- - Active Directory-Domänen und -Forests Einführung - Beste Active Directory-Tools

Active Directory-Domänen und -Forests Einführung - Beste Active Directory-Tools

Seit seiner Einführung vor fast genau 20 Jahren mit der Einführung von Windows 2000 Server Edition im Februar 1999 Active Directory war eine Schlüsselkomponente des Microsoft-Server-Ökosystems. Sein Hauptzweck ist die Aufbewahrung von Informationenüber vernetzte Ressourcen. Computernetzwerke können ziemlich kompliziert sein. Infolgedessen ist Active Directory in der Regel auch kompliziert. Aus diesem Grund ist es unser Hauptziel, Ihnen heute eine Einführung in Active Directory-Domänen und Gesamtstrukturen zu bieten.

Wir beabsichtigen nicht, Sie zu Active Directory zu machenExperten, aber wir hoffen, dass wir etwas Licht in dieses komplizierte Thema bringen können. Angesichts der relativ hohen Komplexität der Technologie ist es nicht verwunderlich, dass mehrere Tools von Drittanbietern erstellt wurden, um verschiedene Aspekte von Active Directory zu überwachen und / oder zu verwalten. Wir werden uns also ansehen, was einige von ihnen für Sie tun können.

So planen wir unsere Reise in dieKern von Active Directory: Wir werden damit beginnen, etwaige Verwechslungen mit dem Domänenbegriff zu beseitigen. Es ist ein Schlüsselelement von AD, aber auch ein Schlüsselelement des Internets. Dabei handelt es sich um zwei völlig unterschiedliche Arten von Domänen, die nicht verwechselt werden dürfen. Wir werden dann Active Directory vorstellen, was es ist und woher es kommt. Als Nächstes werden AD-Domänen und die zur Darstellung ihrer Struktur verwendeten Bäume erläutert. In der Natur wird eine Baumgruppe Wald genannt. In Active Directory gilt das Gleiche wie im Folgenden. Das Verwalten und Überwachen von Active Directory wird unsere nächste Aufgabe sein. Abschließend werden einige der besten Überwachungs- und Verwaltungstools für Active Directory vorgestellt.

Verwirrung vermeiden - Was ist eine Domain?

Eine Domain kann viele Dinge sein, je nachdem wasUnd selbst in der Informationstechnologie wird der Begriff "Domäne" für zwei sehr unterschiedliche Dinge verwendet. Die erste Art von Domäne, mit der die meisten Computerbenutzer - auch diejenigen, die keine Informatiker sind - vertraut sind, ist die Internetdomäne. Es handelt sich um eine Gruppe von Internetressourcen, die zu einer bestimmten Organisation gehören. Domänennamen werden verwendet, um auf verschiedene Ressourcen zuzugreifen, wobei benutzerfreundliche Namen anstelle von kryptischen IP-Adressen verwendet werden. Beispielsweise ist addictivetips.com der Domainname dieser Website. Microsoft.com ist ein weiterer bekannter Domainname, und ich bin mir ziemlich sicher, dass Sie leicht an Dutzende mehr denken können.

Der andere Ort, an dem der Begriff Domain weit verbreitet istused bezieht sich auf Active Directory. Eine Active Directory-Domäne ist eine Gruppe von Ressourcen (beachten Sie die Ähnlichkeit mit den vorherigen Domänen?), Die von einer einzigen Authentifizierungsdatenbank abgedeckt werden. In Kürze werden AD-Domänen ausführlicher beschrieben. Im Moment geht es darum zu verstehen, dass derselbe Begriff verwendet wird, um zwei völlig unabhängige Konzepte zu definieren, und dass es wichtig ist, sie nicht zu verwechseln, da sie definitiv nicht dasselbe sind.

Active Directory auf den Punkt gebracht

Die erste Frage, nach der die Leute allgemein fragenActive Directory lautet: Was ist das genau? Die Antwort ist einfach: Microsoft implementiert einen LDAP-Verzeichnisdienst. Obwohl diese Antwort absolut genau ist, ist sie möglicherweise nutzlos und wirft mehr Fragen auf als sie beantwortet.

Lass uns nach unten graben. Erstens ist ein Verzeichnisdienst im Kontext von Computernetzwerken eine Datenbank, die Informationen zu jeder einzelnen Komponente eines Netzwerks enthält. Unter Komponenten verstehen wir jeden Computer und Server, aber auch jeden Benutzer oder jede Benutzergruppe oder jedes Verzeichnis. Sie können sich das als Telefonverzeichnis vorstellen. Jede Ressource, die eine andere Ressource finden muss, sucht sie im Verzeichnis.

Was den LDAP-Teil unserer ersten Antwort betrifft, so ist dies der Fallein Akronym für Lightweight Directory Access Protocol. In einfachen Worten definiert LDAP, wie Informationen zu Ressourcen in der Datenbank gespeichert werden und wie auf diese Informationen zugegriffen werden kann. Es handelt sich um ein branchenübliches Protokoll, das von mehreren Anbietern gemeinsam genutzt wird. Dies bedeutet jedoch leider nicht, dass verschiedene Implementierungen interoperabel sind.

Eine Active Directory-Struktur ist hierarchischOrganisation von Objekten. Es gibt drei Hauptkategorien von Objekten: Ressourcen (z. B. Computer oder Drucker), Dienste (z. B. E-Mail) und Benutzer (Benutzerkonten und Benutzergruppen). Active Directory stellt Informationen zu den Objekten bereit, organisiert sie und steuert deren Zugriff und Sicherheit. Es ist in jeder Hinsicht eine Datenbank von Einträgen, wobei jeder Eintrag einen Namen und eine Reihe von Attributen hat. Jedes Attribut hat einen Namen, einen Typ und einen oder mehrere Werte. Attribute werden im Datenbankschema definiert.

Sie können sich die hierarchische Struktur einesActive Directory-Datenbank als Dateisystem. Und genau wie ein Dateisystem Container (Verzeichnisse oder Ordner genannt) hat, hat AD auch diese Container. Sie werden als Organisationseinheiten (Organizational Units, OU) bezeichnet und helfen dabei, verwandte Dinge zu gruppieren. Es steht Systemadministratoren frei, Organisationseinheiten nach eigenem Ermessen zu erstellen. So ist es beispielsweise nicht ungewöhnlich, dass für jede Abteilung einer Organisation einzelne Organisationseinheiten angezeigt werden.

Active Directory-Domänen

Jetzt sind wir alle auf der gleichen Seite, wasIn Active Directory sehen wir uns die Domänen an. Interessanterweise sind Domänen mehrere Jahre älter als Active Directory. Schon bevor Microsoft 1999 einen eigenen LDAP-Verzeichnisdienst herausbrachte, gab es Domänen seit den Anfängen von Windows NT. In einem typischen Netzwerk von Windows-Servern ist mindestens einer von ihnen - und häufig zwei oder mehr - als Domänencontroller konfiguriert. Sie sind die Server, auf denen die Domänendatenbank gehostet wird, wodurch Benutzer authentifiziert werden und der Zugriff auf Ressourcen gesteuert wird. Die darin enthaltenen Informationen werden zwischen ihnen repliziert. Und zu guter Letzt die Objekte in einer Domäne sind hierarchisch organisiert.

Die Bäume und der Wald

Eine Baumanalogie wird häufig verwendet, um zu beschreibenhierarchische Strukturen wie eine Domäne. Aber mit Active Directory hat Microsoft beschlossen, diese Analogie noch weiter voranzutreiben und eine hierarchische Struktur von Domänen als Baumstruktur zu bezeichnen. Denken Sie daran, dass eine Domäne eine Gruppe von Ressourcen ist, die von einer Datenbank gesteuert werden, ein Baum jedoch aus verschiedenen Gründen aus mehreren Domänen bestehen kann. Dies ist etwas, was in größeren Organisationen eigentlich durchaus üblich ist, und es ist überhaupt nicht ungewöhnlich, eine Domäne für jede Abteilung eines großen Unternehmens zu sehen. Und für noch größere Organisationen können Bäume zu Wäldern zusammengefasst werden. Dies ist das oberste Element in Active Directory und alles andere stammt von ihm ab.

Bäume und Wälder in Active Directory

Verwalten und Überwachen von Active Directory

Überwachung ist alles! Wenn Sie ein Netzwerk- oder Systemadministrator sind, haben Sie diesen Satz wahrscheinlich unzählige Male gehört. Und weisst du was? Es ist alles Überwachung ist eine der besten Möglichkeiten, um den Überblick zu behalten. Es gibt verschiedene Arten von Überwachungstools, mit denen Sie genau die Art von Metriken ermitteln können, nach denen Sie suchen. Bei der Bandbreitenüberwachung wird beispielsweise die Verwendung verschiedener Segmente eines Netzwerks protokolliert. Bei der CPU-Überwachung werden die CPU-Werte Ihrer Server angezeigt. Die meisten Betriebsmetriken von Systemen und Netzwerken können überwacht werden. Der Hauptvorteil der Verwendung von Überwachungstools besteht darin, dass sie meist automatisch ablaufen. Sie müssen sie nicht ständig beobachten. Immer wenn etwas ungewöhnlich ist, werden Sie von Ihren Überwachungstools benachrichtigt.

Bei Active Directory mehrereParameter können überwacht werden. Beispielsweise können Domänencontroller - die Server, auf denen die Datenbank einer Domäne gespeichert ist - auf Reaktion und Leistung überwacht werden. Änderungen der Zugriffsrechte könnten ebenfalls mit einigem Vorteil überwacht werden. Anmeldungen - insbesondere fehlgeschlagene - sind ein weiterer Parameter, der überwacht werden sollte, da dies ein Hinweis auf böswillige Aktivitäten sein kann.

Active Directory Management ist etwas anderes. Microsoft stellt verschiedene Tools zur Verfügung, mit denen Sie Active Directory verwalten können. Mit ihnen können Sie Objekte erstellen, Rechte zuweisen und im Allgemeinen die meisten alltäglichen Aktivitäten im Zusammenhang mit der AD-Verwaltung ausführen. Einige dieser Tools können sich jedoch als recht umständlich oder unpraktisch herausstellen, und mehrere Anbieter bieten verschiedene Active Directory-Verwaltungstools an, mit denen die Verwaltung von Active Directory erheblich vereinfacht werden kann.

Die besten AD-Tools

Wir haben den Markt nach den Besten abgesuchtActive Directory-Tools. Was wir heute für Sie haben, ist eine Mischung aus Überwachungstools - einige AD-spezifische und einige generische - und Verwaltungstools. Sie alle können Ihnen bei Ihren täglichen Aufgaben in Bezug auf Active Directory helfen - und dies war eines unserer wichtigsten Einschlusskriterien. Einige sind sicherheitsorientiert, während andere leistungsorientiert sind.

1- SolarWinds Access Rights Manager (KOSTENLOSE TESTPHASE)

SolarWinds ist einer der besten Herausgeber von Netzwerk- und Systemverwaltungssoftware. Das Flaggschiff unter dem Namen Netzwerkleistungsmonitor punktet durchweg im Top-NetzwerkBandbreitenüberwachungssysteme. Darüber hinaus ist das Unternehmen auch für seine freie Software bekannt. Es handelt sich um kleinere Tools, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren zugeschnitten sind. Zwei großartige Beispiele für diese kostenlosen Tools sind die Erweiterter Subnetzrechner und das Kiwi Syslog Server.

Trotz eines etwas irreführenden Namens, der Sie zu der Annahme verleiten könnte, dass es sich nur um Objektberechtigungen handelt, wird der SolarWinds Access Rights Manager ist in erster Linie auf die Bereitstellung von Benutzern ausgerichtetund unprovisioning, Tracking und Überwachung einfach. Es bietet auch eine leistungsstarke und einfache Möglichkeit zum Verwalten und Überwachen von Benutzerberechtigungen, um sicherzustellen, dass keine unnötigen Berechtigungen erteilt werden.

Screenshot von SolarWinds Access Rights Manager

  • KOSTENLOSE TESTPHASE: SolarWinds Access Rights Manager
  • Download-Link: https://www.solarwinds.com/access-rights-manager/registration

Eine der größten Stärken dieses Produktes istDas intuitive Dashboard zur Benutzerverwaltung, mit dem Sie Benutzerzugriffe auf verschiedene Dateien und Ordner erstellen, ändern, löschen, aktivieren und deaktivieren können. Es enthält rollenspezifische Vorlagen, mit denen Benutzer problemlos auf bestimmte Ressourcen in Ihrem Netzwerk zugreifen können.

Sehr interessant und einzigartig sind auch die SolarWinds Access Rights ManagerBerichtsfunktionen von. Die Software kann Berichte erstellen, die im Falle von Streitigkeiten oder eventuellen Rechtsstreitigkeiten als Beweismittel dienen können. Ausführliche Berichte zu Prüfungszwecken und zur Einhaltung von Spezifikationen, die in den für Ihr Unternehmen geltenden behördlichen Standards festgelegt sind, sind ebenfalls verfügbar. Berichte können schnell und einfach mit wenigen Klicks erstellt werden. Sie können alle Informationen enthalten, die Sie für nützlich halten. Beispielsweise können Protokollaktivitäten in Active Directory und Dateiserverzugriffen in einen Bericht aufgenommen werden. Es ist Sache des Benutzers, sie so zusammenfassend oder detailliert wie nötig zu gestalten.

Angriffe und / oder Datenlecks treten häufig auf, wennDer Zugriff auf Ordner und / oder deren Inhalte erfolgt durch Benutzer, die keine Zugriffsberechtigung haben oder haben sollten. Dies ist häufig der Fall, wenn Benutzern ein umfassender Zugriff auf Ordner oder Dateien gewährt wird. Das SolarWinds Access Rights Manager kann Ihnen helfen, diese Arten von Lecks und zu verhindernnicht autorisierte Änderungen an vertraulichen Daten und Dateien. Es bietet Administratoren eine visuelle Darstellung der Berechtigungen für mehrere Dateiserver und zeigt auf einfache und visuelle Weise an, wer über welche Berechtigungen für welche Datei verfügt.

Preise für die SolarWinds Access Rights Manager basiert auf der Anzahl der aktivierten Benutzer in Active Directory. Im SolarWinds Im Sprachgebrauch ist ein aktivierter Benutzer entweder ein aktiverBenutzerkonto oder ein Dienstkonto. Die Preise für das Produkt beginnen bei 2 995 USD für bis zu 100 aktive Benutzer. Für mehr Benutzer (bis zu 10.000) erhalten Sie detaillierte Preise, indem Sie sich an den SolarWinds-Vertrieb wenden. Wenn Sie das Tool vor dem Kauf testen möchten, erhalten Sie eine kostenlose, unbegrenzte 30-Tage-Testversion.

2- SolarWinds Server und Anwendungsmonitor (KOSTENLOSE TESTPHASE)

Das SolarWinds Server und Application Monitor wurde entwickelt, um Administratoren bei der Überwachung zu helfenServer, ihre Betriebsparameter, ihre Prozesse und die Anwendungen, die auf ihnen ausgeführt werden. Es ist eines der besten Tools, mit denen Sie Ihre Active Directory-Domänencontroller und die kritischen Dienste überwachen können, die sie ausführen müssen. Das Tool überwacht jedoch auch einen oder alle Ihre Server. Mit Hunderten von physischen und virtuellen Servern, die auf mehrere Standorte verteilt sind, kann das System problemlos vom kleinsten zum großen Netzwerk skaliert werden.

SolarWinds Server und Application Monitor Dashboard

  • KOSTENLOSE TESTPHASE: SolarWinds Server und Application Monitor
  • Download-Link: https://www.solarwinds.com/server-application-monitor/registration

Die von Active Directory angebotene Leistungsüberwachung SolarWinds Server und Application Monitor gibt Ihnen Einblick in Active Directory-Problemeim Zusammenhang mit Benutzerkonten wie Kontoerstellung, Kennwortänderungs- und -rücksetzversuchen, deaktivierten und gelöschten Benutzerkonten. Darüber hinaus werden Informationen zu Änderungen an Domänen- und Systemrichtlinien sowie zur Datenwiederherstellung sowie Informationen zu Firewall-Einstellungen und anderen Systemänderungen sowie zu den derzeit ausgeführten Diensten bereitgestellt. Das Tool ermöglicht auch die Überwachung von LDAP-Sitzungen. Da sich die Anzahl der verbundenen Clients auf die Serverauslastung auswirkt, überwacht das Tool die NTDS-Objektindikatoren, um eine Serverüberlastung zu vermeiden, die mit einer bestimmten LDAP-Sitzung verbunden ist. Darüber hinaus bietet die Software Einblicke in erweiterte Statistiken wie aktive LDAP-Threads, Bindungszeit, Clientsitzungen, erfolgreiche Bindungen / Sek. Und Suchvorgänge / Sek.

Die Erstkonfiguration des Produkts ist schnell erledigtund einfach mit Hilfe eines automatischen Erkennungsprozesses in zwei Durchgängen durchzuführen. Der erste Durchlauf ermittelt jeden Server und der zweite findet Anwendungen auf jedem ermittelten Server. Obwohl dieser Vorgang einige Zeit in Anspruch nehmen kann, kann er beschleunigt werden, indem eine Liste der zu suchenden Anwendungen angegeben wird. Sobald das Tool betriebsbereit ist, wird die Verwendung der benutzerfreundlichen Benutzeroberfläche zum Kinderspiel. Das Dashboard des Tools kann personalisiert werden und ermöglicht es Ihnen, Informationen entweder in einer Tabelle oder in einem Grafikformat anzuzeigen.

Preis für die SolarWinds Server und Application Monitor beginnt bei 2 995 USD und basiert auf der Anzahl der überwachten Komponenten, Knoten und Volumes. Eine kostenlose 30-Tage-Testversion steht zum Download zur Verfügung, falls Sie das Produkt vor dem Kauf testen möchten.

3- Kostenlose AD Tools von ManageEngine

ManageEngine ist ein weiterer bekannter Name bei System- und Netzwerkadministratoren. Es ist ManageEngine OpManager Paket gehört zu den Top-IT-InfrastrukturÜberwachungstools. Wie einige seiner Konkurrenten stellt ManageEngine einige großartige kostenlose Tools zur Verfügung. In Bezug auf Active Directory bietet das Unternehmen nicht weniger als fünfzehn kostenlose Tools, mit denen Sie Ihre AD-Infrastruktur überwachen und verwalten können. Es gibt eine Kombination aus eigenständigen Programmen und Powershell-Cmdlets. Die meisten Tools werden in einem einzigen Download gebündelt, sodass es kein Problem sein sollte, sie zu erhalten. Schauen wir uns die interessantesten dieser Tools an.

  • AD-Abfrage-ToolWie der Name schon sagt, können Sie alle erforderlichen Attributdaten aus Active Directory lesen
  • Letzter Anmelde-Finder wird verwendet, um den letzten Anmeldezeitpunkt aller oder ausgewählter Benutzer auf allen ausgewählten Domänencontrollern in der Domäne aufzulisten. Es wird normalerweise für Überprüfungs- und Bereinigungsaktivitäten verwendet.
  • Active Directory-Replikations-Manager Ermöglicht Administratoren die Replikation von Daten in einer Domäne sowie umfassende Berichte zur letzten Replikation.
  • Reporter für Domänencontrollerrollen listet alle Domänencontroller und ihre jeweiligen Rollen in der Domäne auf.
  • Domänencontroller-Überwachungstool ist ein einfaches und doch mächtiges Werkzeug. Es erkennt automatisch Domänen und zeigt sie an. Dabei werden wichtige Parameter von Domänencontrollern wie CPU-Auslastung, Festplattenauslastung und Speicherauslastung angezeigt.

ManageEngine Active Directory-DC-Überwachungstool

  • Kennwortrichtlinien-Manager Sie können die Kennwortrichtlinie der Domain abrufen, anzeigen und bearbeiten, sofern Sie über die entsprechenden Rechte verfügen.
  • Active Directory Duplicate Finder ist ein Powershell-Dienstprogramm, mit dem Administratoren doppelte Einträge für Active Directory-Attribute in einer Domäne identifizieren können.
  • Verwaltung von Dienstkonten soll Ihnen dabei helfen, verwaltete Dienstkonten mit nur wenigen Klicks zu erstellen, zu bearbeiten und zu löschen.
  • Bericht über schwache Kennwortbenutzer hilft bei der Suche nach schwachen Passwörtern in Active Directory, indem die Passwörter der Benutzer mit einer Liste von über 100.000 häufig verwendeten schwachen Passwörtern verglichen werden.

Dies sind nur einige der vielen kostenlosen Active Directory-Tools bereitgestellt von ManageEngine. Obwohl die Verwendung separater Tools für jede einzelne Aufgabe wahrscheinlich nicht so praktisch ist wie die Verwendung eines integrierten Tools mit allen integrierten Funktionen, ist der Preis dieser Tools kaum zu übertreffen und könnte sie mit Sicherheit zu einer erwägenswerten Option machen.

4- Aktiver Administrator

Das letzte auf unserer Liste ist Aktiver Administrator von Quest-Software, jetzt ein Teil von Dell. Dies ist ein vollständiger und integrierter ActiveVerzeichnisverwaltungssoftware-Lösung. Es schließt die Lücken, die einige Tools von Microsoft hinterlassen. Mit dieser Art von Tool können Sicherheits- und Prüfungsanforderungen einfacher und schneller erfüllt werden. Es bietet Funktionen für viele der wichtigsten Bereiche der AD-Verwaltung.

Quest Active Administrator Screenshot

Zu den Hauptfunktionen des Tools gehört Aktiver Administrator bietet integrierte, proaktive Administration. Dies ist auch ein sehr leistungsfähiges Überwachungstool mit intuitiven Berichten und Warnmeldungen, mit denen Sie Änderungen schnell erkennen und melden können, indem Sie nach Ereignistyp, Benutzer und Datum sowie nach Benutzeranmeldungs- und Sperraktivität filtern. Sie können auch Ereignisalarme festlegen und automatisch alarmbasierte Aktionen starten.

Preise für Aktiver Administrator ist pro aktiviertem Benutzerkonto in Ihrem ActiveVerzeichnis und es beginnt bei 16,37 $ für eine unbefristete Lizenz mit einjähriger Unterstützung. Es muss eine Mindestlizenz für 20 Benutzerkonten erworben werden. Eine kostenlose 30-Tage-Testversion kann heruntergeladen werden.

Bemerkungen