Sin dal suo inizio, quasi esattamente 20 anni fa con l'introduzione di Windows 2000 Server Edition nel febbraio 1999, Active Directory è stato un componente chiave dell'ecosistema di server Microsoft. Il suo scopo principale è conservare le informazionisulle risorse di rete. Le reti di computer possono essere piuttosto complicate. Di conseguenza, anche Active Directory tende a essere complicato, motivo per cui il nostro obiettivo principale oggi è fornire un'introduzione ai domini e alle foreste di Active Directory.
Non intendiamo renderti Active Directoryesperti, ma la nostra speranza è di far luce su questo argomento complicato. Inoltre, dato il livello relativamente elevato di complessità della tecnologia, non sorprende che siano stati creati numerosi strumenti di terze parti per monitorare e / o gestire vari aspetti di Active Directory. Quindi, daremo un'occhiata a ciò che alcuni di loro possono fare per te.
Ecco come stiamo pianificando il nostro viaggio nelnucleo di Active Directory: inizieremo sollevando ogni confusione che potrebbe esserci con il concetto di dominio. È un elemento chiave di AD ma anche un elemento chiave di Internet e, tuttavia, sono due tipi di domini completamente diversi che non devono essere confusi. Presenteremo quindi Active Directory, di cosa si tratta e da dove proviene. Successivamente, discuteremo i domini AD e gli alberi che utilizziamo per rappresentare la loro struttura. In natura, un gruppo di alberi è chiamato foresta. Bene, la stessa cosa è vera in Active Directory come vedremo dopo. La gestione e il monitoraggio di Active Directory saranno il nostro prossimo ordine di attività e infine, mentre ci occuperemo della questione, esamineremo alcuni dei migliori strumenti di monitoraggio e gestione di Active Directory.
Evitare la confusione: cos'è un dominio?
Un dominio può essere molte cose a seconda di cosacampo in cui ti trovi. E anche all'interno dell'Information Technology, il termine dominio viene utilizzato per due cose molto diverse. Il primo tipo di dominio, quello che la maggior parte degli utenti di computer - anche quelli che non sono informatici - hanno familiarità è il dominio Internet. È un gruppo di risorse Internet appartenenti a un'organizzazione specifica. I nomi di dominio vengono utilizzati per accedere a varie risorse utilizzando nomi (er) intuitivi anziché indirizzi IP criptici. Ad esempio, addictivetips.com è il nome di dominio di questo sito Web. Microsoft.com è un altro nome di dominio noto e sono abbastanza sicuro che puoi facilmente pensare a dozzine di più.
L'altro luogo in cui il termine dominio è ampiamenteutilizzato è correlato ad Active Directory. Un dominio Active Directory è un gruppo di risorse (notate la somiglianza con i domini precedenti?) Coperti da un singolo database di autenticazione. Descriveremo i domini AD in maggiori dettagli a breve. Per ora, la chiave è capire che lo stesso termine è usato per definire due concetti totalmente indipendenti e che è importante non confonderli perché sicuramente non sono la stessa cosa.
Active Directory in breve
La prima domanda che la gente generalmente poneActive Directory è: che cos'è esattamente? La risposta è semplice, è l'implementazione di Microsoft di un servizio di directory LDAP. Sebbene questa risposta sia assolutamente esatta, è probabilmente inutile e solleva più domande di quante non risponda.
Scaviamo. Innanzitutto, un servizio di directory, nel contesto delle reti di computer, è un database che contiene informazioni su ogni singolo componente di una rete. Per componenti intendiamo ogni computer e server ma anche ogni utente o gruppo di utenti o ogni directory. Puoi pensarlo come un elenco telefonico. Qualsiasi risorsa che deve trovare un'altra risorsa la cerca nella directory.
Per quanto riguarda la parte LDAP della nostra risposta iniziale, lo èun acronimo per Lightweight Directory Access Protocol. In termini semplici, LDAP definisce come le informazioni sulle risorse sono archiviate nel database e come è possibile accedere a tali informazioni. Si tratta di un protocollo standard di settore condiviso da diversi fornitori che, sfortunatamente, non significa che varie implementazioni siano interoperabili.
Una struttura di Active Directory è gerarchicaorganizzazione di oggetti. Esistono tre categorie principali di oggetti: risorse (come computer o stampanti, ad esempio), servizi (come e-mail) e utenti (account utente e gruppi di utenti). Active Directory fornisce informazioni sugli oggetti, li organizza e ne controlla l'accesso e la sicurezza. È, a tutti gli effetti, un database di voci con ciascuna voce che ha un nome e un insieme di attributi. Ogni attributo ha un nome, un tipo e uno o più valori. Gli attributi sono definiti nello schema del database.
Puoi pensare alla struttura gerarchica di unDatabase di Active Directory come quello di un file system. E proprio come un file system ha contenitori (chiamati directory o cartelle), anche AD li ha. Si chiamano Unità organizzative (OU) e aiutano a raggruppare le cose correlate. Gli amministratori di sistema sono liberi di creare unità organizzative nel modo che ritengono opportuno e non è insolito, ad esempio, vedere singole unità organizzative per ciascun reparto di un'organizzazione.
Domini Active Directory
Ora che siamo tutti sulla stessa pagina di cosaActive Directory è, diamo un'occhiata ai domini. È interessante notare che i domini precedono Active Directory di diversi anni. Anche prima che Microsoft avesse rilasciato il proprio servizio di directory LDAP nel 1999, i domini esistevano sin dai primi giorni di Windows NT. In una tipica rete di server Windows, almeno uno di essi - e spesso due o più - sono configurati come controller di dominio. Sono i server che ospitano il database di dominio, quindi autenticano gli utenti e controllano l'accesso alle risorse. Le informazioni in loro possesso vengono replicate tra di loro. E, ultimo ma non meno importante, gli oggetti in un dominio siamo organizzato in modo gerarchico.
Gli alberi e la foresta
Un'analogia dell'albero è spesso usata per descriverestrutture gerarchiche come un dominio. Ma con Active Directory, Microsoft ha deciso di spingere ulteriormente tale analogia e chiama una struttura gerarchica di domini un albero. Ricorda, un dominio è un gruppo di risorse sotto il controllo di un database ma un albero, per vari motivi può essere composto da più domini. Questo è qualcosa che in realtà è abbastanza comune nelle organizzazioni più grandi e non è affatto raro vedere un dominio per ogni divisione di una grande azienda. E per organizzazioni ancora più grandi, gli alberi possono essere raggruppati, avete indovinato, foreste. Questo è l'elemento più in alto in Active Directory e tutto il resto discende da esso.
Gestione e monitoraggio di Active Directory
Il monitoraggio è tutto! Se sei un amministratore di rete o di sistema, probabilmente hai sentito quella frase innumerevoli volte. E tu sai cosa? È tutto! Il monitoraggio è uno dei modi migliori per rimanere al passo con le cose. Esistono vari tipi di strumenti di monitoraggio che ti permetteranno di ottenere esattamente il tipo di metriche che stai cercando. Ad esempio, il monitoraggio della larghezza di banda riporterà l'utilizzo di diversi segmenti di una rete, il monitoraggio della CPU mostrerà gli indicatori della CPU dei server. È possibile monitorare la maggior parte delle metriche operative di sistemi e reti. Il vantaggio principale dell'utilizzo degli strumenti di monitoraggio è che sono per lo più automatici. Non devi guardarli costantemente. Ogni volta che qualcosa è fuori dal comune, i tuoi strumenti di monitoraggio ti avviseranno.
Nel caso di Active Directory, diversii parametri possono essere monitorati. Ad esempio, i controller di dominio, i server in cui sono archiviati i database di un dominio, potrebbero essere monitorati per la risposta e le prestazioni. Le modifiche ai diritti di accesso potrebbero anche essere monitorate con qualche vantaggio. Gli accessi, in particolare quelli non riusciti, sono un altro parametro che vale la pena monitorare in quanto potrebbe essere un'indicazione di attività dannosa.
La gestione di Active Directory è qualcos'altro. Diversi strumenti sono forniti da Microsoft per aiutarti a gestire Active Directory. Ti permetteranno di creare oggetti, assegnare diritti ed eseguire generalmente la maggior parte delle attività quotidiane relative alla gestione di annunci pubblicitari. Tuttavia, alcuni di questi strumenti possono rivelarsi piuttosto ingombranti o poco pratici da utilizzare e diversi fornitori hanno intensificato per offrire vari strumenti di gestione di Active Directory che possono rendere molto più semplice l'attività di amministrazione di Active Directory.
I migliori strumenti AD
Abbiamo setacciato il mercato per alcuni dei miglioriStrumenti di Active Directory. Quello che abbiamo per te oggi è un mix di strumenti di monitoraggio - alcuni specifici di AD e alcuni generici - e strumenti di gestione. Tutti possono aiutarti - e questo era uno dei nostri principali criteri di inclusione - con le tue attività quotidiane in relazione ad Active Directory. Alcuni sono orientati alla sicurezza, mentre altri sono orientati alle prestazioni.
1- SolarWinds Access Rights Manager (PROVA GRATUITA)
SolarWinds è uno dei migliori editori di software di amministrazione di rete e di sistema. Il suo prodotto di punta chiamato il Network Performance Monitor segna costantemente tra i migliori networksistemi di monitoraggio della larghezza di banda. Inoltre, la società è anche famosa per il suo software gratuito. Stiamo parlando di strumenti più piccoli, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Due grandi esempi di questi strumenti gratuiti sono i Calcolatore di sottorete avanzato e il Kiwi Syslog Server.
Nonostante un nome un po 'fuorviante che potrebbe farti credere che si tratti solo di autorizzazioni per gli oggetti, il SolarWinds Access Rights Manager è principalmente finalizzato al provisioning degli utentie facile provisioning, monitoraggio e monitoraggio. Offre inoltre un modo semplice e potente di gestire e monitorare le autorizzazioni degli utenti per garantire che non vengano concesse autorizzazioni non necessarie.
- PROVA GRATUITA: SolarWinds Access Rights Manager
- Link per scaricare: https://www.solarwinds.com/access-rights-manager/registration
Uno dei maggiori punti di forza di questo prodotto èla sua dashboard di gestione utenti intuitiva che è possibile utilizzare per creare, modificare, eliminare, attivare e disattivare gli accessi degli utenti a diversi file e cartelle. È dotato di modelli specifici per ruolo che possono facilmente fornire agli utenti l'accesso a risorse specifiche sulla rete.
Anche molto interessanti e piuttosto unici sono i SolarWinds Access Rights ManagerFunzioni di segnalazione. Il software può creare report che possono essere utilizzati come prove in caso di controversie o eventuali controversie. Sono inoltre disponibili report dettagliati a fini di controllo e per la conformità con le specifiche stabilite dagli standard normativi applicabili alla tua attività. I report possono essere creati rapidamente e facilmente con pochi clic. Possono includere qualsiasi informazione ritenuta utile. Ad esempio, le attività di registro in Active Directory e gli accessi al file server potrebbero essere inclusi in un rapporto. Spetta all'utente renderli riassunti o dettagliati di cui hanno bisogno.
Gli attacchi e / o le perdite di dati si verificano spesso quandole cartelle e / oi loro contenuti sono accessibili agli utenti che non sono - o non dovrebbero essere - autorizzati ad accedervi, una situazione comune in cui agli utenti viene concesso un ampio accesso a cartelle o file. Il SolarWinds Access Rights Manager può aiutarti a prevenire questo tipo di perdite emodifiche non autorizzate a dati e file riservati. Offre agli amministratori una rappresentazione visiva delle autorizzazioni per più file server e consente in modo semplice e visivo di vedere chi ha le autorizzazioni su quale file.
Prezzi per il SolarWinds Access Rights Manager si basa sul numero di utenti attivati in Active Directory. Nel SolarWinds parlance, un utente attivato è attivoaccount utente o un account di servizio. I prezzi per il prodotto partono da $ 2 995 per un massimo di 100 utenti attivi. Per un numero maggiore di utenti (fino a 10.000), è possibile ottenere prezzi dettagliati contattando le vendite di SolarWinds. Se si desidera eseguire una prova dello strumento prima di acquistarlo, è possibile ottenere una versione di prova gratuita illimitata per 30 giorni.
2- Server SolarWinds e Application Monitor (PROVA GRATUITA)
Il Server SolarWinds e Application Monitor è stato progettato per aiutare gli amministratori a monitorareserver, i loro parametri operativi, i loro processi e le applicazioni in esecuzione su di essi. È uno dei migliori strumenti che è possibile utilizzare per monitorare i controller di dominio Active Directory e i servizi critici di cui hanno bisogno per essere in esecuzione. Ma lo strumento monitorerà anche uno o tutti i tuoi server. Può facilmente scalare dalle reti più piccole a quelle grandi con centinaia di server, sia fisici che virtuali, distribuiti su più siti.
- PROVA GRATUITA: Server SolarWinds e Application Monitor
- Link per scaricare: https://www.solarwinds.com/server-application-monitor/registration
Il monitoraggio delle prestazioni di Active Directory offerto da Server SolarWinds e Application Monitor ti dà un'idea dei problemi di Active Directoryrelativi all'account utente come la creazione di account, tentativi di modifica e reimpostazione della password, account utente disabilitati ed eliminati. Fornirà inoltre informazioni sulle modifiche ai criteri di dominio e di sistema e sul recupero dei dati, oltre a fornire informazioni sulle impostazioni del firewall e su altre modifiche del sistema e servizi attualmente in esecuzione. Lo strumento consente anche il monitoraggio delle sessioni LDAP. Con il numero di client connessi che influisce sul carico del server, lo strumento monitorerà i contatori di oggetti NTDS per aiutare a prevenire un sovraccarico del server connesso a una sessione LDAP specifica. Inoltre, il software può fornire informazioni dettagliate su statistiche avanzate, come thread attivi LDAP, tempo di bind, sessioni client, bind al secondo e ricerche al secondo.
La configurazione iniziale del prodotto è rapidae facilmente eseguibile con l'aiuto di un processo di individuazione automatica in due passaggi. Il primo passaggio rileva tutti i server e il secondo trova le applicazioni su ciascun server rilevato. Sebbene questo processo possa richiedere del tempo, può essere accelerato fornendo un elenco di applicazioni specifiche da cercare. Una volta che lo strumento è attivo e funzionante, la GUI di facile utilizzo lo rende un gioco da ragazzi. La dashboard dello strumento può essere personalizzata e ti permetterà di visualizzare le informazioni in una tabella o in un formato grafico.
Prezzo per il Server SolarWinds e Application Monitor inizia a $ 2 995 e si basa sul numero di componenti, nodi e volumi monitorati. Una versione di prova gratuita di 30 giorni è disponibile per il download, se si desidera provare il prodotto prima di acquistarlo.
3- Strumenti gratuiti di AD da ManageEngine
ManageEngine è un altro nome noto con gli amministratori di sistema e di rete. Suo ManageEngine OpManager il pacchetto è tra le migliori infrastrutture ITstrumenti di monitoraggio. Come alcuni dei suoi concorrenti, ManageEngine offre alcuni ottimi strumenti gratuiti. E quando si tratta di Active Directory, l'azienda offre non meno di quindici strumenti gratuiti che possono aiutare con il monitoraggio e l'amministrazione dell'infrastruttura AD. Esiste una combinazione di programmi autonomi e cmdlet Powershell. La maggior parte degli strumenti sono raggruppati in un unico download, quindi ottenerli non dovrebbe essere un grosso problema. Vediamo quali sono alcuni dei più interessanti di questi strumenti.
- Strumento di query AD, come suggerisce il nome, consente di leggere tutti i dati degli attributi richiesti da Active Directory
- Trova ultimo accesso viene utilizzato per elencare l'ora dell'ultimo accesso di tutti o degli utenti selezionati in tutti i controller di dominio selezionati nel dominio. In genere viene utilizzato per attività di controllo e pulizia.
- Gestione replica di Active Directory consente agli amministratori di replicare i dati in un dominio e fornisce report completi sull'ultima replica.
- Reporter ruoli controller di dominio elenca tutti i controller di dominio e i rispettivi ruoli nel dominio.
- Strumento di monitoraggio del controller di dominio è uno strumento semplice ma potente. Rileverà automaticamente i domini e li visualizzerà, mostrando importanti parametri dei controller di dominio come utilizzo della CPU, utilizzo del disco e utilizzo della memoria.
- Gestione criteri password consente di recuperare, visualizzare e modificare, a condizione che disponga dei diritti corretti, la politica sulla password del dominio.
- Ricerca duplicati di Active Directory è un'utilità Powershell che consente agli amministratori di identificare voci duplicate per gli attributi di Active Directory in un dominio.
- Gestione degli account di servizio è progettato per aiutarti a creare, modificare ed eliminare facilmente account di servizi gestiti in pochi clic.
- Rapporto utenti password deboli aiuta a trovare password deboli in Active Directory confrontando le password degli utenti con un elenco di oltre 100.000 password deboli comunemente utilizzate.
Questi sono solo alcuni dei tanti gratuiti Strumenti di Active Directory fornito da ManageEngine. Sebbene l'utilizzo di strumenti separati per ogni singola attività non sia probabilmente pratico come l'utilizzo di uno strumento integrato con tutte le funzionalità integrate, il prezzo di questi strumenti è difficile da battere e potrebbe sicuramente renderli un'opzione da considerare.
4- Amministratore attivo
L'ultimo sulla nostra lista è Amministratore attivo a partire dal Software Quest, ora parte di conca. Questo è un attivo completo e integratoSoluzione software di gestione directory. Colma le lacune che alcuni degli strumenti di Microsoft si lasciano alle spalle. Questo è il tipo di strumento che può rendere più semplice e veloce soddisfare i requisiti di sicurezza e controllo. Ha funzionalità che si rivolgono a molte delle aree più importanti della gestione degli annunci pubblicitari.
Tra le caratteristiche principali dello strumento, Amministratore attivo offre un'amministrazione integrata e proattiva. Questo è anche uno strumento di monitoraggio molto potente che ha rapporti e avvisi intuitivi, che ti consentono di scoprire rapidamente le modifiche e riferire su di esse filtrando per tipo di evento, utente e data, nonché accesso utente e attività di blocco. È inoltre possibile impostare avvisi di eventi e avviare automaticamente azioni basate su avvisi.
Prezzi per Amministratore attivo è per account utente abilitato nel tuo attivoDirectory e parte da $ 16,37 per una licenza perpetua con supporto di un anno. È necessario acquistare una licenza minima per 20 account utente. È possibile scaricare una versione di prova gratuita di 30 giorni.
Commenti