„Active Directory“ arba AD, kaip ji dažnai minimaį, yra pačios „Microsoft“ sukurta LDAP katalogų paslaugos versija. Jis praėjo nuo „Windows Server 2000“ ir pakeitė tuometines „Windows“ serverių domenų valdymo funkcijas. Tai yra labai sudėtinga paslauga, kuri rūpinasi vartotojų ir įrangos autentiškumo nustatymu, jų buvimo vietos nustatymu ir prieigos teisių valdymu. Kadangi toks sudėtingas, nenuostabu, kad keli kūrėjai bandė sukurti įrankius, palengvinančius „Active Directory“ tvarkymo skausmą. Šiandien pristatysime jums keletą geriausių „Active Directory“ įrankių, kuriuos galite rasti internete.
Pirmiausia turėsime bendrą diskusiją apiekatalogų paslaugas, kas jos yra, jų paskirtį ir naudingumą, ir pateikite jums keletą jų pavyzdžių. Toliau kalbėsime apie LDAP ir X.500 - du standartizuotus protokolus, susijusius su katalogų paslaugomis. Tada trumpai pakalbėsime apie „Microsoft“ katalogų paslaugų raidą. Tai mus nuves į svarbiausią dalyką - geriausius „Active Directory“ įrankius, kokius tik galime rasti. Mes pateiksime jums trumpą kiekvieno iš jų apžvalgą.
Katalogų paslaugos, kokios jos yra
Vikipedija katalogų tarnybą apibūdina kaip „tinkle esančių išteklių pavadinimų ir jų atitinkamų tinklo adresų atvaizdavimas.„Paprasčiausia forma tai yra viskasyra. Taigi, galite paklausti, ar domenų vardų sistema (DNS) yra katalogų paslauga? Atsakymas yra skambus TAIP! Bet jei tai yra taip paprasta, kodėl „Active Directory“ yra tokia sudėtinga?
„Active Directory“, kaip ir moderniausias katalogaspaslaugas, įgyvendina kur kas daugiau funkcijų, o ne tik vardų susiejimą su adresais. Jie yra tinklo saugumo pagrindas ir juose bus išsami informacija apie vartotojus (vartotojų abonementus) ir išteklius, be to, jie yra daugumos tinklų prieigos kontrolės mechanizmų centre. Šiuolaikinė katalogų tarnyba yra duomenų bazė, kurioje saugoma didžioji dalis informacijos apie tinklą, jo išteklius ir vartotojus.
Katalogų tarnyba yra hierarchinė duomenų bazėobjektai, kiekvienas vaizduojantis skirtingą darinį. Kai kurie objektai žymi vartotojus, kiti - kompiuterius ar kitus turimus išteklius, tokius kaip tinklo bendrinimas. Kiti objektai yra daiktų konteineriai. Hierarchinė struktūra palengvina bet kurio objekto paiešką ir leidžia lengvai valdyti leidimus, kai objektai gali paveldėti leidimus iš savo tėvų.
Mūsų tikslas nėra paversti jus katalogų tarnybaTačiau ekspertas turėtų suteikti jums pakankamai pagrindinės informacijos, kad galėtumėte geriau suprasti, kas yra „Active Directory“ ir iš kur ji yra. Pažvelkime į kai kuriuos realių praeities ir dabartinių katalogų paslaugų, su kuriomis galbūt susidūrėte, pavyzdžius.
Keletas pavyzdžių
DNS yra viena iš pirmųjų katalogų paslaugų. Jis datuojamas aštuntojo dešimtmečio pradžia. Tam buvo ir tebėra vienas pagrindinis tikslas: versti pagrindinius vardus į IP adresus. Šiandien jis vis dar plačiai naudojamas ir yra vienas iš interneto pagrindų.
Į Tinklo informacijos tarnyba, arba NIS, buvo paties „Sun Microsystems“ įdiegta vardų tarnyba, panaši į DNS savo „Unix“ ekosistemoje.
Napversti Dnetikras Starnybų—Paskambino laiškas eDirectory—Buvo „Novell Netware“ katalogų tarnybatinklai. Šiek tiek panaši į tai, kokia yra „Active Directory“ šiandien, ji buvo visa apimanti sistema, naudojama ne tik vardo skyrimui, bet ir autentifikavimui bei prieigos kontrolei.
„NetInfo“ sukūrė NEXT, o „Apple“ įsigijus įmonę, ji tapo „Mac OS“ katalogų tarnyba, prieš ją pakeisdama į „OpenDirectory“.
Pagaliau, NT domenai yra dar vienas katalogų paslaugos pavyzdys. Jie yra „Active Directory“ protėviai. NT domenai pirmiausia buvo naudojami prieigos kontrolei ir autentifikavimui.
X.500 ir LDAP, du katalogų paslaugų standartai
Informacijos amžiuje sąveika yra svarbesnė nei bet kada anksčiau, todėl kiekvienoje srityje atsiranda normų. Katalogų paslaugos nesiskiria. Yra du pagrindiniai standartai: LDAP ir X.500
X.500 standartas, tiksliau X.500 standartų serijų yra ITU-T specifikacijų grupė, apimanti kelis elektroninių katalogų paslaugų aspektus. Pirmosios iteracijos datuojamos 1988 m., Tačiau X.500 vis dar plačiai naudojamas.
Vienas iš standartinių protokolų rinkinio tikslųkaip siūlo X.500, yra užtikrinti sąveiką ir leisti skirtingų pardavėjų sistemoms sąveikauti. X.500 iš tikrųjų yra devynių atskirų protokolų rinkinys
Lengvas katalogo prieigos protokolas arbaLDAP yra atviras, pardavėjų neutralus, pramonės standarto taikymo protokolas, skirtas pasiekti ir palaikyti paskirstytų katalogų informacijos paslaugas per IP tinklą. Šiandien dauguma katalogų paslaugų, įskaitant „Microsoft“ aktyvųjį katalogą, yra įdiegtos pagal LDAP.
Iš pradžių LDAP buvo skirtas kaip lengvasalternatyvus protokolas prieigai prie X.500 katalogų paslaugų per paprastesnį TCP / IP protokolų krūvą. Iš esmės X.500 ir LDAP nėra vienas kito nesuderinami, o papildo vienas kitą. Pavyzdžiui, LDAP specifikacijoje teigiama, kad katalogų paslaugų duomenų bazės struktūra turi atitikti X.500.
LDAP klientai gali ne tik skaitytiobjektus katalogų paslaugų duomenų bazėje, jie taip pat gali juos modifikuoti. Tai, be abejo, reiškia, kad LDAP yra saugus ir siūlo autentifikavimo mechanizmą, apsaugantį nuo neteisėtų modifikacijų.
Nuo NT domeno iki „Active Directory“
Kaip minėta anksčiau, „Windows NT“ domenai buvopirmoji katalogų tarnybos forma „Microsoft“ ekosistemoje. Kaip jau galėjote atspėti, jie pirmą kartą pasirodė su „Windows NT“ dar 1993 m. Jie turėjo centralizuotą duomenų bazę, esančią domeno valdiklyje, kuris pirmiausia buvo atsakingas už vartotojo autentifikavimą. Duomenų bazę galima atkartoti keliuose domenų valdikliuose, kad būtų išvengta pertekliaus ir būtų užtikrinta, kad dideli kelių svetainių tinklai galėtų atpažinti vartotojus vietoje.
„Windows 2000“ „Microsoft“ išleido „Active“Katalogas. Tai buvo labai reikalingas patobulinimas, palyginti su tradicinėmis sritimis, kurios buvo naudojamos metų metus. „Active Directory“ teikia keletą skirtingų paslaugų. Visų pirma yra domeno paslaugos. Tai yra kertinis „Windows“ tinklų akmuo. Jie saugo informaciją apie domeno narius, įskaitant įrenginius ir vartotojus, tikrina jų kredencialus, juos autentifikuoja ir apibrėžia jų prieigos teises.
Kitos svarbios „Active Directory“ paslaugosapima sertifikatų paslaugas, teikiančias vietinio viešojo rakto infrastruktūrą. Jie gali sukurti, patvirtinti ir atšaukti viešojo rakto sertifikatus vidiniam naudojimui organizacijoje. Tokie sertifikatai gali būti naudojami failams, el. Laiškams ir tinklo srautui šifruoti. Kitos paslaugos, kurias teikia „Active Directory“, yra federacijos paslaugos, vieno prisijungimo mechanizmo tipas ir teisių valdymo paslaugos.
Geriausi „Active Directory“ įrankiai
Pagrindinė „Active Directory“ savybė yrakad jis didelis ir sudėtingas. Dėl šio sudėtingumo kyla administravimo galvos skausmas. Laimei, trečiosios šalys sukūrė daug priemonių, skirtų kovoti su tam tikra AD administravimo našta. Tai yra įrankiai, kuriuos mes ištyrėme ir pristatome jums keletą geriausių, kuriuos galėjome rasti. Šis sąrašas toli gražu nėra išsamus, nes priemonių yra tiesiog per daug.
1. „SolarWinds“ serverio ir programų monitorius (NEMOKAMAS BANDYMAS)
Yra žinoma, kad „SolarWinds“ yra vieni geriausiųtinklo ir sistemos administravimo įrankiai. Daugybę kartų mes pristatėme „SolarWinds“ produktą, kai, pavyzdžiui, mes apžvelgėme geriausius SNMP stebėjimo įrankius arba geriausius „NetFlow“ kolektorius ir analizatorius. „SolarWinds“ taip pat garsėja nemokamais įrankiais, konkrečioms užduotims skirtomis priemonėmis, skirtomis administratoriams.
Tad nenuostabu, kad „SolarWinds“ serveris Ir Programos monitorius yra mūsų sąraše. Ir nors dėl nereikšmingo jo pavadinimo negalime manyti, kad tai yra „Active Directory“ įrankis, tačiau dėl daugybės funkcijų jis tampa puikiu „Active Directory“ stebėjimo ir valdymo įrankiu.
Pradėkime nuo to, kaip „SolarWinds“ serverio ir programų monitorius gali padėti AD valdyme. Pirma, įrankyje yra domeno valdiklio stebėjimas, kuris stebi kelis darbo parametrus. Tai jums pasakys, kai procesoriaus naudojimas tampa per didelis, kai vartotojo sąskaita yra užblokuota arba kai kyla prisijungimo problemų.
Programinė įranga taip pat stebės NTDS objektų skaitiklius ir padės sumažinti serverio perkrovą. Be to, „SolarWinds“ serveris ir programų monitorius suteikia jums įžvalgos apie keletą LDAP statistinių duomenų, įskaitant LDAP aktyvias gijas, rišimo laiką, kliento sesijas ir sėkmingą susiejimą bei paiešką per sekundę.
Į „Saulės vėjai“ Serverio ir programos monitorius gali siųsti pranešimus, kai katalogų serveriainepavyksta atkartoti - įvykis, kuris gali užkirsti kelią vartotojams pasiekti aplankus ir failus. Čia taip pat pateikiama išsami statistikos, susijusios su katalogų paslaugomis, tokiomis kaip paskirstytų failų sistema, DFS replikacija, vietinių pranešimų siuntimas, DNS klientas, „Windows“ laikas, RPC, serverio ir darbo vietos paslaugos bei „Active Directory“ domeno paslaugos, našumo statistika, norint paminėti tik keletą reikšmingiausių. vieni.
Tačiau kaip rodo jo pavadinimas, ši priemonė bus ne tikstebėti „Active Directory“ paslaugas, bet ir pačius serverius bei juose veikiančias programas. Šis visas paketas gali būti nuo mažiausių tinklų iki didelių daugiaviečių tinklų su šimtais fizinių ir virtualių serverių. Ir jis taip pat gali stebėti serverius debesies aplinkoje, tokiose kaip „Amazon Web Services“ ir „Microsoft Azure“.
Į „SolarWinds“ serverio ir programų monitorius iš pradžių automatiškai atras pagrindinius kompiuterius ir įrenginiusjūsų tinklas. Tada antruoju atradimų nuskaitymu bus aptiktos kiekviename serveryje veikiančios programos. Paleidus ir paleidus šį įrankį, jo intuityvios vartotojo sąsajos dėka vargu ar gali būti lengviau. Pavyzdžiui, spustelėjus „Node Detail“, rodoma mazgo našumo ir sveikatos informacija.
Kainos už „SolarWinds“ serveris ir programų monitorius prasideda šiek tiek mažiau nei 2 995 USD ir galima atsisiųsti nemokamą 30 dienų bandomąją versiją.
2. „ManageEngine Active Directory Free Tools“
„ManageEngine“ yra dar vienas įprastas sistemos pavadinimasir tinklo administratoriai. Tai daro „OpManager“, be abejo, vienu geriausių IT infrastruktūros stebėjimo įrankių. Kaip ir „SolarWinds“, „ManageEngine“ taip pat sukuria keletą puikių nemokamų įrankių. Tiesą sakant, jų yra daugiau nei penkiolika nemokami „Active Directory“ įrankiai tai gali padėti stebėti ir administruotijūsų AD infrastruktūra. Kai kurios yra savarankiškos programos, o kitos - „Powershell“ cmdlet. Puikus šio priemonių rinkinio dalykas yra tai, kad dauguma priemonių yra susietos į a vienas atsisiuntimas. Pažiūrėkime, kas yra įdomiausi iš šių įrankių.
Į AD užklausų įrankis leidžia skaityti bet kokius jūsų atributų duomenisreikalauti iš „Active Directory“ kaip vartotojo objekto vardą, pavardę telefoną, adresą ir pan. Naudingumas taip pat gali padėti užklausti „Active Directory Group“ ir „Computer“ objektus.
Į CSV generatoriaus įrankis sugeneruos CSV failą (kas būtų pagalvojęs?), kuriame yra pasirinktinis vartotojo nurodytų „Active Directory“ atributų ir jų atitinkamų verčių rinkinys. Gautas failas gali būti naudojamas masiniam „Active Directory“ valdymui.
Į Paskutinio prisijungimo ieškiklis naudojamas visų arba pasirinktų vartotojų paskutiniam prisijungimo laikui išvardyti visuose pasirinktuose domeno valdikliuose. Paprastai jis naudojamas audito ir valymo veiklai.
Į Terminalo sesijos vadovas yra „Powershell“ cmdlet, kurį galite naudoti identifikuodamiir valdyti kelias terminalo sesijas domene iš vieno taško. Su ja galima valdyti, atjungti arba atsijungti kelių domeno naudotojų terminalo sesijas.
Į „Active Directory“ replikacijos tvarkyklė leidžia administratoriams priversti atkartotiduomenys domene arba visame miške. Tai taip pat leidžia pakartoti duomenis tarp dviejų domenų valdiklių ir jame bus pateikiamos išsamios paskutinės replikacijos ataskaitos.
Į DMZ uosto analizatorius leidžia administratoriams patikrinti prievadų, reikalingų bet kuriai trečiosios šalies programai dirbti su „Active Directory“, būseną. Jis gali būti naudojamas norint atidaryti atitinkamus užkardų prievadus.
Į Domeno valdiklio vaidmenų reporteris išvardijami visi domeno valdikliai ir atitinkami jų vaidmenys domene. Tai gali padėti administratoriams nustatyti bet kokį susijusį domeno valdiklio vaidmenį.
Į Vietinis vartotojo vadybininkas padeda administratoriams valdyti domeno vartotojų abonementus. Čia pateikiama informacija apie vietines vartotojų abonementus, taip pat leidžia valdyti šias abonementus naudojant patogią vartotojo sąsają.
Į Domeno valdiklio stebėjimo įrankis yra paprastas įrankis, kuris automatiškai nustato domenusir juos parodo. Tai parodys įvairius domenų valdiklių parametrus, tokius kaip CPU panaudojimas, disko panaudojimas ir atminties panaudojimas. Taip pat galite peržiūrėti kitus parametrus, tokius kaip Puslapio skaitymas per sekundę, Puslapio rašymas per sekundę, Failų skaitymas, Failų rašymas ir kt.
Į Slaptažodžių politikos vadovas leidžia bet kuriam vartotojui nuskaityti ir peržiūrėti domeno slaptažodžio politiką. Tai taip pat leidžia vartotojams, turintiems administravimo teises, redaguoti domeno slaptažodžio politiką.
Kaip rodo jo pavadinimas, Tuščias slaptažodžio vartotojų ataskaitų įrankis naudojamas rasti vartotojo abonementus, kurių slaptažodžio laukai yra nuliniai, o tai padeda administratoriams išvengti bet kokių su saugumu susijusių problemų.
Į „Active Directory“ kopijavimo ieškiklis yra „Powershell“ programa, leidžianti administratoriamsnustatyti domeno „Active Directory“ atributų pasikartojančius įrašus. Pakartotiniai įrašai pateikiami patogiai, tai padeda administratoriams užtikrinti „Active Directory“ be kopijų.
Į DNS pranešėjas padeda jums gauti informacijos, susijusios su jūsųtinklo DNS infrastruktūra. Jis gali parodyti turimų DNS įrašų duomenis, jų atitinkamus įrašų tipus, IP adresus ir informaciją apie paslaugą tiesiog įvesdamas domeno vardą.
Į Paslaugų sąskaitų tvarkymas skirtas padėti jums lengvai sukurti, redaguoti ir ištrinti tvarkomų paslaugų abonementus vos keliais paspaudimais. Šis įrankis nereikalauja žinių apie „PowerShell“ - įprastą įrankį, naudojamą šioms užduotims atlikti.
Į Silpno slaptažodžio vartotojų ataskaita padeda rasti silpnus slaptažodžius „Active Directory“palyginti vartotojų slaptažodžius su daugiau nei 100 000 dažniausiai naudojamų silpnų slaptažodžių sąrašu. Tada galite priversti silpnus slaptažodžių vartotojus pakeisti slaptažodžius kitą kartą prisijungę.
3. Enow kompasas
Kompasas iš „ENow“ programinės įrangos padeda atpažinti paslėptas jūsų aplinkos problemas, kol jai nepakenks. Tai leidžia realiuoju laiku stebėti jūsų „Active Directory“ ir visų domenų valdiklius. Kompasas gali užtikrinti, kad jūsų „Active Directory“ sveikaDFS / FRS replikacijos stebėjimas. Čia taip pat rasite DNS vardų sprendimo problemas ir padės pašalinti problemines programas, kad sklandžiai veiktų jūsų AD.
Kompasas turi daugiau nei 50 ataskaitų, apimančiųDomenų administratorių grupė, neaktyvių vartotojo abonementų identifikavimas ir pašalinimas bei FSMO vaidmenų identifikavimas. Įrankis greitai įdiegiamas ir juo lengva naudotis. Jame yra intuityvus ir lengvai naudojamas prietaisų skydelis, padedantis nustatyti problemas anksti, kol jos nesibaigs.
Išsami informacija apie Kompasas galite gauti susisiekę su „Enow“ pardavimais ir galite gauti nemokamą 14 dienų bandomąją versiją.
4. „Anturis Active Directory Monitor“
Pusė „Active Directory“ tvarkymo darbo yra užtikrinti, kad visos paslaugos veiktų sklandžiai, ir būtent tai „Active Directory Monitor“ iš Anturio viskas. Šis įrankis gali įspėti apie neįprastas situacijas el. Paštu, SMS ar balso skambučio pranešimais. Taip pat galite naudoti „Active Directory Monitor“ nustatyti pagrindinius rezultatus jūsų veiklai„Active Directory“ serveriai ir replikacijos struktūra leidžia atpažinti našumo tendencijas ir padeda sumažinti kliūčių riziką, kol jos nepadarys neigiamos įtakos jūsų AD veikimui.
Į „Active Directory Monitor“ parodys serverio ir LDAP seansus ir nustatyspavojaus slenksčiai. Tai taip pat parodys „Kerberos“ ir NTLM autentifikacijas per sekundę, leis suprasti bendrą serverio apkrovą. Kadangi replikacija yra vienas iš svarbiausių „Active Directory“ aspektų, taip pat stebima replikacijos efektyvumo metrika, tokia kaip replikacijos būsena, DRA laukiančios replikacijos sinchronizacijos ir DRA laukiančios replikacijos operacijos.
„Active Directory Monitor“ yra debesija pagrįsta paslauga ir keletas prenumeratųplanai yra prieinami kainomis nuo 10 USD per mėnesį 10 monitorių iki 650 USD per mėnesį 1000 monitorių. Taip pat galima įsigyti nemokamą versiją, tačiau joje yra tik 5 monitoriai. Tačiau visi apmokami planai turi nemokamą 30 dienų bandomąją versiją.
5. „Quest Active Administrator“
Mūsų sąraše yra „Las“ Ieškojimas Aktyvus administratorius. Tai yra pilnas ir integruotas „Active“Katalogų valdymo programinės įrangos sprendimas. Tai panaikina spragas, kurias „Microsoft“ įrankiai palieka. Priemonės leis lengviau ir greičiau patenkinti audito ir saugumo reikalavimus. Jame yra funkcijų, susijusių su daugeliu svarbiausių AD valdymo sričių.
Tarp pagrindinių įrankio funkcijų yra „Aktyvus“Administratorius siūlo integruotą, aktyvų administravimą. Jis taip pat turi intuityvų pranešimų teikimą ir perspėjimą, leidžiantį greitai stebėti ir pranešti apie pokyčius filtruojant įvykio tipą, vartotoją ir datą, taip pat vartotojo prisijungimo ir lokauto veiklą. Taip pat galite nustatyti įspėjimus apie įvykius ir automatizuoti perspėjimais pagrįstus veiksmus.
Kainos aktyviajam administratoriui yra įgalintosvartotojo paskyrą jūsų AD ir prasideda nuo 16,37 USD už neterminuotą licenciją su vienerių metų palaikymu. Turi būti įsigyta minimali 20 vartotojų abonementų licencija. Galite atsisiųsti nemokamą 30 dienų bandomąją versiją.
Komentarai