

Un dominio puede ser muchas cosas dependiendo de quéen el campo en el que se encuentra. E incluso dentro de Tecnología de la información, el término dominio se usa para dos cosas muy diferentes. El primer tipo de dominio, con el que la mayoría de los usuarios de computadoras, incluso aquellos que no son informáticos, está familiarizado con el dominio de Internet. Es un grupo de recursos de Internet que pertenecen a una organización específica. Los nombres de dominio se utilizan para acceder a diversos recursos utilizando nombres fáciles de usar (er) en lugar de direcciones IP crípticas. Por ejemplo, addictivetips.com es el nombre de dominio de este sitio web. Microsoft.com es otro nombre de dominio conocido y estoy bastante seguro de que puede pensar fácilmente en docenas más.

El otro lugar donde el término dominio es ampliamenteutilizado está relacionado con Active Directory. Un dominio de Active Directory es un grupo de recursos (¿observa la similitud con los dominios anteriores?) Cubiertos por una única base de datos de autenticación. En breve describiremos los dominios de AD con mayor detalle. Por ahora, la clave es entender que el mismo término se utiliza para definir dos conceptos totalmente no relacionados y que es importante no mezclarlos, ya que definitivamente no son lo mismo.

Active Directory en pocas palabras

La primera pregunta que la gente generalmente haceActive Directory es: ¿Qué es exactamente? La respuesta es simple, es la implementación de Microsoft de un servicio de directorio LDAP. Si bien esta respuesta es absolutamente exacta, posiblemente sea inútil y plantea más preguntas de las que responde.

Vamos a cavar. Primero, un servicio de directorio, en el contexto de las redes de computadoras, es una base de datos que contiene información sobre todos y cada uno de los componentes de una red. Por componentes, nos referimos a cada computadora y servidor, pero también a cada usuario o grupo de usuarios o cada directorio. Puedes pensarlo como un directorio telefónico. Cualquier recurso que necesite encontrar otro recurso lo busca en el directorio.

En cuanto a la parte LDAP de nuestra respuesta inicial, esAcrónimo de Lightweight Directory Access Protocol. En términos simples, LDAP define cómo se almacena la información sobre los recursos en la base de datos y cómo se puede acceder a esta información. Es un protocolo estándar de la industria compartido por varios proveedores que, desafortunadamente, no significa que varias implementaciones sean interoperables.

Una estructura de Active Directory es jerárquica.organización de objetos. Hay tres categorías principales de objetos: recursos (como computadoras o impresoras, por ejemplo), servicios (como correo electrónico) y usuarios (cuentas de usuario y grupos de usuarios). Active Directory proporciona información sobre los objetos, los organiza y controla su acceso y seguridad. Es, para todos los efectos, una base de datos de entradas con cada entrada con un nombre y un conjunto de atributos. Cada atributo tiene un nombre, un tipo y uno o varios valores. Los atributos se definen en el esquema de la base de datos.

Puedes pensar en la estructura jerárquica de unBase de datos de Active Directory como la de un sistema de archivos. Y al igual que un sistema de archivos tiene contenedores (llamados directorios o carpetas), AD también los tiene. Se llaman unidades organizativas (OU) y ayudan a agrupar cosas relacionadas. Los administradores del sistema son libres de crear unidades organizativas como mejor les parezca y no es raro, por ejemplo, ver unidades organizativas individuales para cada departamento de una organización.

Dominios de Active Directory

Ahora que todos estamos en la misma página en cuanto a quéActive Directory es, echemos un vistazo a los dominios. Curiosamente, los dominios son anteriores a Active Directory por varios años. Incluso antes de que Microsoft lanzara su propio servicio de directorio LDAP en 1999, los dominios existían desde los primeros días de Windows NT. En una red típica de servidores Windows, al menos uno de ellos, y a menudo dos o más, están configurados como controladores de dominio. Son los servidores que alojan la base de datos del dominio, lo que autentica a los usuarios y controla el acceso a los recursos. La información que contienen se replica entre ellos. Y por último pero no menos importante, los objetos en un dominio son organizado de manera jerárquica.

Los arboles y el bosque

A menudo se usa una analogía de árbol para describirestructuras jerárquicas como un dominio. Pero con Active Directory, Microsoft ha decidido llevar esa analogía un paso más allá y llama a la estructura jerárquica de dominios un árbol. Recuerde, un dominio es un grupo de recursos bajo el control de una base de datos pero un árbol, por varias razones puede estar compuesto por varios dominios. Esto es algo que en realidad es bastante común en organizaciones más grandes y no es raro ver un dominio para cada división de una gran empresa. Y para organizaciones aún más grandes, los árboles pueden agruparse en bosques, lo adivinaron. Este es el elemento superior en Active Directory y todo lo demás desciende de él.

Árboles y bosques en Active Directory

Administrar y monitorear Active Directory

¡El monitoreo lo es todo! Si usted es administrador de una red o sistema, probablemente haya escuchado esa frase innumerables veces. ¿Y sabes qué? Es todo! El monitoreo es una de las mejores formas de estar al tanto de las cosas. Existen varios tipos de herramientas de monitoreo que le permitirán obtener con precisión el tipo de métricas que busca. Por ejemplo, la supervisión del ancho de banda informará sobre el uso de diferentes segmentos de una red, la supervisión de la CPU mostrará los indicadores de la CPU de sus servidores. La mayoría de las métricas operativas de sistemas y redes pueden ser monitoreadas. La principal ventaja de usar herramientas de monitoreo es que en su mayoría son automáticas. No tienes que estar vigilándolos constantemente. Cada vez que algo está fuera de lo común, sus herramientas de monitoreo lo alertarán.

En el caso de Active Directory, variosLos parámetros pueden ser monitoreados. Por ejemplo, los controladores de dominio, los servidores en los que se almacena la base de datos de un dominio, se pueden monitorear para obtener respuesta y rendimiento. Los cambios en los derechos de acceso también podrían monitorearse con alguna ventaja. Los inicios de sesión, especialmente los fallidos, son otro parámetro que vale la pena monitorear, ya que podría ser una indicación de actividad maliciosa.

La administración de Active Directory es otra cosa. Microsoft proporciona varias herramientas para ayudarlo a administrar Active Directory. Le permitirán crear objetos, asignar derechos y, en general, realizar la mayoría de las actividades diarias relacionadas con la administración de AD. Sin embargo, algunas de estas herramientas pueden resultar bastante engorrosas o poco prácticas de usar y varios proveedores han dado un paso adelante para ofrecer varias herramientas de administración de Active Directory que pueden facilitar la tarea de administrar Active Directory.

Las mejores herramientas de publicidad

Hemos buscado en el mercado algunos de los mejoresHerramientas de Active Directory. Lo que tenemos para usted hoy es una combinación de herramientas de monitoreo, algunas específicas de AD y otras genéricas, y herramientas de administración. Todos ellos pueden ayudarlo, y este fue uno de nuestros principales criterios de inclusión, con sus tareas diarias relacionadas con Active Directory. Algunos están orientados a la seguridad, mientras que otros están orientados al rendimiento.

1- Administrador de derechos de acceso de SolarWinds (PRUEBA GRATIS)

Vientos solares es uno de los mejores editores de software de administración de redes y sistemas. Su producto estrella llamado Monitor de rendimiento de red puntúa constantemente entre la red superiorsistemas de monitoreo de ancho de banda. Además, la compañía también es famosa por su software libre. Estamos hablando de herramientas más pequeñas, cada una de las cuales aborda una necesidad específica de los administradores de red. Dos grandes ejemplos de estas herramientas gratuitas son Calculadora de subred avanzada y el Kiwi Syslog Server.

A pesar de un nombre algo engañoso que podría llevarlo a creer que solo se trata de permisos de objetos, el Administrador de derechos de acceso de SolarWinds está dirigido principalmente a hacer aprovisionamiento de usuariosy desaprovisionamiento, seguimiento y monitoreo fácil. También ofrece una manera poderosa y fácil de administrar y monitorear los permisos de los usuarios para garantizar que no se otorguen permisos innecesarios.

Captura de pantalla de SolarWinds Access Rights Manager

  • PRUEBA GRATIS: Administrador de derechos de acceso de SolarWinds
  • Enlace de descarga: https://www.solarwinds.com/access-rights-manager/registration

Una de las mayores fortalezas de este producto essu panel de administración de usuarios intuitivo que puede usar para crear, modificar, eliminar, activar y desactivar los accesos de los usuarios a diferentes archivos y carpetas. Cuenta con plantillas específicas de roles que pueden dar fácilmente a los usuarios acceso a recursos específicos en su red.

También muy interesantes y bastante únicos son los Administrador de derechos de acceso de SolarWindsCaracterísticas de informes. El software puede crear informes que se pueden usar como evidencia en caso de disputas o litigios eventuales. También se encuentran disponibles informes detallados para fines de auditoría y para el cumplimiento de las especificaciones establecidas por los estándares regulatorios que se aplican a su negocio. Los informes se pueden crear rápida y fácilmente con solo unos pocos clics. Pueden incluir cualquier información que pueda resultarle útil. Por ejemplo, las actividades de registro en Active Directory y los accesos al servidor de archivos podrían incluirse en un informe. Depende del usuario hacerlos tan resumidos o tan detallados como lo necesiten.

Los ataques y / o fugas de datos a menudo ocurren cuandousuarios que no tienen, o no deberían tener, autorización para acceder a las carpetas y / o sus contenidos, una situación común en la que los usuarios tienen acceso amplio a carpetas o archivos. los Administrador de derechos de acceso de SolarWinds puede ayudarlo a prevenir este tipo de fugas ycambios no autorizados a datos y archivos confidenciales. Ofrece a los administradores una representación visual de los permisos para múltiples servidores de archivos y permite ver fácil y visualmente quién tiene qué permiso en cada archivo.

Precios para el Administrador de derechos de acceso de SolarWinds se basa en la cantidad de usuarios activados dentro de Active Directory. En Vientos solares lenguaje, un usuario activado es un activocuenta de usuario o una cuenta de servicio. Los precios del producto comienzan en $ 2 995 para hasta 100 usuarios activos. Para más usuarios (hasta 10 000), puede obtener precios detallados poniéndose en contacto con las ventas de SolarWinds. Si desea probar la herramienta antes de comprarla, puede obtener una versión de prueba gratuita e ilimitada de 30 días.

2- Servidor SolarWinds y monitor de aplicaciones (PRUEBA GRATIS)

los Servidor SolarWinds y Monitor de aplicaciones fue diseñado para ayudar a los administradores a monitorearservidores, sus parámetros operativos, sus procesos y las aplicaciones que se ejecutan en ellos. Es una de las mejores herramientas que puede usar para monitorear sus controladores de dominio de Active Directory y los servicios críticos que necesitan para ejecutarse. Pero la herramienta también monitoreará cualquiera o todos sus servidores. Puede escalar fácilmente desde las redes más pequeñas a las grandes con cientos de servidores, tanto físicos como virtuales, distribuidos en múltiples sitios.

Panel de control de aplicaciones y servidores SolarWinds

  • PRUEBA GRATIS: Servidor SolarWinds y Monitor de aplicaciones
  • Enlace de descarga: https://www.solarwinds.com/server-application-monitor/registration

La supervisión del rendimiento de Active Directory que ofrece el Servidor SolarWinds y Monitor de aplicaciones le da una idea de los problemas de Active Directoryrelacionados con la cuenta de usuario, como la creación de cuenta, el cambio de contraseña y los intentos de restablecimiento, cuentas de usuario deshabilitadas y eliminadas. También proporcionará información sobre los cambios en las políticas de dominio y del sistema y la recuperación de datos, así como también proporciona información sobre la configuración del firewall y otros cambios del sistema y los servicios que se ejecutan actualmente. La herramienta también permite monitorear las sesiones LDAP. Dado que el número de clientes conectados afecta la carga del servidor, la herramienta supervisará los contadores de objetos NTDS para ayudar a prevenir una sobrecarga del servidor conectada a una sesión LDAP específica. Además, el software puede proporcionar información sobre estadísticas avanzadas, como subprocesos activos LDAP, tiempo de enlace, sesiones de cliente, enlaces exitosos / seg y búsquedas / seg.

La configuración inicial del producto es rápiday se realiza fácilmente con la ayuda de un proceso de autodescubrimiento de dos pasos. El primer pase descubre cada servidor y el segundo encontrará aplicaciones en cada servidor descubierto. Aunque este proceso puede llevar tiempo, puede acelerarse proporcionando una lista de aplicaciones específicas para buscar. Una vez que la herramienta está en funcionamiento, la GUI fácil de usar hace que su uso sea muy sencillo. El tablero de instrumentos de la herramienta se puede personalizar y le permitirá mostrar información en formato de tabla o gráfico.

Precio por el Servidor SolarWinds y Monitor de aplicaciones comienza en $ 2 995 y se basa en la cantidad de componentes, nodos y volúmenes monitoreados. Una versión de prueba gratuita de 30 días está disponible para su descarga, si desea probar el producto antes de comprarlo.

3- Herramientas AD gratuitas de ManageEngine

ManageEngine es otro nombre bien conocido con administradores de sistemas y redes. Sus ManageEngine OpManager el paquete se encuentra entre las principales infraestructuras de TIherramientas de monitoreo. Al igual que algunos de sus competidores, ManageEngine fabrica excelentes herramientas gratuitas. Y cuando se trata de Active Directory, la compañía ofrece no menos de quince herramientas gratuitas que pueden ayudarlo a monitorear y administrar su infraestructura de AD. Existe una combinación de programas independientes y cmdlets de Powershell. La mayoría de las herramientas están agrupadas en una sola descarga, por lo que obtenerlas no debería ser un gran problema. Veamos cuáles son algunas de las herramientas más interesantes.

  • Herramienta de consulta AD, como su nombre lo indica, le permite leer cualquier dato de atributo que necesite del Active Directory
  • Último buscador de inicio de sesión se usa para enumerar el último tiempo de inicio de sesión de todos o de los usuarios seleccionados en todos los controladores de dominio seleccionados en el dominio. Por lo general, se utiliza para actividades de auditoría y limpieza.
  • Administrador de replicación de Active Directory permite a los administradores la replicación de datos en un dominio y proporciona informes completos sobre la última replicación.
  • Controlador de dominio Reportero de roles enumera todos los controladores de dominio y sus respectivos roles en el dominio.
  • Herramienta de monitoreo de controlador de dominio Es una herramienta simple pero poderosa. Descubrirá automáticamente los dominios y los mostrará, mostrando parámetros importantes de los controladores de dominio, como la utilización de la CPU, la utilización del disco y la utilización de la memoria.

ManageEngine Active Directory DC herramienta de monitoreo

  • Administrador de políticas de contraseña permite recuperar, ver y editar, siempre que tenga los derechos adecuados, la política de contraseña del dominio.
  • Buscador duplicado de Active Directory es una utilidad Powershell que permite a los administradores identificar entradas duplicadas para los atributos de Active Directory en un dominio.
  • Servicio de Gestión de Cuentas está diseñado para ayudarlo a crear, editar y eliminar fácilmente cuentas de servicios administrados con solo unos pocos clics.
  • Informe de usuarios con contraseña débil ayuda a encontrar contraseñas débiles en Active Directory comparando las contraseñas de los usuarios con una lista de más de 100,000 contraseñas débiles de uso común.

Estos son solo algunos de los muchos gratuitos Herramientas de Active Directory proporcionado por ManageEngine. Si bien el uso de herramientas separadas para cada tarea individual probablemente no sea tan práctico como usar una herramienta integrada con todas las funcionalidades integradas, el precio de estas herramientas es difícil de superar y ciertamente podría hacer que sean una opción que valga la pena considerar.

4- Administrador activo

El último en nuestra lista es Administrador activo de Software de búsquedaahora parte de Dell. Este es un activo completo e integradoSolución de software de gestión de directorios. Cierra las brechas que dejan algunas de las herramientas de Microsoft. Este es el tipo de herramienta que puede facilitar y agilizar el cumplimiento de los requisitos de seguridad y auditoría. Tiene características que abordan muchas de las áreas más importantes de la administración de AD.

Captura de pantalla de Quest Active Administrator

Entre las características principales de la herramienta, Administrador activo Ofrece administración integrada y proactiva. Esta también es una herramienta de monitoreo muy potente que tiene informes y alertas intuitivos, lo que le permite descubrir rápidamente los cambios e informar sobre ellos mediante el filtrado por tipo de evento, usuario y fecha, así como el inicio de sesión del usuario y la actividad de bloqueo. También puede configurar alertas de eventos e iniciar automáticamente acciones basadas en alertas.

Precios para Administrador activo es por cuenta de usuario habilitada en su ActiveDirectorio y comienza en $ 16.37 para una licencia perpetua con soporte de un año. Se debe comprar una licencia mínima para 20 cuentas de usuario. Se puede descargar una versión de prueba gratuita de 30 días.

Leer también

CodeTwo Active Directory Photos agrega fotos a los usuarios de Active Directory
SysAdmin Anywhere ayuda a administrar los dominios del servidor 2008/2003 con la interfaz de usuario de Metro
Identifique las cuentas de usuario de Active Directory no utilizadas con AD Tidy
Verificar usuarios de dominio con autenticación de usuario en Active Directory
Eliminar archivos de registro del directorio de Windows con el símbolo del sistema
Copie estructuras de directorio complejas sin copiar los archivos dentro
GetFolder: Exportar archivo / Lista de directorios dentro de Active Directory
TreeSizeNet - Vista de árbol del tamaño de archivo y directorio
Ocultar automáticamente cualquier ventana activa con WinAutoHide
Agregue usuarios de Unix, Linux y Mac OS a Active Directory con lo mismo
Eliminar completamente un usuario junto con el directorio de inicio asociado en Ubuntu Linux
Cómo cambiar tu estado activo en LinkedIn

Comentarios