Active Directory、または頻繁に参照されるADtoは、Microsoft独自のバージョンのLDAPディレクトリサービスです。 Windows Server 2000から登場し、Windowsサーバーの古いドメイン管理機能に取って代わりました。これは、ユーザーと機器の認証、場所の特定、アクセス権の管理を行う非常に複雑なサービスです。非常に複雑なため、Active Directoryの管理の苦痛を緩和するツールを開発しようとする開発者が何人かいることは驚くことではありません。今日、私たちはインターネットで見つけることができる最高のActive Directoryツールのいくつかをお届けします。
最初に一般的な議論をしますディレクトリサービス、それらが何であるか、それらの目的とユーティリティ、およびそれらの例を示します。次に、ディレクトリサービスに関連する2つの標準化されたプロトコルであるLDAPとX.500について説明します。次に、Microsoftディレクトリサービスの進化について簡単に説明します。これにより、問題の核となる、最高のActive Directoryツールが見つかります。それぞれについて簡単に説明します。
ディレクトリサービスとは
ウィキペディアでは、ディレクトリサービスを「ネットワーク内のリソースの名前とそれぞれのネットワークアドレス間のマッピング。」そして、最も単純な形で、これで本当にすべてですです。ドメインネームシステム(DNS)はディレクトリサービスですか?答えは圧倒的なYESです!しかし、それほど単純な場合、なぜActive Directoryはそれほど複雑なのでしょうか?
Active Directory、ほとんどの最新のディレクトリと同じサービスは、名前をアドレスにマッピングするだけでなく、はるかに多くの機能を実装します。これらはネットワークのセキュリティの中核であり、ユーザー(ユーザーアカウント)とリソースに関する詳細情報を含み、ほとんどのネットワークのアクセス制御メカニズムの中心にもあります。最新のディレクトリサービスは、ネットワーク、そのリソース、およびユーザーに関するほとんどの情報が保存されるデータベースです。
ディレクトリサービスは、それぞれ異なるエンティティを表すオブジェクト。一部のオブジェクトはユーザーを表し、一部はコンピューターまたはネットワーク共有などの他の利用可能なリソースを表します。他のオブジェクトはオブジェクトのコンテナです。階層構造により、任意の単一オブジェクトの検索が容易になり、オブジェクトが親から許可を継承できる簡単な許可管理が可能になります。
私たちの目標は、あなたをディレクトリサービスにすることではありませんただし、Active Directoryが何であり、どこから来たのかをよりよく理解するのに十分な背景情報を提供します。あなたが遭遇したかもしれない過去と現在のディレクトリサービスのいくつかの実際の例を見てみましょう。
いくつかの例
DNS は、最初のディレクトリサービスの1つです。 80年代初期にさかのぼります。ホスト名をIPアドレスに変換するという1つの主な目的がありました。現在でも広く使用されており、インターネットの基盤の1つです。
の ネットワーク情報サービス、 または NISは、UnixエコシステムのDNSに似たネームサービスのサンマイクロシステムズ独自の実装でした。
Nオベル D直立 Sサービス-後で呼ばれる eDirectory-Novell Netwareのディレクトリサービスでしたネットワーク。現在のActive Directoryとほぼ同様に、名前解決だけでなく認証とアクセス制御にも使用される包括的なシステムでした。
NetInfo NEXTによって開発され、Appleが会社を買収したとき、Mac OSのディレクトリサービスになり、その後に置き換えられました。 OpenDirectory.
最後に、 NTドメイン ディレクトリサービスの別の例です。彼らはActive Directoryの祖先です。 NTドメインは、主にアクセス制御と認証の目的で使用されていました。
X.500およびLDAP、2つのディレクトリサービス標準
情報化時代では、相互運用性がこれまで以上に重要になり、あらゆる分野で標準が出現します。ディレクトリサービスには、LDAPとX.500という2つの主要な標準が存在します。
X.500標準、より正確にはX。500シリーズの標準は、電子ディレクトリサービスのいくつかの側面をカバーするITU-Tの仕様のグループです。最初の反復は1988年にさかのぼりますが、X.500は現在でも広く使用されています。
一連の標準プロトコルの目標の1つX.500で提案されているように、相互運用性を確保し、さまざまなベンダーのシステムが相互作用できるようにします。 X.500は、実際には9つの個別のプロトコルのセットです
Lightweight Directory Access Protocol、またはLDAPは、IPネットワークを介して分散ディレクトリ情報サービスにアクセスして保守するための、ベンダーに依存しないオープンな業界標準のアプリケーションプロトコルです。現在、MicrosoftのActive Directoryを含むほとんどのディレクトリサービスの実装は、LDAPに準拠しています。
LDAPはもともと軽量として意図されていましたより単純なTCP / IPプロトコルスタックを介してX.500ディレクトリサービスにアクセスするための代替プロトコル。そのため、X.500とLDAPは相互に排他的ではなく、補完的です。たとえば、LDAP仕様では、ディレクトリサービスデータベースの構造はX.500に準拠する必要があると規定されています。
LDAPクライアントは、ディレクトリサービスデータベース内のオブジェクトを変更することもできます。これはもちろん、LDAPが安全であり、不正な変更から保護するための認証メカニズムを提供することを意味します。
NTドメインからActive Directoryへ
前述のように、Windows NTドメインはMicrosoftエコシステムにおける最初の形式のディレクトリサービス。ご想像のとおり、1993年にWindows NTで初めて登場しました。ユーザー認証を主に担当するドメインコントローラー上に集中データベースがありました。データベースを複数のドメインコントローラーに複製して、冗長性を確保し、大規模なマルチサイトネットワークがユーザーをローカルで認証できるようにします。
Windows 2000では、MicrosoftはActiveをリリースしましたディレクトリ。これは、長年使用されてきた従来のドメインに比べて非常に必要な改善でした。 Active Directoryは、いくつかの異なるサービスを提供します。何よりもまず、ドメインサービスです。これらは、Windowsネットワークの基盤です。デバイスやユーザーを含むドメインのメンバーに関する情報を保存し、資格情報を検証し、認証し、アクセス権を定義します。
Active Directoryの他の重要なサービスローカル公開鍵インフラストラクチャを提供する証明書サービスが含まれます。組織内で使用する公開鍵証明書を作成、検証、および失効させることができます。このような証明書は、ファイル、電子メール、およびネットワークトラフィックの暗号化に使用できます。 Active Directoryが提供するその他のサービスには、フェデレーションサービス、シングルサインオンメカニズムの一種、および権利管理サービスが含まれます。
最高のActive Directoryツール
Active Directoryの主な特徴はそれは大きくて複雑です。そして、この複雑さには管理上の頭痛が伴います。幸いなことに、AD管理の負担の一部に対処するために、サードパーティによって多くのツールが開発されています。これらは私たちが調査したツールであり、私たちが見つけることができる最高のものを紹介しています。あまりにも多くのツールが存在するため、このリストは広範囲にわたるものではありません。
1. SolarWinds Serverおよびアプリケーションモニター (無料トライアル)
SolarWindsは、いくつかの最高のネットワークおよびシステム管理ツール。たとえば、最高のSNMP監視ツールまたは最高のNetFlowコレクターとアナライザーをレビューしたとき、SolarWinds製品を何度も取り上げてきました。 SolarWindsは、管理者向けの無料ツール、タスク固有のツールでも有名です。
それは驚くことではありません SolarWinds Server & アプリケーションモニター リストに載っています。 その控えめな名前から、これがActive Directoryツールであるとは思わないかもしれませんが、その幅広い機能により、Active Directoryを監視および管理するための優れたツールとなっています。
まず、どのように SolarWinds Serverおよびアプリケーションモニター AD管理に役立ちます。 まず、このツールは、いくつかの操作パラメーターを監視するドメインコントローラー監視機能を備えています。 CPU使用率が高くなりすぎている場合、ユーザーアカウントがロックアウトされている場合、またはログインの問題がある場合に通知されます。
ソフトウェアはNTDSオブジェクトカウンターも監視し、サーバーの過負荷を軽減します。さらに、 SolarWinds Serverおよびアプリケーションモニター LDAPアクティブスレッド、バインド時間、クライアントセッション、1秒あたりのバインドと検索の成功など、いくつかのLDAP統計情報を把握できます。
の SolarWinds サーバー&アプリケーションモニター ディレクトリサーバーが複製に失敗します。これは、ユーザーがフォルダーやファイルにアクセスできないようにするイベントです。また、分散ファイルシステム、DFSレプリケーション、サイト間メッセージング、DNSクライアント、Windowsタイム、RPC、サーバーおよびワークステーションサービス、Active Directoryドメインサービスなどのディレクトリサービスに関連する詳細なパフォーマンス統計も提供します。もの。
しかし、その名前が示すように、このツールはActive Directoryサービスだけでなく、サーバー自体とそれらで実行されているアプリケーションも監視します。この完全なパッケージは、最小のネットワークから数百の物理サーバーと仮想サーバーを備えた大規模なマルチサイトネットワークまで拡張できます。また、Amazon Web ServicesやMicrosoft Azureのようなクラウド環境のサーバーも監視できます。
の SolarWinds Serverおよびアプリケーションモニター 最初にホストとデバイスを自動検出しますネットワーク。次に、2回目の検出スキャンにより、各サーバーで実行されているアプリケーションが検出されます。起動したら、直感的なユーザーインターフェースのおかげで、このツールを使用するのは簡単ではありません。たとえば、ノードの詳細をクリックすると、ノードのパフォーマンスと正常性の情報が表示されます。
の価格 SolarWinds Serverおよびアプリケーションモニター わずか$ 2 995から始まり、30日間の無料試用版をダウンロードできます。
2. ManageEngine Active Directory無料ツール
ManageEngineはシステム間での別の一般名ですおよびネットワーク管理者。 OpManagerは、間違いなく最高のITインフラストラクチャ監視ツールの1つになります。また、SolarWindsと同様に、ManageEngineも優れた無料ツールを作成します。実際には、彼らは15以上を持っています 無料のActive Directoryツール 監視と管理に役立ちますADインフラストラクチャ。スタンドアロンのプログラムもあれば、Powershellコマンドレットもあります。このツールキットの優れた点の1つは、ほとんどのツールが シングルダウンロード。これらのツールの中で最も興味深いものを見てみましょう。
の ADクエリツール あなたはあなたが属性データを読み取ることができますユーザーオブジェクトの名、姓の電話、住所などのActive Directoryからの要求。このユーティリティは、Active Directoryグループおよびコンピューターオブジェクトのクエリにも役立ちます。
の CSV生成ツール CSVファイルを生成します(誰が考えたでしょうか?)には、ユーザー指定のActive Directory属性とそれに対応する値のカスタム配列が含まれます。結果のファイルは、Active Directoryの一括管理に使用できます。
の 最終ログオンファインダー ドメイン内の選択されたすべてのドメインコントローラー内のすべてのユーザーまたは選択されたユーザーの最終ログオン時刻を一覧表示するために使用されます。通常、監査およびクリーンアップのアクティビティに使用されます。
の ターミナルセッションマネージャー を識別するために使用できるPowershellコマンドレットですドメイン内の複数の端末セッションを単一のポイントから管理します。これにより、ドメイン全体の複数のユーザーのターミナルセッションを管理、切断、またはログオフできます。
の Active Directoryレプリケーションマネージャー 管理者が次の複製を強制できるようにしますドメインまたはフォレスト全体のデータ。また、2つのドメインコントローラー間でデータを複製でき、最後の複製に関する包括的なレポートを一覧表示します。
の DMZポートアナライザー 管理者は、Active Directoryを操作するためにサードパーティアプリケーションに必要なポートのステータスを確認できます。ファイアウォールの適切なポートを開くために使用できます。
の ドメインコントローラーの役割レポーター ドメイン内のすべてのドメインコントローラーとそれぞれの役割を一覧表示します。管理者がドメインコントローラーの関連する役割を識別するのに役立ちます。
の ローカルユーザーマネージャー 管理者がドメイン内のユーザーアカウントを管理するのに役立ちます。ローカルユーザーアカウントに関する情報を提供し、便利なユーザーインターフェイスを使用してこれらのアカウントを管理することもできます。
の ドメインコントローラー監視ツール ドメインを自動検出するシンプルなツールですそれらを表示します。 CPU使用率、ディスク使用率、メモリ使用率など、ドメインコントローラーのさまざまなパラメーターが表示されます。また、1秒あたりのページ読み取り数、1秒あたりのページ書き込み数、ファイル読み取り数、ファイル書き込み数など、他のパラメーターを表示することもできます。
の パスワードポリシーマネージャー すべてのユーザーがドメインのパスワードポリシーを取得して表示できるようにします。また、管理者権限を持つユーザーがドメインパスワードポリシーを編集することもできます。
その名前が示すように、 空のパスワードユーザーレポートツール パスワードフィールドがnullに設定されているユーザーアカウントを見つけるために使用され、管理者がセキュリティ関連の問題を回避するのに役立ちます。
の Active Directory Duplicate Finder 管理者を可能にするPowershellユーティリティですドメイン内のActive Directory属性の重複エントリを識別します。重複エントリは便利にリストされ、管理者は重複のないActive Directoryを確保できます。
の DNSレポーター あなたに関連する情報を取得するのに役立ちますネットワークのDNSインフラストラクチャ。ドメイン名を入力するだけで、利用可能なDNSレコードの詳細、対応するレコードタイプ、IPアドレス、およびサービスの詳細を表示できます。
の サービスアカウント管理 管理されたサービスアカウントを数回クリックするだけで簡単に作成、編集、削除できるように設計されています。このツールには、これらのタスクを実行するために使用される通常のツールであるPowerShellの知識は必要ありません。
の 弱いパスワードユーザーレポート Active Directoryで弱いパスワードを見つけるのに役立ちますユーザーのパスワードと一般的に使用される100,000を超える脆弱なパスワードのリストを比較します。その後、弱いパスワードを持つユーザーに、次回のログオン時にパスワードを強制的に変更させることができます。
3. Enow Compass
方位磁針 ENow Softwareから、環境内の隠れた問題を特定するのに役立ちます。 Active Directoryおよびすべてのドメインコントローラーのリアルタイムネットワーク監視が可能です。 方位磁針 Active Directoryが正常であることを確認するにはDFS / FRSレプリケーションの監視また、DNS名前解決の問題を検出し、問題のあるアプリケーションのトラブルシューティングを行い、ADをスムーズに実行し続けるのに役立ちます。
方位磁針 の監査を含む50以上のレポートがありますDomain Admins Group、非アクティブなユーザーアカウントの識別と削除、FSMOロールの識別。このツールはインストールが簡単で使いやすいです。直観的で使いやすいダッシュボードを備えており、問題が機能停止になる前に早期に特定するのに役立ちます。
の詳細な価格情報 方位磁針 Enowの営業担当者にお問い合わせいただくと、14日間の無料試用版を入手できます。
4. Anturis Active Directoryモニター
Active Directoryの管理作業の半分は、すべてのサービスがスムーズに実行されるようにすることであり、これはまさに Active Directoryモニター Anturisからです。このツールは、電子メール、SMS、または音声通話の通知を介して異常な状況を警告できます。を使用することもできます Active Directoryモニター のパフォーマンスベースラインを確立するActive Directoryサーバーとレプリケーション構造により、パフォーマンスの傾向を認識し、ADパフォーマンスに悪影響を及ぼす前にボトルネックのリスクを軽減できます。
の Active Directoryモニター サーバーとLDAPセッションを表示して設定しますアラートしきい値。また、1秒あたりのKerberosおよびNTLM認証も表示されるため、一般的なサーバー負荷を把握できます。また、Active Directoryの最も重要な側面の1つであるレプリケーションにより、レプリケーションステータス、DRA保留中のレプリケーション同期、DRA保留中のレプリケーション操作などのレプリケーションパフォーマンスメトリックも監視されます。
Active Directoryモニター クラウドベースのサービスといくつかのサブスクリプションですプランは、10台のモニターで月額10ドルから1000台のモニターで月額650ドルまでの価格で利用できます。無料版も利用できますが、モニターは5台に制限されています。ただし、すべての有料プランには30日間の無料トライアルがあります。
5. Quest Active Administrator
リストにあるのは クエスト アクティブ管理者。これは完全で統合されたアクティブですディレクトリ管理ソフトウェアソリューション。マイクロソフトのツールが残したギャップを埋めます。このツールにより、監査要件とセキュリティニーズを満たすのが簡単かつ迅速になります。 AD管理の最も重要な多くの領域に対応する機能を備えています。
ツールの主な機能の中で、アクティブ管理者は、統合されたプロアクティブな管理を提供します。また、直感的なレポートとアラートを備えており、イベントの種類、ユーザー、日付、およびユーザーのログインとロックアウトのアクティビティをフィルタリングすることにより、変更をすばやく監視およびレポートできます。イベントアラートを設定し、アラートベースのアクションを自動化することもできます。
Active Administratorの価格は有効になっていますADのユーザーアカウントであり、1年間のサポート付きの永久ライセンスで$ 16.37から開始します。 20ユーザーアカウントの最小ライセンスを購入する必要があります。 30日間の無料試用版をダウンロードできます。
コメント