Active Directory oder AD, wie es oft genannt wirdto ist die Microsoft-eigene Version eines LDAP-Verzeichnisdienstes. Es gibt es seit Windows Server 2000 und es hat die damals veralteten Domänenverwaltungsfunktionen von Windows-Servern ersetzt. Es ist ein äußerst komplexer Dienst, der sich um die Authentifizierung von Benutzern und Geräten, die Ermittlung ihres Standorts und die Verwaltung von Zugriffsrechten kümmert. Angesichts der Komplexität ist es nicht verwunderlich, dass mehrere Entwickler versucht haben, Tools zu entwickeln, die die Verwaltung von Active Directory erleichtern. Heute stellen wir Ihnen einige der besten Active Directory-Tools im Internet vor.
Wir werden zuerst eine allgemeine Diskussion darüber führenVerzeichnisdienste, was sie sind, ihren Zweck und Nutzen, und geben Sie ein Beispiel von ihnen. Als Nächstes werden wir uns mit LDAP und X.500 befassen, zwei standardisierten Protokollen, die sich auf Verzeichnisdienste beziehen. Anschließend werden wir kurz auf die Entwicklung der Microsoft-Verzeichnisdienste eingehen. Dies bringt uns zum Kern unserer Angelegenheit, den besten Active Directory-Tools, die wir finden konnten. Wir geben Ihnen einen kurzen Überblick über jeden einzelnen.
Verzeichnisdienste, was sie sind
Wikipedia definiert einen Verzeichnisdienst alseine Zuordnung zwischen den Namen der Ressourcen in einem Netzwerk und ihren jeweiligen Netzwerkadressen.”Und in seiner einfachsten Form ist das wirklich allesist. Sie fragen sich vielleicht, ob das Domain Name System (DNS) ein Verzeichnisdienst ist. Die Antwort ist ein klares JA! Aber wenn es so einfach ist, warum ist Active Directory so komplex?
Active Directory, genau wie die meisten modernen VerzeichnisseServices implementiert viel mehr Funktionen als nur das Zuordnen von Namen zu Adressen. Sie bilden den Kern der Netzwerksicherheit und enthalten detaillierte Informationen zu Benutzern (Benutzerkonten) und Ressourcen und sind auch das Zentrum der Zugriffskontrollmechanismen der meisten Netzwerke. Der moderne Verzeichnisdienst ist eine Datenbank, in der die meisten Informationen über ein Netzwerk, seine Ressourcen und Benutzer gespeichert sind.
Ein Verzeichnisdienst ist eine hierarchische Datenbank vonObjekte, die jeweils eine andere Entität darstellen. Einige Objekte stehen für Benutzer, andere für Computer oder andere verfügbare Ressourcen, z. B. Netzwerkfreigaben. Andere Objekte sind Container für Objekte. Die hierarchische Struktur erleichtert das Auffinden einzelner Objekte und ermöglicht eine einfache Berechtigungsverwaltung, bei der Objekte Berechtigungen von ihrem übergeordneten Objekt erben können.
Unser Ziel ist es nicht, Sie zu einem Verzeichnisdienst zu machenExperten, sondern um Ihnen genügend Hintergrundinformationen zu geben, um besser zu verstehen, was Active Directory ist und woher es kommt. Sehen wir uns einige Beispiele aus der Vergangenheit und Gegenwart an, die Ihnen möglicherweise begegnet sind.
Einige Beispiele
DNS ist einer der ersten Verzeichnisdienste. Es stammt aus den frühen achtziger Jahren. Es hatte und hat einen einzigen Hauptzweck: die Übersetzung von Hostnamen in IP-Adressen. Es ist bis heute weit verbreitet und eine der Grundlagen des Internets.
Das Netzwerkinformationsdienst, oder NIS, war Sun Microsystems 'eigene Implementierung eines DNS-ähnlichen Namensdienstes für sein Unix-Ökosystem.
Novell Directory SDienstleistungen- später angerufen eDirectory- war der Verzeichnisdienst von Novell NetwareNetzwerke. Ähnlich wie das heutige Active Directory war es ein umfassendes System, das nicht nur zur Namensauflösung, sondern auch zur Authentifizierung und Zugriffskontrolle eingesetzt wurde.
NetInfo wurde von NEXT entwickelt und als Apple das Unternehmen erwarb, wurde es der Verzeichnisdienst des Mac OS, bevor es durch ersetzt wurde OpenDirectory.
Endlich, NT-Domänen sind ein weiteres Beispiel für einen Verzeichnisdienst. Sie sind die Vorfahren von Active Directory. NT-Domänen wurden hauptsächlich zur Zugriffskontrolle und Authentifizierung verwendet.
X.500 und LDAP, zwei Verzeichnisdienststandards
Im Informationszeitalter ist die Interoperabilität wichtiger denn je, wodurch in allen Bereichen Standards entstehen. Verzeichnisdienste unterscheiden sich nicht zwei primäre Standards existieren, LDAP und X.500
Der X.500-Standard oder genauer gesagt der X.Die Standardserie 500 ist eine Gruppe von Spezifikationen der ITU-T, die verschiedene Aspekte elektronischer Verzeichnisdienste abdecken. Die ersten Iterationen stammen aus dem Jahr 1988, aber X.500 ist heute noch weit verbreitet.
Eines der Ziele einer Reihe von StandardprotokollenX.500 schlägt vor, die Interoperabilität sicherzustellen und die Interaktion von Systemen verschiedener Hersteller zu ermöglichen. X.500 besteht eigentlich aus neun einzelnen Protokollen
Das Lightweight Directory Access-Protokoll oderLDAP ist ein offenes, herstellerneutrales Standard-Anwendungsprotokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten über ein IP-Netzwerk. Heutzutage sind die meisten Implementierungen von Verzeichnisdiensten, einschließlich des Active Directory von Microsoft, LDAP-kompatibel.
LDAP war ursprünglich als Leichtgewicht gedachtalternatives Protokoll für den Zugriff auf X.500-Verzeichnisdienste über den einfacheren TCP / IP-Protokollstapel. Daher schließen sich X.500 und LDAP nicht gegenseitig aus und ergänzen sich stattdessen. In der LDAP-Spezifikation ist beispielsweise festgelegt, dass die Struktur der Verzeichnisdienstedatenbank X.500-kompatibel sein muss.
LDAP-Clients können nicht nur die Attribute von lesenObjekte in einer Verzeichnisdienstedatenbank können sie auch ändern. Dies bedeutet natürlich, dass LDAP sicher ist und einen Authentifizierungsmechanismus zum Schutz vor nicht autorisierten Änderungen bietet.
Von der NT-Domäne zum Active Directory
Wie bereits erwähnt, waren Windows NT-Domänen dieerste Form des Verzeichnisdienstes im Microsoft-Ökosystem. Wie Sie ahnen konnten, erschienen sie 1993 erstmals unter Windows NT. Sie verfügten über eine zentralisierte Datenbank, die sich auf einem Domänencontroller befand, der in erster Linie für die Benutzerauthentifizierung verantwortlich war. Die Datenbank könnte aus Redundanzgründen auf mehreren Domänencontrollern repliziert werden, um sicherzustellen, dass große Netzwerke mit mehreren Standorten Benutzer lokal authentifizieren können.
Mit Windows 2000 hat Microsoft Active veröffentlichtVerzeichnis. Es war eine dringend benötigte Verbesserung gegenüber den traditionellen Domänen, die seit Jahren verwendet wurden. Active Directory bietet verschiedene Dienste. In erster Linie sind die Domain-Dienste. Dies sind die Eckpfeiler von Windows-Netzwerken. Sie speichern Informationen zu Mitgliedern der Domäne, einschließlich Geräten und Benutzern, überprüfen ihre Anmeldeinformationen, authentifizieren sie und definieren ihre Zugriffsrechte.
Weitere wichtige Dienste von Active DirectoryDazu gehören Zertifikatdienste, die eine lokale Public-Key-Infrastruktur bereitstellen. Sie können Public-Key-Zertifikate für den internen Gebrauch in einer Organisation erstellen, validieren und widerrufen. Solche Zertifikate können zum Verschlüsseln von Dateien, E-Mails und Netzwerkverkehr verwendet werden. Andere von Active Directory bereitgestellte Dienste umfassen Verbunddienste, eine Art Single Sign-On-Mechanismus und Rechteverwaltungsdienste.
Die besten Active Directory-Tools
Das Hauptmerkmal von Active Directory istdass es groß und komplex ist. Und mit dieser Komplexität sind auch Verwaltungsprobleme verbunden. Glücklicherweise wurden viele Tools von Drittanbietern entwickelt, um einige der AD-Verwaltungslasten zu bewältigen. Dies sind die Werkzeuge, die wir erforscht haben, und wir präsentieren Ihnen einige der besten, die wir finden konnten. Diese Liste ist alles andere als umfangreich, da es einfach zu viele Tools gibt.
1. SolarWinds Server & Application Monitor (KOSTENLOSE TESTPHASE)
SolarWinds ist dafür bekannt, einige der besten zu machenTools für die Netzwerk- und Systemadministration. Wir haben das SolarWinds-Produkt unzählige Male vorgestellt, als wir beispielsweise die besten SNMP-Überwachungstools oder die besten NetFlow-Kollektoren und -Analysatoren überprüft haben. SolarWinds ist auch bekannt für seine kostenlosen Tools, aufgabenspezifische Tools für Administratoren.
Es ist also keine Überraschung, dass der SolarWinds Server & Anwendungsmonitor ist auf unserer Liste. Auch wenn sein bescheidener Name nicht den Eindruck erweckt, dass es sich um ein Active Directory-Tool handelt, macht ihn sein breites Funktionsspektrum zu einem hervorragenden Tool für die Überwachung und Verwaltung von Active Directory.
Beginnen wir mit einem Blick darauf, wie die SolarWinds Server & Application Monitor kann bei der AD-Verwaltung helfen. Erstens verfügt das Tool über eine Domänencontrollerüberwachung, die mehrere Betriebsparameter überwacht. Sie erfahren, wenn die CPU-Auslastung zu hoch wird, wenn ein Benutzerkonto gesperrt ist oder wenn ein Anmeldeproblem vorliegt.
Die Software überwacht auch die NTDS-Objektzähler, um die Serverüberlastung zu verringern. Darüber hinaus ist die SolarWinds Server und Application Monitor gibt Ihnen Einblick in verschiedene LDAP-Statistiken, einschließlich aktiver LDAP-Threads, Bindungszeit, Clientsitzungen und erfolgreicher Bindungen und Suchvorgänge pro Sekunde.
Das SolarWinds Server- und Anwendungsmonitor kann Benachrichtigungen senden, wenn VerzeichnisserverReplikation fehlgeschlagen, ein Ereignis, das verhindern kann, dass Benutzer auf Ordner und Dateien zugreifen. Außerdem werden detaillierte Leistungsstatistiken zu Verzeichnisdiensten wie verteiltem Dateisystem, DFS-Replikation, standortübergreifendem Messaging, DNS-Client, Windows-Zeit, RPC-, Server- und Arbeitsstationsdiensten sowie Active Directory-Domänendiensten bereitgestellt, um nur einige der wichtigsten zu nennen Einsen.
Aber wie der Name schon sagt, wird dieses Tool nicht nurÜberwachen Sie die Active Directory-Dienste, aber auch die Server selbst und die darauf ausgeführten Anwendungen. Dieses Komplettpaket kann vom kleinsten Netzwerk bis zum großen Netzwerk mit mehreren Standorten mit Hunderten von physischen und virtuellen Servern skaliert werden. Darüber hinaus können Server in Cloud-Umgebungen wie denjenigen von Amazon Web Services und Microsoft Azure überwacht werden.
Das SolarWinds Server & Application Monitor Zunächst werden Hosts und Geräte automatisch erkanntDein Netzwerk. Ein zweiter Erkennungsscan erkennt dann Anwendungen, die auf jedem Server ausgeführt werden. Sobald es einmal funktioniert hat, kann die Verwendung dieses Tools dank seiner intuitiven Benutzeroberfläche kaum einfacher sein. Wenn Sie beispielsweise auf Knotendetails klicken, werden die Leistungs- und Integritätsinformationen des Knotens angezeigt.
Preise für die SolarWinds Server und Application Monitor beginnt bei knapp 2 995 US-Dollar und es steht eine kostenlose 30-Tage-Testversion zum Download zur Verfügung.
2. Kostenlose ManageEngine Active Directory-Tools
ManageEngine ist ein weiterer gebräuchlicher Name im Systemund Netzwerkadministratoren. Damit ist der OpManager wohl eines der besten Tools zur Überwachung der IT-Infrastruktur. Und wie SolarWinds stellt auch ManageEngine einige großartige kostenlose Tools zur Verfügung. In der Tat haben sie mehr als fünfzehn kostenlose Active Directory-Tools das kann bei der Überwachung und Verwaltung helfenIhre AD-Infrastruktur. Einige sind eigenständige Programme, andere sind Powershell-Cmdlets. Eine großartige Sache an diesem Toolkit ist, dass die meisten Tools in einem Paket enthalten sind Einzel-Download. Mal sehen, was die interessantesten dieser Tools sind.
Das AD-Abfrage-Tool ermöglicht es Ihnen, alle Attributdaten zu lesen, die SieB. den Vornamen, den Nachnamen oder die Adresse eines Benutzerobjekts aus dem Active Directory anfordern. Das Dienstprogramm kann auch beim Abfragen von Active Directory-Gruppen- und Computerobjekten helfen.
Das CSV-Generator-Tool erzeugt eine CSV-Datei (wer hätte das gedacht?), das ein benutzerdefiniertes Array von benutzerdefinierten Active Directory-Attributen und den entsprechenden Werten enthält. Die resultierende Datei kann für die Active Directory-Massenverwaltung verwendet werden.
Das Letzter Anmelde-Finder wird verwendet, um den letzten Anmeldezeitpunkt aller oder ausgewählter Benutzer auf allen ausgewählten Domänencontrollern in der Domäne aufzulisten. Es wird normalerweise für Überprüfungs- und Bereinigungsaktivitäten verwendet.
Das Terminal Session Manager ist ein Powershell-Cmdlet, mit dem Sie identifizieren könnenund verwalten Sie mehrere Terminalsitzungen in einer Domäne von einem einzigen Punkt aus. Damit können Terminalsitzungen für mehrere Benutzer in einer Domäne verwaltet, getrennt oder abgemeldet werden.
Das Active Directory-Replikations-Manager ermöglicht Administratoren, die Replikation von zu erzwingenDaten in einer Domäne oder der gesamten Gesamtstruktur. Es ermöglicht auch die Replikation von Daten zwischen zwei Domänencontrollern und listet umfassende Berichte über die letzte Replikation auf.
Das DMZ Port Analyzer Hiermit können Administratoren den Status der Ports überprüfen, die von einer Drittanbieteranwendung für die Arbeit mit Active Directory benötigt werden. Es kann verwendet werden, um entsprechende Ports an Firewalls zu öffnen.
Das Reporter für Domänencontrollerrollen listet alle Domänencontroller und ihre jeweiligen Rollen in der Domäne auf. Mithilfe dieser Funktion können Administratoren die zugeordneten Rollen eines Domänencontrollers identifizieren.
Das Lokaler Benutzermanager hilft Administratoren bei der Verwaltung von Benutzerkonten innerhalb der Domäne. Es enthält Informationen zu lokalen Benutzerkonten und ermöglicht die Verwaltung dieser Konten über eine praktische Benutzeroberfläche.
Das Domänencontroller-Überwachungstool ist ein einfaches Tool, das die Domänen automatisch erkenntund zeigt sie an. Es werden verschiedene Parameter von Domänencontrollern wie CPU-Auslastung, Festplattenauslastung und Speicherauslastung angezeigt. Sie können auch andere Parameter wie Seitenlesevorgänge pro Sekunde, Seitenschreibvorgänge pro Sekunde, Dateilesevorgänge, Dateischreibvorgänge usw. anzeigen.
Das Kennwortrichtlinien-Manager ermöglicht jedem Benutzer das Abrufen und Anzeigen der Kennwortrichtlinie der Domäne. Außerdem können Benutzer mit Administratorrechten die Domänenkennwortrichtlinie bearbeiten.
Wie der Name schon sagt, die Berichtstool für Benutzer mit leerem Kennwort wird verwendet, um die Benutzerkonten mit auf null gesetzten Kennwortfeldern zu finden, damit Administratoren sicherheitsrelevante Probleme vermeiden können.
Das Active Directory Duplicate Finder ist ein Powershell-Dienstprogramm, mit dem AdministratorenIdentifizieren Sie doppelte Einträge für Active Directory-Attribute in einer Domäne. Doppelte Einträge werden bequem aufgelistet, damit Administratoren ein doppeltes Active Directory gewährleisten können.
Das DNS-Reporter hilft Ihnen, Informationen zu erhalten, die sich auf Ihre beziehenDNS-Infrastruktur des Netzwerks. Sie können die Details der verfügbaren DNS-Einträge, die entsprechenden Eintragstypen, IP-Adressen und die Dienstdetails anzeigen, indem Sie einfach einen Domänennamen eingeben.
Das Verwaltung von Dienstkonten soll Ihnen dabei helfen, verwaltete Dienstkonten mit nur wenigen Klicks zu erstellen, zu bearbeiten und zu löschen. Für dieses Tool sind keine Kenntnisse von PowerShell erforderlich, dem üblichen Tool, mit dem diese Aufgaben ausgeführt werden.
Das Bericht über schwache Kennwortbenutzer hilft bei der Suche nach schwachen Passwörtern in Active Directory durchVergleichen der Benutzerpasswörter mit einer Liste von über 100.000 häufig verwendeten schwachen Passwörtern. Sie können dann die Benutzer mit schwachen Kennwörtern zwingen, ihre Kennwörter bei der nächsten Anmeldung zu ändern.
3. Kompass aktivieren
Kompass von ENow Software hilft Ihnen dabei, versteckte Probleme in Ihrer Umgebung zu identifizieren, bevor diese kompromittiert werden. Es ermöglicht die Echtzeit-Netzwerküberwachung Ihres Active Directory und aller Domänencontroller. Kompass kann sicherstellen, dass Ihr Active Directory fehlerfrei istÜberwachen der DFS / FRS-Replikation Es werden auch Probleme mit der DNS-Namensauflösung und der Fehlerbehebung bei problematischen Anwendungen festgestellt, damit Ihr AD reibungslos funktioniert.
Kompass hat über 50 Berichte, die die Prüfung derDomain Admins Group, die Identifizierung und Entfernung inaktiver Benutzerkonten und die Identifizierung von FSMO-Rollen. Das Tool ist schnell zu installieren und einfach zu bedienen. Es verfügt über ein intuitives und benutzerfreundliches Dashboard, mit dessen Hilfe Probleme frühzeitig erkannt werden können, bevor sie zu Ausfällen führen.
Detaillierte Preisinformationen für Kompass Wenden Sie sich an den Enow-Vertrieb, um eine kostenlose 14-tägige Testversion zu erhalten.
4. Anturis Active Directory Monitor
Die halbe Arbeit beim Verwalten von Active Directory besteht darin, sicherzustellen, dass alle Dienste reibungslos ausgeführt werden Active Directory Monitor von Anturis dreht sich alles um. Dieses Tool kann Sie über E-Mail-, SMS- oder Sprachanrufbenachrichtigungen auf ungewöhnliche Situationen hinweisen. Sie können auch die Active Directory Monitor um Leistungsgrundlagen für IhreActive Directory-Server und Replikationsstruktur ermöglichen es Ihnen, Leistungstrends zu erkennen und das Risiko von Engpässen zu verringern, bevor diese sich negativ auf Ihre AD-Leistung auswirken.
Das Active Directory Monitor Zeigt Ihnen Server- und LDAP-Sitzungen und legt sie festAlarmschwellen. Außerdem werden Kerberos- und NTLM-Authentifizierungen pro Sekunde angezeigt, um eine Vorstellung von der allgemeinen Serverauslastung zu erhalten. Da die Replikation einer der wichtigsten Aspekte von Active Directory ist, werden auch Metriken für die Replikationsleistung überwacht, z. B. der Replikationsstatus, ausstehende DRA-Replikationssynchronisationen und ausstehende DRA-Replikationsvorgänge.
Active Directory Monitor ist ein Cloud-basierter Dienst und mehrere AbonnementsDie Tarife reichen von 10 US-Dollar pro Monat für 10 Monitore bis zu 650 US-Dollar pro Monat für 1000 Monitore. Es ist auch eine kostenlose Version verfügbar, die jedoch auf 5 Monitore beschränkt ist. Für alle kostenpflichtigen Pakete ist jedoch eine kostenlose 30-Tage-Testversion verfügbar.
5. Quest Active Administrator
Las auf unserer Liste ist die Suche Aktiver Administrator. Dies ist ein vollständiger und integrierter ActiveVerzeichnisverwaltungssoftware-Lösung. Es schließt die Lücken, die Microsoft-Tools hinterlassen. Mit den Tools können Prüfungsanforderungen und Sicherheitsanforderungen einfacher und schneller erfüllt werden. Es bietet Funktionen für viele der wichtigsten Bereiche der AD-Verwaltung.
Zu den Hauptfunktionen des Tools gehört ActiveAdministrator bietet integrierte, proaktive Administration. Es verfügt auch über intuitive Berichts- und Warnfunktionen, mit denen Sie Änderungen schnell überwachen und protokollieren können, indem Sie Ereignistyp, Benutzer und Datum sowie Benutzeranmeldungs- und Sperraktivität filtern. Sie können auch Ereignisalarme festlegen und alarmbasierte Aktionen automatisieren.
Die Preise für Active Administrator gelten pro aktiviertem AdministratorBenutzerkonto in Ihrem AD und beginnt bei 16,37 USD für eine unbefristete Lizenz mit einjährigem Support. Es muss eine Mindestlizenz für 20 Benutzerkonten erworben werden. Eine kostenlose 30-Tage-Testversion kann heruntergeladen werden.
Bemerkungen