Active Directory, ou AD comme il est souvent appeléto, est la propre version de Microsoft d’un service d’annuaire LDAP. Il existe depuis le serveur Windows 2000 et a remplacé les fonctionnalités de gestion de domaine des serveurs Windows, qui étaient alors obsolètes. Ce service extrêmement complexe prend en charge l'authentification des utilisateurs et des équipements, la localisation de ceux-ci et la gestion des droits d'accès. Étant si complexe, il n’est pas surprenant que plusieurs développeurs aient essayé de créer des outils qui simplifient la gestion d’Active Directory. Nous vous proposons aujourd'hui certains des meilleurs outils Active Directory disponibles sur Internet.
Nous aurons d’abord une discussion générale surles services d'annuaire, leur nature, leur objectif et leur utilité, et vous en donnent un exemple. Ensuite, nous parlerons de LDAP et de X.500, deux protocoles normalisés liés aux services d’annuaire. Ensuite, nous aborderons brièvement l’évolution des services d’annuaire Microsoft. Cela nous amènera au cœur de notre sujet, les meilleurs outils Active Directory que nous avons pu trouver. Nous allons vous donner un bref aperçu de chacun.
Services d'annuaire, ce qu'ils sont
Wikipedia définit un service de répertoire comme suit:un mappage entre les noms de ressources d'un réseau et leurs adresses de réseau respectives."Et dans sa forme la plus simple, c'est vraiment tout ce queest. Dans ce cas, demandez-vous si le système de noms de domaine (DNS) est un service de répertoire? La réponse est un oui retentissant! Mais si c’est aussi simple, pourquoi Active Directory est-il si complexe?
Active Directory, comme la plupart des annuaires modernesservices, implémente beaucoup plus de fonctionnalités que la simple correspondance des noms en adresses. Ils sont au cœur de la sécurité du réseau et contiendront des informations détaillées sur les utilisateurs (comptes d’utilisateur) et les ressources. Ils sont également au centre des mécanismes de contrôle d’accès de la plupart des réseaux. Le service d'annuaire moderne est une base de données où sont stockées la plupart des informations sur un réseau, ses ressources et ses utilisateurs.
Un service de répertoire est une base de données hiérarchique deobjets, chacun représentant une entité différente. Certains objets représentent des utilisateurs, d'autres des ordinateurs ou d'autres ressources disponibles telles que des partages réseau. Les autres objets sont des conteneurs d'objets. La structure hiérarchique facilite la recherche de tout objet et facilite la gestion des autorisations, les objets pouvant hériter des autorisations de leur parent.
Notre objectif n'est pas de vous faire un service d'annuaireexpert, mais plutôt de vous fournir suffisamment d’informations générales pour mieux comprendre ce qu’est Active Directory et d’où vient-il? Voyons quelques exemples concrets de services d’annuaire passés et actuels que vous avez pu rencontrer.
Quelques exemples
DNS est l'un des tout premiers services d'annuaire. Cela remonte au début des années quatre-vingt. Il avait - et a toujours - un seul objectif principal: traduire les noms d’hôte en adresses IP. Il est encore largement utilisé aujourd'hui et constitue l’un des fondements de l’Internet.
le Service d'information réseau, ou NIS, Sun Microsystems a elle-même mis en œuvre un service de noms similaire à DNS pour son écosystème Unix.
Novelle rérépertoire ServicesPlus tard appelé eDirectory—Était le service d'annuaire de Novell Netwareréseaux. Quelque peu similaire à ce qu’Active Directory est aujourd’hui, il s’agissait d’un système complet, utilisé non seulement pour la résolution de noms, mais également pour l’authentification et le contrôle d’accès.
NetInfo a été développé par NEXT et, lorsqu’Apple a acquis la société, est devenu le service d’annuaire de Mac OS avant d’être remplacé par Ouvrir le répertoire.
Finalement, Domaines NT sont un autre exemple d'un service d'annuaire. Ils sont l'ancêtre d'Active Directory. Les domaines NT étaient principalement utilisés à des fins de contrôle d'accès et d'authentification.
X.500 et LDAP, deux normes de services d'annuaire
À l'ère de l'information, l'interopérabilité est plus importante que jamais, ce qui fait émerger des normes dans tous les domaines. Les services d'annuaire ne sont pas différents. Deux normes principales existent, LDAP et X.500.
Le standard X.500, ou plus précisément le X.La série 500 de normes est un groupe de spécifications de l’UIT-T couvrant plusieurs aspects des services d’annuaire électronique. Les premières itérations remontent à 1988, mais le X.500 est encore largement utilisé aujourd'hui.
L'un des objectifs d'un ensemble de protocoles standardproposé par X.500 est d'assurer l'interopérabilité et de permettre aux systèmes de différents fournisseurs d'interagir. X.500 est en réalité un ensemble de neuf protocoles individuels
Le protocole d'accès au répertoire léger, ouLDAP est un protocole d'application standard, ouvert, indépendant du fabricant et ouvert aux fournisseurs, permettant d'accéder aux services d'informations d'annuaire distribués et de les gérer sur un réseau IP. Aujourd’hui, la plupart des implémentations de services d’annuaire, y compris Active Directory de Microsoft, sont compatibles LDAP.
LDAP a été conçu à l’origine comme un véhicule légerprotocole alternatif permettant d'accéder aux services d'annuaire X.500 via la pile de protocoles TCP / IP plus simple. En tant que tels, X.500 et LDAP ne sont pas mutuellement exclusifs mais complémentaires. Par exemple, la spécification LDAP indique que la structure de la base de données de services d'annuaire doit être conforme à X.500.
Les clients LDAP peuvent non seulement lire les attributs deobjets dans une base de données de services d'annuaire, ils peuvent également les modifier. Cela signifie bien entendu que LDAP est sécurisé et offre un mécanisme d'authentification pour se protéger contre les modifications non autorisées.
De domaine NT à Active Directory
Comme indiqué précédemment, les domaines Windows NT étaient lapremière forme de service d'annuaire dans l'écosystème Microsoft. Comme vous avez pu le deviner, ils sont d'abord apparus avec Windows NT, en 1993. Ils disposaient d'une base de données centralisée située sur un contrôleur de domaine principalement responsable de l'authentification des utilisateurs. La base de données pourrait être répliquée sur plusieurs contrôleurs de domaine afin d'assurer la redondance et de garantir que les grands réseaux multisites puissent authentifier les utilisateurs localement.
Avec Windows 2000, Microsoft a publié ActiveAnnuaire. C’était une amélioration bien nécessaire par rapport aux domaines traditionnels utilisés depuis des années. Active Directory fournit plusieurs services différents. D'abord et avant tout, ce sont les services de domaine. Ce sont la pierre angulaire des réseaux Windows. Ils stockent des informations sur les membres du domaine, y compris les périphériques et les utilisateurs, vérifient leurs informations d'identification, les authentifient et définissent leurs droits d'accès.
Autres services importants d'Active Directorycomprennent les services de certificats qui fournissent une infrastructure de clé publique locale. Ils peuvent créer, valider et révoquer des certificats de clé publique pour une utilisation interne dans une organisation. Ces certificats peuvent être utilisés pour chiffrer des fichiers, des courriers électroniques et le trafic réseau. Parmi les autres services fournis par Active Directory, citons les services de fédération, un type de mécanisme de connexion unique et des services de gestion des droits.
Les meilleurs outils Active Directory
La principale caractéristique d’Active Directory estque c'est grand et complexe. Et avec cette complexité viennent les maux de tête de l'administration. Heureusement, de nombreux outils ont été développés par des tiers pour résoudre certains des problèmes liés à l'administration AD. Ce sont les outils que nous avons recherchés et nous vous présentons quelques-uns des meilleurs que nous ayons pu trouver. Cette liste est loin d’être exhaustive, car il existe tout simplement trop d’outils.
1. SolarWinds Server & Application Monitor (ESSAI GRATUIT)
SolarWinds est connu pour faire partie des meilleursoutils d'administration de réseau et de système. Nous avons présenté le produit SolarWinds à maintes reprises lorsque, par exemple, nous avons examiné les meilleurs outils de surveillance SNMP ou les meilleurs collecteurs et analyseurs NetFlow. SolarWinds est également célèbre pour ses outils gratuits, des outils spécifiques aux tâches destinés aux administrateurs.
Il n’est donc pas surprenant que le SolarWinds Server Et Moniteur d'application est sur notre liste. Et bien que son nom sans prétention ne laisse pas penser qu'il s'agit d'un outil Active Directory, son large éventail de fonctionnalités en fait un excellent outil pour la surveillance et la gestion d'Active Directory.
Commençons par examiner comment le SolarWinds Server & Application Monitor peut aider avec la gestion AD. Premièrement, l'outil dispose d'une surveillance du contrôleur de domaine qui surveille plusieurs paramètres opérationnels. Il vous indiquera quand l'utilisation du processeur devient trop importante, lorsqu'un compte d'utilisateur est verrouillé ou en cas de problème de connexion.
Le logiciel surveillera également les compteurs d'objets NTDS, ce qui contribuera à réduire la surcharge du serveur. En outre, le SolarWinds Server et Application Monitor vous donne un aperçu de plusieurs statistiques LDAP, y compris les threads actifs LDAP, le temps de liaison, les sessions client et les liaisons et recherches réussies par seconde.
le SolarWinds Moniteur de serveur et d'application peut envoyer des notifications lorsque les serveurs d'annuaireéchec de la réplication, événement susceptible d'empêcher les utilisateurs d'accéder aux dossiers et aux fichiers. Il fournit également des statistiques détaillées sur les performances liées aux services d'annuaire tels que le système de fichiers distribué, la réplication DFS, la messagerie intersite, le client DNS, l'heure Windows, les services RPC, de serveur et de station de travail et les services de domaine Active Directory, pour ne nommer que les plus importants. les uns.
Mais comme son nom l'indique, cet outil ne sera pas seulementsurveiller les services Active Directory, mais aussi les serveurs eux-mêmes et les applications qui y sont exécutées. Ce package complet peut évoluer des plus petits réseaux aux grands réseaux multi-sites avec des centaines de serveurs physiques et virtuels. Et il peut également surveiller les serveurs dans des environnements cloud tels que ceux d’Amazon Web Services et de Microsoft Azure.
le SolarWinds Server & Application Monitor va d'abord découvrir automatiquement les hôtes et les périphériques survotre réseau. Ensuite, une deuxième analyse de découverte détectera les applications exécutées sur chaque serveur. Une fois qu’il est opérationnel, l’utilisation de cet outil est extrêmement simple, grâce à son interface utilisateur intuitive. En cliquant sur Détail du nœud, par exemple, vous affichez les informations de performance et de santé du nœud.
Prix pour le SolarWinds Server et Application Monitor commence à un peu moins de 2 995 $ et une version d’essai gratuite de 30 jours est disponible au téléchargement.
2. Outils gratuits ManageEngine Active Directory
ManageEngine est un autre nom commun parmi le systèmeet les administrateurs de réseau. Cela fait d’OpManager, sans doute l’un des meilleurs outils de surveillance de l’infrastructure informatique. Et comme SolarWinds, ManageEngine propose également d’excellents outils gratuits. En fait, ils ont plus de quinze outils Active Directory gratuits qui peut aider à surveiller et à administrervotre infrastructure AD. Certains sont des programmes autonomes, tandis que d'autres sont des cmdlets Powershell. Un grand avantage de cette boîte à outils est que la plupart des outils sont regroupés dans un téléchargement unique. Voyons quels sont les plus intéressants de ces outils.
le Outil de requête AD vous permet de lire toutes les données d'attribut que vousrequièrent de l’Active Directory comme le nom d’un utilisateur, son nom de famille, son adresse, etc. L'utilitaire peut également aider à interroger les objets Groupe et Ordinateur Active Directory.
le Outil générateur de fichier CSV va générer un fichier CSV (qui l'aurait pensé?) qui contient un tableau personnalisé d’attributs Active Directory spécifiés par l’utilisateur et les valeurs correspondantes. Le fichier résultant peut être utilisé pour la gestion en vrac d'Active Directory.
le Dernière ouverture de session est utilisé pour répertorier la dernière heure de connexion de tous les utilisateurs ou de tous les utilisateurs sélectionnés dans tous les contrôleurs de domaine sélectionnés du domaine. Il est généralement utilisé pour les activités d'audit et de nettoyage.
le Gestionnaire de session de terminal est une applet de commande Powershell que vous pouvez utiliser pour identifieret gérer plusieurs sessions de terminal dans un domaine à partir d'un seul point. Grâce à elle, les sessions de terminal pour plusieurs utilisateurs d’un domaine peuvent être gérées, déconnectées ou déconnectées.
le Gestionnaire de réplication Active Directory permet aux administrateurs de forcer la réplication dedonnées dans un domaine ou la forêt entière. Il permet également la réplication des données entre deux contrôleurs de domaine et répertorie des rapports complets sur la dernière réplication.
le Analyseur de port DMZ permet aux administrateurs de vérifier l'état des ports requis par toute application tierce pour fonctionner avec Active Directory. Il peut être utilisé pour ouvrir les ports appropriés sur les pare-feu.
le Reporter des rôles de contrôleur de domaine répertorie tous les contrôleurs de domaine et leurs rôles respectifs dans le domaine. Cela peut aider les administrateurs à identifier tout rôle associé à un contrôleur de domaine.
le Gestionnaire d'utilisateurs local aide les administrateurs à gérer les comptes d'utilisateurs dans le domaine. Il fournit des informations sur les comptes d'utilisateurs locaux et permet également la gestion de ces comptes à l'aide d'une interface utilisateur pratique.
le Outil de surveillance du contrôleur de domaine est un outil simple qui découvre automatiquement les domaineset les affiche. Il montrera divers paramètres des contrôleurs de domaine, tels que l'utilisation du processeur, l'utilisation du disque et l'utilisation de la mémoire. Vous pouvez également afficher d'autres paramètres tels que les lectures de pages par seconde, les écritures de pages par seconde, les lectures de fichiers, les écritures de fichiers, etc.
le Gestionnaire de politique de mot de passe permet à tout utilisateur de récupérer et d’afficher la stratégie de mot de passe du domaine. Il permet également aux utilisateurs disposant de droits d'administrateur de modifier la stratégie de mot de passe du domaine.
Comme son nom l'indique, le Outil de rapport des utilisateurs de mot de passe vide est utilisé pour rechercher les comptes d'utilisateur avec les champs de mot de passe définis sur null, aidant ainsi les administrateurs à éviter tout problème lié à la sécurité.
le Recherche de doublons Active Directory est un utilitaire Powershell qui permet aux administrateursidentifier les entrées en double pour les attributs Active Directory dans un domaine. Les entrées en double sont répertoriées de manière pratique, ce qui aide les administrateurs à garantir un annuaire actif sans doublon.
le Reporter DNS vous aide à obtenir des informations relatives à votreinfrastructure DNS du réseau. Il peut afficher les détails des enregistrements DNS disponibles, leurs types d’enregistrement correspondants, leurs adresses IP et les détails du service en saisissant simplement un nom de domaine.
le Gestion des comptes de service est conçu pour vous aider à créer, éditer et supprimer facilement des comptes de service gérés en quelques clics. Cet outil ne nécessite aucune connaissance de PowerShell, l’outil habituel utilisé pour accomplir ces tâches.
le Rapport d'utilisateurs de mot de passe faible aide à trouver des mots de passe faibles dans Active Directory enen comparant les mots de passe des utilisateurs à une liste de plus de 100 000 mots de passe faibles couramment utilisés. Vous pouvez ensuite forcer les utilisateurs dont le mot de passe est faible à changer de mot de passe lors de leur prochaine connexion.
3. Enow Compass
Boussole de ENow Software vous aide à identifier les problèmes cachés dans votre environnement avant qu’ils ne soient compromis. Il permet une surveillance réseau en temps réel de votre Active Directory et de tous les contrôleurs de domaine. Boussole peut vous assurer que votre Active Directory est en bonne santé ensurveillance de la réplication DFS / FRS Il trouvera également des problèmes de résolution de noms DNS et facilitera le dépannage des applications problématiques afin que votre AD continue de fonctionner correctement.
Boussole a plus de 50 rapports qui incluent la vérification de laDomain Admins Group, l'identification et la suppression des comptes d'utilisateurs inactifs et l'identification des rôles FSMO. L'outil est rapide à installer et facile à utiliser. Il comporte un tableau de bord intuitif et facile à utiliser qui permet d'identifier les problèmes rapidement avant qu'ils ne deviennent des pannes.
Informations détaillées sur les prix pour Boussole peut être obtenu en contactant le service des ventes d’Enow et un essai gratuit de 14 jours peut être obtenu.
4. Moniteur Anturis Active Directory
La moitié du travail de gestion d’Active Directory est d’assurer le bon fonctionnement de tous les services et c’est exactement ce que le Moniteur Active Directory d'Anturis est tout au sujet. Cet outil peut vous alerter de situations anormales via des notifications par e-mail, SMS ou appel vocal. Vous pouvez également utiliser le Moniteur Active Directory d'établir des bases de performance pour votreLes serveurs Active Directory et la structure de réplication vous permettant de reconnaître les tendances de performances et d'aider à réduire le risque de goulots d'étranglement avant qu'ils n'aient un impact négatif sur vos performances AD.
le Moniteur Active Directory va vous montrer les sessions serveur et LDAP et définirseuils d'alerte. Il vous montrera également les authentifications Kerberos et NTLM par seconde, ce qui vous donnera une idée de la charge générale du serveur. Et la réplication étant l’un des aspects les plus importants d’Active Directory, les mesures de performance de la réplication telles que l’état de la réplication, les synchronisations de réplication DRA en attente et les opérations de réplication en attente DRA sont également surveillées.
Moniteur Active Directory est un service en nuage et plusieurs abonnementsLes forfaits sont disponibles à des prix allant de 10 $ / mois pour 10 moniteurs à 650 $ / mois pour 1000 moniteurs. Une version gratuite est également disponible mais elle est limitée à 5 moniteurs. Cependant, tous les plans payants ont un essai gratuit de 30 jours.
5. Administrateur actif de quête
Las sur notre liste est le Quête Administrateur actif. C'est un actif complet et intégréSolution logicielle de gestion d'annuaire. Il comble les lacunes laissées par les outils de Microsoft. Les outils permettront de répondre plus facilement et plus rapidement aux exigences d’audit et de sécurité. Il comporte des fonctionnalités abordant plusieurs des domaines les plus importants de la gestion des DA.
Parmi les principales caractéristiques de cet outil, ActiveAdministrateur offre une administration intégrée et proactive. Il propose également des rapports et des alertes intuitifs, vous permettant de surveiller et de signaler rapidement les modifications en filtrant le type d'événement, l'utilisateur et la date, ainsi que l'activité de connexion et de verrouillage de l'utilisateur. Vous pouvez également définir des alertes d'événement et automatiser des actions basées sur des alertes.
La tarification pour Active Administrator est activéecompte d'utilisateur dans votre AD et commence à 16,37 USD pour une licence perpétuelle avec un an d'assistance. Une licence minimale pour 20 comptes d'utilisateurs doit être achetée. Une version d'essai gratuite de 30 jours peut être téléchargée.
commentaires