- - Introduction aux domaines et forêts Active Directory - Meilleurs outils Active Directory

Introduction aux domaines et forêts Active Directory - Meilleurs outils Active Directory

Depuis sa création, il y a presque exactement 20 ans avec l'introduction de Windows 2000 Server Edition en février 1999, Active Directory a été un élément clé de l'écosystème de serveurs Microsoft. Son objectif principal est de conserver les informationssur les ressources en réseau. Les réseaux informatiques peuvent être assez compliqués. Par conséquent, Active Directory a tendance à être compliqué également, c'est pourquoi notre objectif principal aujourd'hui est de vous fournir une introduction aux domaines et forêts Active Directory.

Nous n'avons pas l'intention de vous faire Active Directoryexperts, mais notre espoir est de faire la lumière sur ce sujet compliqué. De plus, étant donné le niveau relativement élevé de complexité de la technologie, il n'est pas surprenant que plusieurs outils tiers aient été créés pour surveiller et / ou gérer divers aspects d'Active Directory. Nous allons donc voir ce que certains d'entre eux peuvent faire pour vous.

Voici comment nous planifions notre voyage dans lecœur d'Active Directory: nous allons commencer par lever toute confusion qu'il pourrait y avoir avec le concept de domaine. C'est un élément clé de la MA, mais aussi un élément clé de l'Internet et pourtant, ce sont deux types de domaines complètement différents à ne pas confondre. Nous présenterons ensuite Active Directory, ce qu'il est et d'où il vient. Ensuite, nous allons discuter des domaines AD et des arbres que nous utilisons pour représenter leur structure. Dans la nature, un groupe d'arbres s'appelle une forêt. Eh bien, la même chose est vraie dans Active Directory comme nous le verrons ensuite. La gestion et la surveillance d'Active Directory seront notre prochain ordre du jour et enfin, sur le sujet, nous passerons en revue certains des meilleurs outils de surveillance et de gestion d'Active Directory.

Éviter la confusion - Qu'est-ce qu'un domaine?

Un domaine peut être beaucoup de choses selon ce quedomaine dans lequel vous vous trouvez. Même dans le domaine des technologies de l'information, le terme domaine est utilisé pour deux choses très différentes. Le premier type de domaine, celui que la plupart des utilisateurs d'ordinateurs, même ceux qui ne sont pas informaticiens, connaît, est le domaine Internet. Il s'agit d'un groupe de ressources Internet appartenant à une organisation spécifique. Les noms de domaine sont utilisés pour accéder à diverses ressources à l'aide de noms conviviaux (er) plutôt que d'adresses IP cryptées. Par exemple, addictivetips.com est le nom de domaine de ce site Web. Microsoft.com est un autre nom de domaine bien connu et je suis sûr que vous pouvez facilement penser à des dizaines d'autres.

L'autre endroit où le terme domaine est largementutilisé est lié à Active Directory. Un domaine Active Directory est un groupe de ressources (remarquez la similitude avec les domaines précédents?) Couvert par une seule base de données d'authentification. Nous décrirons les domaines AD plus en détail sous peu. Pour l'instant, la clé est de comprendre que le même terme est utilisé pour définir deux concepts totalement indépendants et qu'il est important de ne pas les mélanger car ils ne sont certainement pas la même chose.

Active Directory en bref

La première question que les gens posent généralementActive Directory, c'est: qu'est-ce que c'est exactement? La réponse est simple, c’est la mise en œuvre par Microsoft d’un service d’annuaire LDAP. Bien que cette réponse soit absolument exacte, elle est peut-être inutile et soulève plus de questions qu'elle n'en répond.

Creusons. Premièrement, un service d'annuaire, dans le contexte des réseaux informatiques, est une base de données qui contient des informations sur chaque composant d'un réseau. Par composants, nous entendons chaque ordinateur et serveur mais aussi chaque utilisateur ou groupe d'utilisateurs ou chaque annuaire. Vous pouvez le considérer comme un annuaire téléphonique. Toute ressource qui a besoin de trouver une autre ressource la recherche dans le répertoire.

Quant à la partie LDAP de notre réponse initiale, il estun acronyme pour Lightweight Directory Access Protocol. En termes simples, LDAP définit comment les informations sur les ressources sont stockées dans la base de données et comment ces informations sont accessibles. Il s'agit d'un protocole standard de l'industrie partagé par plusieurs fournisseurs, ce qui, malheureusement, ne signifie pas que diverses implémentations sont interopérables.

Une structure Active Directory est une structure hiérarchiqueorganisation des objets. Il existe trois catégories principales d'objets: les ressources (comme les ordinateurs ou les imprimantes, par exemple), les services (comme le courrier électronique) et les utilisateurs (comptes d'utilisateurs et groupes d'utilisateurs). Active Directory fournit des informations sur les objets, les organise et contrôle leur accès et leur sécurité. Il s'agit, à toutes fins utiles, d'une base de données d'entrées, chaque entrée ayant un nom et un ensemble d'attributs. Chaque attribut a un nom, un type et une ou plusieurs valeurs. Les attributs sont définis dans le schéma de la base de données.

Vous pouvez penser à la structure hiérarchique d'unBase de données Active Directory comme celle d'un système de fichiers. Et tout comme un système de fichiers a des conteneurs (appelés répertoires ou dossiers), AD les a aussi. Ils sont appelés unités organisationnelles (OU) et ils aident à regrouper les choses liées. Les administrateurs système sont libres de créer des unités d'organisation comme bon leur semble et il n'est pas rare, par exemple, de voir des unités d'organisation individuelles pour chaque département d'une organisation.

Domaines Active Directory

Maintenant que nous sommes tous sur la même longueur d'ondeActive Directory, voyons les domaines. Fait intéressant, les domaines sont antérieurs à Active Directory de plusieurs années. Avant même que Microsoft ne publie son propre service d'annuaire LDAP en 1999, des domaines existaient depuis les débuts de Windows NT. Dans un réseau typique de serveurs Windows, au moins l'un d'entre eux - et souvent deux ou plus - sont configurés en tant que contrôleurs de domaine. Ce sont les serveurs hébergeant la base de données du domaine, authentifiant ainsi les utilisateurs et contrôlant l'accès aux ressources. Les informations qu'ils détiennent sont reproduites entre eux. Et enfin et surtout, les objets d'un domaine sont organisé de façon hiérarchique.

Les arbres et la forêt

Une analogie d'arbre est souvent utilisée pour décrirestructures hiérarchiques comme un domaine. Mais avec Active Directory, Microsoft a décidé de pousser cette analogie un peu plus loin et il appelle une structure hiérarchique de domaines un arbre. N'oubliez pas qu'un domaine est un groupe de ressources sous le contrôle d'une base de données mais une arborescence, pour diverses raisons, peut être composée de plusieurs domaines. C'est quelque chose qui est en fait assez courant dans les grandes organisations et il n'est pas rare du tout de voir un domaine pour chaque division d'une grande entreprise. Et pour des organisations encore plus grandes, les arbres peuvent être regroupés, vous l'aurez deviné, en forêts. Il s'agit de l'élément le plus élevé d'Active Directory et tout le reste en découle.

Arbres et forêts dans Active Directory

Gestion et surveillance d'Active Directory

La surveillance est tout! Si vous êtes un administrateur réseau ou système, vous avez probablement entendu cette phrase un nombre incalculable de fois. Et tu sais quoi? C'est tout! La surveillance est l'un des meilleurs moyens de rester au courant des choses. Il existe différents types d'outils de surveillance qui vous permettront d'obtenir précisément le type de métriques que vous recherchez. Par exemple, la surveillance de la bande passante rendra compte de l'utilisation de différents segments d'un réseau, la surveillance du CPU affichera les jauges CPU de vos serveurs. La plupart des mesures opérationnelles des systèmes et des réseaux peuvent être surveillées. Le principal avantage de l'utilisation des outils de surveillance est qu'ils sont pour la plupart automatiques. Vous n'avez pas besoin de les regarder constamment. Chaque fois que quelque chose sort de l'ordinaire, votre ou vos outils de surveillance vous alerteront.

Dans le cas d'Active Directory, plusieursles paramètres peuvent être surveillés. Par exemple, les contrôleurs de domaine - les serveurs sur lesquels la base de données d'un domaine est stockée - peuvent être surveillés pour la réponse et les performances. Les modifications des droits d'accès pourraient également être surveillées avec un certain avantage. Les connexions, en particulier celles qui ont échoué, sont un autre paramètre qui mérite d'être surveillé car cela pourrait être une indication d'activité malveillante.

La gestion Active Directory est autre chose. Plusieurs outils sont fournis par Microsoft pour vous aider à gérer Active Directory. Ils vous permettront de créer des objets, d'attribuer des droits et d'effectuer généralement la plupart des activités quotidiennes liées à la gestion AD. Cependant, certains de ces outils peuvent s'avérer assez lourds ou peu pratiques à utiliser et plusieurs fournisseurs ont décidé de proposer divers outils de gestion Active Directory qui peuvent rendre la tâche d'administration d'Active Directory beaucoup plus facile.

Les meilleurs outils AD

Nous avons parcouru le marché pour trouver certains des meilleursOutils Active Directory. Ce que nous avons pour vous aujourd'hui est un mélange d'outils de surveillance - certains spécifiques à AD et d'autres génériques - et d'outils de gestion. Tous peuvent vous aider - et c'était l'un de nos principaux critères d'inclusion - dans vos tâches quotidiennes en ce qui concerne Active Directory. Certains sont axés sur la sécurité tandis que d'autres sont axés sur les performances.

1- Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT)

SolarWinds est l'un des meilleurs éditeurs de logiciels d'administration réseau et système. Son produit phare appelé Analyseur de performances réseau se classe régulièrement parmi le meilleur réseausystèmes de surveillance de la bande passante. De plus, la société est également réputée pour ses logiciels libres. Nous parlons de petits outils, chacun répondant à un besoin spécifique des administrateurs réseau. Deux grands exemples de ces outils gratuits sont les Calculateur de sous-réseau avancé et le Kiwi Syslog Server.

Malgré un nom quelque peu trompeur qui pourrait vous faire croire qu'il ne traite que des autorisations d'objet, le Gestionnaire de droits d'accès SolarWinds vise principalement à rendre le provisionnement des utilisateurset le désapprovisionnement, le suivi et la surveillance sont faciles. Il offre également un moyen puissant et facile de gérer et de surveiller les autorisations des utilisateurs pour garantir qu'aucune autorisation inutile n'est accordée.

Capture d'écran de SolarWinds Access Rights Manager

  • ESSAI GRATUIT: Gestionnaire de droits d'accès SolarWinds
  • Lien de téléchargement: https://www.solarwinds.com/access-rights-manager/registration

L'une des plus grandes forces de ce produit estson tableau de bord intuitif de gestion des utilisateurs que vous pouvez utiliser pour créer, modifier, supprimer, activer et désactiver les accès des utilisateurs à différents fichiers et dossiers. Il propose des modèles spécifiques aux rôles qui peuvent facilement donner aux utilisateurs l'accès à des ressources spécifiques sur votre réseau.

Aussi très intéressants et tout à fait uniques sont les Gestionnaire de droits d'accès SolarWindsFonctionnalités de création de rapports. Le logiciel peut créer des rapports qui peuvent être utilisés comme preuve en cas de litiges ou d'éventuels litiges. Des rapports détaillés à des fins d'audit et de conformité aux spécifications établies par les normes réglementaires applicables à votre entreprise sont également disponibles. Les rapports peuvent être créés rapidement et facilement en quelques clics. Ils peuvent inclure toute information que vous jugerez utile. Par exemple, les activités de journalisation dans Active Directory et les accès au serveur de fichiers peuvent être inclus dans un rapport. Il appartient à l'utilisateur de les rendre aussi résumés ou détaillés que nécessaire.

Les attaques et / ou les fuites de données se produisent souvent lorsqueLes utilisateurs qui accèdent aux dossiers et / ou à leur contenu ne sont pas ou ne devraient pas être autorisés à y accéder, ce qui est fréquent lorsque les utilisateurs se voient accorder un accès étendu aux dossiers ou aux fichiers. le Gestionnaire de droits d'accès SolarWinds peut vous aider à prévenir ces types de fuites etmodifications non autorisées des données et fichiers confidentiels. Il offre aux administrateurs une représentation visuelle des autorisations pour plusieurs serveurs de fichiers et permet de voir facilement et visuellement qui a quelle autorisation sur quel fichier.

Prix ​​pour le Gestionnaire de droits d'accès SolarWinds est basé sur le nombre d'utilisateurs activés dans Active Directory. Dans SolarWinds langage, un utilisateur activé est soit un utilisateur actifun compte utilisateur ou un compte de service. Les prix du produit commencent à 2 995 $ pour jusqu'à 100 utilisateurs actifs. Pour plus d'utilisateurs (jusqu'à 10 000), des prix détaillés peuvent être obtenus en contactant les ventes SolarWinds. Si vous souhaitez tester l'outil avant de l'acheter, une version d'essai gratuite et illimitée de 30 jours peut être obtenue.

2- SolarWinds Server et moniteur d'application (ESSAI GRATUIT)

le SolarWinds Server et Application Monitor a été conçu pour aider les administrateurs à surveillerserveurs, leurs paramètres opérationnels, leurs processus et les applications qui y sont exécutées. C'est l'un des meilleurs outils que vous pouvez utiliser pour surveiller vos contrôleurs de domaine Active Directory et les services essentiels dont ils ont besoin pour fonctionner. Mais l'outil surveillera également tout ou partie de vos serveurs. Il peut facilement évoluer du plus petit des réseaux aux grands avec des centaines de serveurs, physiques et virtuels, répartis sur plusieurs sites.

Tableau de bord SolarWinds Server et Application Monitor

  • ESSAI GRATUIT: SolarWinds Server et Application Monitor
  • Lien de téléchargement: https://www.solarwinds.com/server-application-monitor/registration

La surveillance des performances Active Directory offerte par le SolarWinds Server et Application Monitor vous donne un aperçu des problèmes liés à Active Directoryliés au compte d'utilisateur tels que la création de compte, les tentatives de changement de mot de passe et de réinitialisation, les comptes d'utilisateurs désactivés et supprimés. Il fournira également des informations sur les modifications de stratégie de domaine et système et la récupération de données, tout comme il fournit également un aperçu des paramètres du pare-feu et d'autres modifications du système et des services en cours d'exécution. L'outil permet également la surveillance des sessions LDAP. Le nombre de clients connectés ayant un impact sur la charge du serveur, l'outil surveille les compteurs d'objets NTDS pour éviter une surcharge du serveur connectée à une session LDAP spécifique. En outre, le logiciel peut fournir des informations sur les statistiques avancées, telles que les threads actifs LDAP, le temps de liaison, les sessions client, les liaisons réussies / s et les recherches / s.

La configuration initiale du produit est rapidementet facilement réalisé à l'aide d'un processus de découverte automatique en deux passes. Le premier passage découvre chaque serveur et le second trouvera des applications sur chaque serveur découvert. Bien que ce processus puisse prendre du temps, il peut être accéléré en fournissant une liste d'applications spécifiques à rechercher. Une fois l'outil opérationnel, l'interface graphique conviviale facilite son utilisation. Le tableau de bord de l'outil peut être personnalisé et il vous permettra d'afficher des informations sous forme de tableau ou de format graphique.

Prix ​​pour le SolarWinds Server et Application Monitor commence à 2 995 USD et est basé sur le nombre de composants, de nœuds et de volumes surveillés. Une version d'essai gratuite de 30 jours est disponible au téléchargement si vous souhaitez essayer le produit avant de l'acheter.

3- Outils AD gratuits de ManageEngine

Moteur de gestion est un autre nom bien connu des administrateurs système et réseau. Ses ManageEngine OpManager package est parmi les meilleures infrastructures informatiquesoutils de suivi. Comme certains de ses concurrents, ManageEngine propose d'excellents outils gratuits. Et en ce qui concerne Active Directory, la société propose pas moins de quinze outils gratuits qui peuvent vous aider à surveiller et administrer votre infrastructure AD. Il existe une combinaison de programmes autonomes et d'applets de commande Powershell. La plupart des outils sont regroupés en un seul téléchargement, donc leur obtention ne devrait pas être un gros problème. Voyons quels sont les outils les plus intéressants.

  • Outil de requête AD, comme son nom l'indique, vous permet de lire toutes les données d'attribut dont vous avez besoin dans Active Directory
  • Dernière ouverture de session est utilisé pour répertorier la dernière heure de connexion de tous ou des utilisateurs sélectionnés dans tous les contrôleurs de domaine sélectionnés dans le domaine. Il est généralement utilisé pour les activités d'audit et de nettoyage.
  • Gestionnaire de réplication Active Directory permet aux administrateurs de répliquer des données dans un domaine et fournit des rapports complets sur la dernière réplication.
  • Reporter des rôles de contrôleur de domaine répertorie tous les contrôleurs de domaine et leurs rôles respectifs dans le domaine.
  • Outil de surveillance du contrôleur de domaine est un outil simple mais puissant. Il découvrira automatiquement les domaines et les affichera, montrant les paramètres importants des contrôleurs de domaine tels que l'utilisation du processeur, l'utilisation du disque et l'utilisation de la mémoire.

Outil de surveillance ManageEngine Active Directory DC

  • Gestionnaire de politique de mot de passe permet de récupérer, d'afficher et de modifier, à condition qu'il dispose des droits appropriés, la politique de mot de passe du domaine.
  • Recherche de doublons Active Directory est un utilitaire Powershell qui permet aux administrateurs d'identifier les entrées en double pour les attributs Active Directory dans un domaine.
  • Gestion des comptes de service est conçu pour vous aider à créer, modifier et supprimer facilement des comptes de services gérés en quelques clics.
  • Rapport d'utilisateurs de mot de passe faible aide à trouver les mots de passe faibles dans Active Directory en comparant les mots de passe des utilisateurs à une liste de plus de 100 000 mots de passe faibles couramment utilisés.

Ce ne sont que quelques-uns des nombreux gratuits Outils Active Directory fourni par ManageEngine. Bien que l'utilisation d'outils séparés pour chaque tâche individuelle ne soit probablement pas aussi pratique que l'utilisation d'un outil intégré avec toutes les fonctionnalités intégrées, le prix de ces outils est difficile à battre et pourrait certainement en faire une option à considérer.

4- Administrateur actif

Le dernier sur notre liste est Administrateur actif de Logiciel de quête, fait maintenant partie de Dell. Ceci est un actif complet et intégréSolution logicielle de gestion d'annuaire. Il comble les lacunes que certains outils de Microsoft laissent derrière. C'est le genre d'outil qui permet de répondre plus facilement et plus rapidement aux exigences de sécurité et d'audit. Il présente des fonctionnalités couvrant bon nombre des domaines les plus importants de la gestion de la DA.

Capture d'écran de Quest Active Administrator

Parmi les principales fonctionnalités de l'outil, Administrateur actif offre une administration intégrée et proactive. Il s'agit également d'un outil de surveillance très puissant doté de rapports et d'alertes intuitifs, vous permettant de découvrir rapidement les modifications et de les signaler en filtrant par type d'événement, utilisateur et date, ainsi que par connexion et activité de verrouillage des utilisateurs. Vous pouvez également définir des alertes d'événement et lancer automatiquement des actions basées sur des alertes.

Prix ​​pour Administrateur actif est par compte d'utilisateur activé dans votre ActiveAnnuaire et il commence à 16,37 $ pour une licence perpétuelle avec un an de support. Une licence minimale pour 20 comptes utilisateur doit être achetée. Une version d'essai gratuite de 30 jours peut être téléchargée.

Lire aussi

CodeTwo Photos Active Directory ajoute des photos aux utilisateurs Active Directory
SysAdmin Anywhere facilite la gestion des domaines serveur 2008/2003 avec l'interface utilisateur Metro
Identifier les comptes utilisateur Active Directory non utilisés avec AD Tidy
Vérifier les utilisateurs du domaine avec l'authentification d'utilisateur par rapport à Active Directory
Supprimer les fichiers journaux du répertoire Windows à l'aide de l'invite de commande
Copier des structures de répertoires complexes sans copier les fichiers à l'intérieur
GetFolder: liste de fichiers / répertoires d'exportation dans Active Directory
TreeSizeNet - Arborescence de la taille des fichiers et des répertoires
Masquer automatiquement toute fenêtre active avec WinAutoHide
Ajouter les utilisateurs Unix, Linux et Mac OS à Active Directory avec le même
Supprimer complètement un utilisateur avec le répertoire principal associé sous Ubuntu Linux
Comment changer votre statut actif sur LinkedIn

commentaires