ほぼ正確に20年前の1999年2月にWindows 2000 Server Editionが導入されて以来、 Active Directory Microsoftサーバーエコシステムの重要なコンポーネントである。その主な目的は、情報を保持することですネットワークリソースについて。コンピュータネットワークはかなり複雑になる可能性があります。その結果、Active Directoryも複雑になる傾向があるため、今日の主な目標は、Active Directoryドメインとフォレストの概要を提供することです。
Active Directoryにするつもりはありません専門家ですが、私たちの希望は、この複雑なトピックに光を当てることです。また、技術の複雑さが比較的高いことを考えると、Active Directoryのさまざまな側面を監視および/または管理するために、いくつかのサードパーティツールが作成されていることは驚くことではありません。それで、それらのいくつかがあなたのために何ができるかを見ていきます。
ここに私たちの旅を計画している方法がありますActive Directoryのコア:ドメインの概念に関する混乱を解消することから始めます。これはADの重要な要素ですが、インターネットの重要な要素でもありますが、混同しないでください2つの完全に異なるタイプのドメインです。次に、Active Directoryの概要と、それがどこから来たのかを紹介します。次に、ADドメインとその構造を表すために使用するツリーについて説明します。自然界では、木のグループはフォレストと呼ばれます。次は、Active Directoryでも同じことが言えます。 Active Directoryの管理と監視は次のビジネスの順序になります。最後に、このテーマについて、Active Directoryの監視と管理の最良のツールのいくつかを確認します。
混乱を避ける–ドメインとは?
ドメインは、何に応じて多くのことができますそして、情報技術の中でも、ドメインという用語は2つのまったく異なるものに使用されます。最初の種類のドメイン、ほとんどのコンピューターユーザー(コンピューター科学者でなくても)はインターネットドメインです。特定の組織に属するインターネットリソースのグループです。ドメイン名は、暗号化されたIPアドレスではなく、使いやすい(er)名前を使用してさまざまなリソースにアクセスするために使用されます。たとえば、addictivetips.comはこのWebサイトのドメイン名です。 Microsoft.comはもう1つの有名なドメイン名であり、さらに多くのドメインを簡単に考えることができると確信しています。
ドメインという用語が広く存在する他の場所使用されるのはActive Directoryに関連しています。 Active Directoryドメインは、1つの認証データベースでカバーされるリソースのグループです(以前のドメインとの類似性に注意してください)。 ADドメインについては、後ほど詳しく説明します。今のところ、重要なのは、2つのまったく関係のない概念を定義するために同じ用語が使用されていること、そしてそれらが混同しないようにすることが重要であることを理解することです。
簡単に言えばActive Directory
人々が一般的に尋ねる最初の質問Active Directoryとは、正確には何ですか?答えは簡単です。MicrosoftのLDAPディレクトリサービスの実装です。この答えは絶対に正確ですが、役に立たない可能性があり、答えよりも多くの質問が発生します。
掘り下げましょう。 まず、コンピューターネットワークのコンテキストでのディレクトリサービスは、ネットワークの各コンポーネントに関する情報を含むデータベースです。コンポーネントとは、各コンピューターとサーバーだけでなく、各ユーザーまたはユーザーグループまたは各ディレクトリも意味します。電話帳と考えることができます。別のリソースを見つける必要があるリソースは、ディレクトリで検索します。
最初の回答のLDAP部分については、Lightweight Directory Access Protocolの頭字語。簡単に言えば、LDAPは、リソースに関する情報をデータベースに保存する方法と、この情報にアクセスする方法を定義します。これは、いくつかのベンダーが共有する業界標準プロトコルであり、残念ながら、さまざまな実装が相互運用可能であることを意味するものではありません。
Active Directory構造は階層的ですオブジェクトの編成。オブジェクトには、リソース(コンピューターやプリンターなど)、サービス(電子メールなど)、ユーザー(ユーザーアカウントおよびユーザーグループ)の3つの主要なカテゴリがあります。 Active Directoryは、オブジェクトに関する情報を提供し、オブジェクトを整理し、それらのアクセスとセキュリティを制御します。これは、すべての目的のために、各エントリが名前と属性のセットを持つエントリのデータベースです。各属性には、名前、タイプ、および1つ以上の値があります。属性はデータベースのスキーマで定義されます。
あなたはの階層構造を考えることができますファイルシステムのデータベースとしてのActive Directoryデータベース。また、ファイルシステムにコンテナ(ディレクトリまたはフォルダと呼ばれる)があるように、ADにもコンテナがあります。これらは組織単位(OU)と呼ばれ、関連するものをグループ化するのに役立ちます。システム管理者は、適切と思われるOUを自由に作成できます。たとえば、組織の各部門の個々のOUを表示することも珍しくありません。
Active Directoryドメイン
今、私たちは何についても同じページにいますActive Directoryは、ドメインを見てみましょう。興味深いことに、ドメインはActive Directoryよりも数年前に作成されます。 1999年にMicrosoftが独自のLDAPディレクトリサービスをリリースする前でも、Windows NTの初期からドメインが存在していました。 Windowsサーバーの一般的なネットワークでは、少なくとも1つ(多くの場合2つ以上)がドメインコントローラーとして構成されます。これらは、ドメインデータベースをホストするサーバーであるため、ユーザーを認証し、リソースへのアクセスを制御します。それらが保持する情報は、それらの間で複製されます。最後になりましたが、ドメイン内のオブジェクト は 階層的に編成されています。
木と森
多くの場合、ツリーの例えは、ドメインなどの階層構造。しかし、Active Directoryを使用して、Microsoftはその類推をさらに一歩進め、ドメインの階層構造をツリーと呼びます。ドメインは、1つのデータベースの制御下にあるリソースのグループですが、さまざまな理由でツリーが複数のドメインで構成される場合があることを忘れないでください。これは、実際には大規模な組織では非常に一般的なことであり、大企業の各部門に1つのドメインが表示されることも珍しくありません。さらに大規模な組織では、ツリーをフォレストにグループ化できます。これはActive Directoryの最上位の要素であり、他のすべての要素はそこから派生します。
Active Directoryの管理と監視
監視がすべてです! あなたがネットワーク管理者またはシステム管理者であれば、おそらくそのフレーズを何度も聞いたことがあるでしょう。そして、あなたは何を知っていますか?それがすべてです!監視は、物事を把握するための最良の方法の1つです。さまざまなタイプの監視ツールが存在します。これらのツールを使用すると、目的のメトリックのタイプを正確に取得できます。たとえば、帯域幅の監視ではネットワークのさまざまなセグメントの使用状況が報告され、CPUの監視ではサーバーのCPUゲージが表示されます。システムおよびネットワークのほとんどの運用メトリックを監視できます。監視ツールを使用する主な利点は、ほとんどが自動化されていることです。常に見ている必要はありません。異常が発生すると、監視ツールが警告を発します。
Active Directoryの場合、いくつかのパラメータを監視できます。たとえば、ドメインコントローラー(ドメインのデータベースが保存されているサーバー)の応答とパフォーマンスを監視できます。アクセス権への変更も監視することができます。ログイン(特に失敗したログイン)は、悪意のあるアクティビティを示している可能性があるため、監視する価値のあるもう1つのパラメーターです。
Active Directory Managementは別のものです。 Microsoftは、Active Directoryの管理に役立ついくつかのツールを提供しています。これらを使用すると、オブジェクトの作成、権限の割り当て、および一般的にAD管理に関連するほとんどの日常活動を実行できます。ただし、これらのツールの一部は使用するのがかなり面倒または非実用的であることが判明し、いくつかのベンダーは、Active Directoryの管理タスクをはるかに容易にするさまざまなActive Directory管理ツールを提供するようになりました。
最高のADツール
私たちはいくつかの最高の市場を探しましたActive Directoryツール。今日私たちがあなたのために持っているのは、いくつかのAD固有およびいくつかの一般的な監視ツールと管理ツールの混合です。それらはすべて、Active Directoryに関連する日々のタスクで、あなたを助けることができます(これが私たちの主要な選択基準の1つでした)。セキュリティ指向のものもあれば、パフォーマンス指向のものもあります。
1- SolarWinds Access Rights Manager (無料トライアル)
SolarWinds ネットワークおよびシステム管理ソフトウェアのベストパブリッシャーの1つです。その主力製品と呼ばれる ネットワークパフォーマンスモニター 上位ネットワーク間で一貫してスコアを付ける帯域幅監視システム。さらに、同社はフリーソフトウェアでも有名です。私たちは、それぞれがネットワーク管理者の特定のニーズに対応する小さなツールについて話している。これらの無料ツールの2つの優れた例は 高度なサブネット計算機 そしてその Kiwi Syslogサーバー.
オブジェクトのアクセス許可のみを扱うと信じ込ませるような誤解を招く名前にもかかわらず、 SolarWinds Access Rights Manager 主にユーザーのプロビジョニングを目的としていますプロビジョニング解除、追跡、監視が簡単です。また、ユーザーのアクセス許可を管理および監視する強力で簡単な方法を提供し、不必要なアクセス許可が付与されないようにします。
- 無料トライアル: SolarWinds Access Rights Manager
- ダウンロードリンク: https://www.solarwinds.com/access-rights-manager/registration
この製品の最大の強みの1つは直感的なユーザー管理ダッシュボードを使用して、さまざまなファイルやフォルダーへのユーザーアクセスを作成、変更、削除、アクティブ化、非アクティブ化できます。ネットワーク上の特定のリソースにユーザーが簡単にアクセスできるようにする役割固有のテンプレートを備えています。
また、非常に興味深い、非常にユニークな SolarWinds Access Rights Managerのレポート機能。 ソフトウェアは、紛争または最終的な訴訟の場合の証拠として使用できるレポートを作成できます。監査目的およびビジネスに適用される規制基準によって設定された仕様への準拠に関する詳細なレポートも利用できます。レポートは、数回クリックするだけですばやく簡単に作成できます。役立つと思われる情報を含めることができます。たとえば、Active Directoryのログアクティビティとファイルサーバーアクセスをレポートに含めることができます。それらを必要に応じて要約または詳細にするのはユーザー次第です。
攻撃やデータリークは、次の場合によく起こります。フォルダーおよび/またはそのコンテンツは、フォルダーまたはファイルへの広範囲なアクセスが許可されている一般的な状況である、アクセスを許可されていない(または許可されるべきではない)ユーザーによってアクセスされます。の SolarWinds Access Rights Manager この種の漏れを防ぐのに役立ちます機密データおよびファイルへの不正な変更。管理者は複数のファイルサーバーのアクセス許可を視覚的に表示でき、誰がどのファイルに対してどのアクセス許可を持っているかを簡単かつ視覚的に確認できます。
の価格 SolarWinds Access Rights Manager Active Directory内のアクティブ化されたユーザーの数に基づいています。に SolarWinds 用語では、アクティブ化されたユーザーはアクティブであるユーザーアカウントまたはサービスアカウント。製品の価格は、最大100人のアクティブユーザーに対して$ 2 995からです。より多くのユーザー(最大10,000)については、SolarWindsの営業担当者に連絡することにより、詳細な価格を入手できます。ツールを購入する前にテストを実行する場合は、30日間の無制限の無料試用版を入手できます。
2- SolarWinds Serverおよびアプリケーションモニター (無料トライアル)
の SolarWinds Serverおよびアプリケーションモニター 管理者が監視できるように設計されましたサーバー、運用パラメーター、プロセス、およびサーバー上で実行されているアプリケーション。 Active Directoryドメインコントローラーと、それらが実行する必要がある重要なサービスを監視するために使用できる最高のツールの1つです。ただし、このツールはサーバーの一部またはすべてを監視します。小規模なネットワークから、数百のサーバー(物理サーバーと仮想サーバーの両方)が複数のサイトに広がる大規模なネットワークに簡単に拡張できます。
- 無料トライアル: SolarWinds Serverおよびアプリケーションモニター
- ダウンロードリンク: https://www.solarwinds.com/server-application-monitor/registration
によって提供されるActive Directoryパフォーマンスモニタリング SolarWinds Serverおよびアプリケーションモニター Active Directoryの問題に関する洞察を提供しますアカウントの作成、パスワードの変更およびリセットの試行、無効化および削除されたユーザーアカウントなどのユーザーアカウントに関連します。また、ファイアウォール設定やその他のシステム変更、および現在実行中のサービスに関する洞察を提供するのと同様に、ドメインおよびシステムポリシーの変更とデータ回復に関する情報も提供します。このツールでは、LDAPセッションを監視することもできます。接続されているクライアントの数がサーバーの負荷に影響するため、ツールはNTDSオブジェクトカウンターを監視して、特定のLDAPセッションに接続されているサーバーの過負荷を防ぎます。さらに、ソフトウェアは、LDAPアクティブスレッド、バインド時間、クライアントセッション、成功したバインド/秒、検索/秒などの高度な統計に関する洞察を提供できます。
製品の初期構成は迅速です2パスの自動検出プロセスを使用して簡単に実行できます。最初のパスではすべてのサーバーが検出され、2番目のパスでは検出された各サーバーでアプリケーションが検出されます。このプロセスには時間がかかる場合がありますが、検索する特定のアプリケーションのリストを提供することにより、速度を上げることができます。ツールが起動して実行されると、使いやすいGUIにより簡単に使用できます。ツールのダッシュボードはパーソナライズでき、情報を表形式またはグラフィック形式で表示できます。
の価格 SolarWinds Serverおよびアプリケーションモニター 監視対象のコンポーネント、ノード、およびボリュームの数に基づいて、2 995ドルから開始します。製品を購入する前に試用する場合は、30日間の無料試用版をダウンロードできます。
3- ManageEngineの無料ADツール
ManageEngine システム管理者およびネットワーク管理者との別の有名な名前です。その ManageEngine OpManager パッケージはトップITインフラストラクチャの1つです監視ツール。競合他社のいくつかと同様に、ManageEngineは優れた無料ツールをいくつか作成しています。また、Active Directoryに関しては、ADインフラストラクチャの監視と管理に役立つ15以上の無料ツールを提供しています。スタンドアロンプログラムとPowershellコマンドレットの組み合わせがあります。ほとんどのツールは1回のダウンロードにバンドルされているため、入手するのにそれほど問題はありません。これらのツールの中で最も興味深いもののいくつかを見てみましょう。
- ADクエリツール、その名前が示すように、Active Directoryから必要な属性データを読み取ることができます
- 最終ログオンファインダー ドメイン内の選択されたすべてのドメインコントローラー内のすべてのユーザーまたは選択されたユーザーの最終ログオン時刻を一覧表示するために使用されます。通常、監査およびクリーンアップのアクティビティに使用されます。
- Active Directoryレプリケーションマネージャー ドメイン内のデータの管理者レプリケーションを可能にし、最後のレプリケーションに関する包括的なレポートを提供します。
- ドメインコントローラーの役割レポーター ドメイン内のすべてのドメインコントローラーとそれぞれの役割を一覧表示します。
- ドメインコントローラー監視ツール シンプルでありながら強力なツールです。ドメインを自動検出して表示し、CPU使用率、ディスク使用率、メモリ使用率などのドメインコントローラーの重要なパラメーターを表示します。
- パスワードポリシーマネージャー ドメインのパスワードポリシーを取得、表示、編集できます(適切な権限がある場合)。
- Active Directory Duplicate Finder 管理者がドメイン内のActive Directory属性の重複エントリを識別できるようにするPowershellユーティリティです。
- サービスアカウント管理 数回クリックするだけで、管理されたサービスアカウントを簡単に作成、編集、削除できるように設計されています。
- 弱いパスワードユーザーレポート ユーザーのパスワードを一般的に使用される100,000を超える脆弱なパスワードのリストと比較することにより、Active Directoryで脆弱なパスワードを見つけるのに役立ちます。
これらは多くの無料の一部です Active Directoryツール ManageEngineによって提供されます。 個々のタスクごとに個別のツールを使用することは、おそらくすべての機能が組み込まれた統合ツールを使用するほど実用的ではありませんが、これらのツールの価格は打ち負かすのが難しく、確かに検討する価値のあるオプションにすることができます。
4- アクティブ管理者
リストの最後は アクティブ管理者 から クエストソフトウェア、現在の一部 デル。これは完全で統合されたアクティブですディレクトリ管理ソフトウェアソリューション。マイクロソフトのツールのいくつかが残しているギャップを埋めます。これは、セキュリティ要件と監査要件の両方を満たすのを簡単かつ迅速にするツールの一種です。 AD管理の最も重要な多くの領域に対応する機能を備えています。
ツールの主な機能の中で、 アクティブ管理者 統合されたプロアクティブな管理を提供します。 これは、直感的なレポートとアラートを備えた非常に強力な監視ツールでもあり、イベントタイプ、ユーザー、日付、およびユーザーのログインとロックアウトアクティビティでフィルタリングすることで、変更をすばやく検出してレポートできます。イベントアラートを設定し、アラートベースのアクションを自動的に起動することもできます。
の価格 アクティブ管理者 アクティブなユーザーアカウントごとにディレクトリと1年間のサポート付きの永久ライセンスの場合、$ 16.37から開始します。 20ユーザーアカウントの最小ライセンスを購入する必要があります。 30日間の無料試用版をダウンロードできます。
コメント