- - Active Directory-domeinen en bossen Inleiding - Beste Active Directory-tools

Active Directory-domeinen en bossen Inleiding - Beste Active Directory-tools

Sinds de oprichting, bijna precies 20 jaar geleden met de introductie van Windows 2000 Server Edition in februari 1999, Active Directory was een belangrijk onderdeel van het Microsoft-serverecosysteem. Het primaire doel is het bewaren van informatieover netwerkbronnen. Computernetwerken kunnen nogal ingewikkeld zijn. Bijgevolg is Active Directory ook vaak ingewikkeld en daarom is ons hoofddoel vandaag om u een inleiding tot Active Directory-domeinen en -bossen te bieden.

We zijn niet van plan u Active Directory te makenexperts, maar we hopen enig licht te werpen op dit ingewikkelde onderwerp. Gezien de relatief hoge complexiteit van de technologie, is het ook geen verrassing dat er verschillende tools van derden zijn gemaakt om verschillende aspecten van Active Directory te controleren en / of te beheren. Dus we zullen kijken wat sommige van hen voor u kunnen doen.

Dit is hoe we onze reis naar de wereld plannenkern van Active Directory: we beginnen met het opheffen van eventuele verwarring met het concept van domein. Het is een sleutelelement van AD maar ook een sleutelelement van internet en toch zijn het twee totaal verschillende soorten domeinen die niet moeten worden verward. Vervolgens introduceren we Active Directory, wat het is en waar het vandaan komt. Vervolgens bespreken we AD-domeinen en de bomen die we gebruiken om hun structuur weer te geven. In de natuur wordt een groep bomen een bos genoemd. Nou, hetzelfde is waar in Active Directory zoals we hierna zullen zien. Het beheren en bewaken van Active Directory wordt onze volgende taak en ten slotte zullen we enkele van de beste tools voor bewaking en beheer van Active Directory bekijken.

Verwarring vermijden - Wat is een domein?

Een domein kan veel dingen zijn, afhankelijk van watwaar u zich bevindt. En zelfs binnen informatietechnologie wordt de term domein gebruikt voor twee heel verschillende dingen. Het eerste soort domein, het domein waarmee de meeste computergebruikers - zelfs degenen die geen computerwetenschapper zijn - bekend zijn, is het internetdomein. Het is een groep internetbronnen die tot een specifieke organisatie behoren. Domeinnamen worden gebruikt om toegang te krijgen tot verschillende bronnen met behulp van gebruiksvriendelijke (re) namen in plaats van cryptische IP-adressen. Addictivetips.com is bijvoorbeeld de domeinnaam van deze website. Microsoft.com is een andere bekende domeinnaam en ik ben er vrij zeker van dat je gemakkelijk nog tientallen kunt bedenken.

De andere plaats waar het begrip domein wijd verspreid isgebruikt is gerelateerd aan Active Directory. Een Active Directory-domein is een groep bronnen (ziet u de gelijkenis met de vorige domeinen?) Die onder één enkele authenticatiedatabase vallen. We beschrijven AD-domeinen binnenkort gedetailleerder. Voor nu is de sleutel om te begrijpen dat dezelfde term wordt gebruikt om twee totaal niet-gerelateerde concepten te definiëren en dat het belangrijk is om ze niet te verwarren, want ze zijn absoluut niet hetzelfde.

Active Directory in een notendop

De eerste vraag waar mensen over het algemeen naar vragenActive Directory is: wat is het precies? Het antwoord is eenvoudig, het is de implementatie door Microsoft van een LDAP-directoryservice. Hoewel dit antwoord absoluut exact is, is het mogelijk nutteloos en roept het meer vragen op dan het beantwoordt.

Laten we graven. Ten eerste is een directoryservice, in de context van computernetwerken, een database die informatie bevat over elk onderdeel van een netwerk. Met componenten bedoelen we elke computer en server, maar ook elke gebruiker of groep gebruikers of elke map. Je kunt het zien als een telefoonboek. Elke bron die een andere bron moet vinden, zoekt deze op in de map.

Wat betreft het LDAP-gedeelte van ons eerste antwoord, dat is heteen acroniem voor Lightweight Directory Access Protocol. In eenvoudige bewoordingen definieert LDAP hoe informatie over bronnen in de database wordt opgeslagen en hoe deze informatie toegankelijk is. Het is een standaardprotocol dat wordt gedeeld door verschillende leveranciers, wat helaas niet betekent dat verschillende implementaties interoperabel zijn.

Een Active Directory-structuur is een hiërarchischorganisatie van objecten. Er zijn drie primaire categorieën objecten: bronnen (zoals computers of printers bijvoorbeeld), services (zoals e-mail) en gebruikers (gebruikersaccounts en gebruikersgroepen). Active Directory biedt informatie over de objecten, organiseert ze en beheert hun toegang en beveiliging. Het is, voor alle doeleinden, een database met vermeldingen waarbij elke vermelding een naam en een set kenmerken heeft. Elk kenmerk heeft een naam, een type en een of meerdere waarden. Attributen worden gedefinieerd in het schema van de database.

Je kunt denken aan de hiërarchische structuur van eenActive Directory-database als die van een bestandssysteem. En net zoals een bestandssysteem containers heeft (mappen of mappen genoemd), heeft AD ze ook. Ze worden Organisatie-eenheden (OU) genoemd en helpen groepsgerelateerde dingen samen. Systeembeheerders zijn vrij om OE's naar eigen inzicht te maken en het is bijvoorbeeld niet ongewoon om individuele OE's voor elke afdeling van een organisatie te zien.

Active Directory-domeinen

Nu zijn we allemaal op dezelfde pagina als watActive Directory is, laten we eens kijken naar domeinen. Interessant is dat domeinen meerdere jaren ouder zijn dan Active Directory. Zelfs voordat Microsoft in 1999 zijn eigen LDAP-directoryservice uitbracht, bestonden domeinen al sinds het begin van Windows NT. In een typisch netwerk van Windows-servers is ten minste één - en vaak twee of meer - geconfigureerd als domeincontrollers. Dit zijn de servers die de domeindatabase hosten, waardoor gebruikers worden geverifieerd en de toegang tot bronnen wordt beheerd. De informatie waarover zij beschikken wordt tussen hen gerepliceerd. En last but not least, de objecten in een domein zijn hiërarchisch georganiseerd.

De bomen en het bos

Een boomanalogie wordt vaak gebruikt om te beschrijvenhiërarchische structuren zoals een domein. Maar met Active Directory heeft Microsoft besloten om die analogie een stap verder te duwen en het noemt een hiërarchische structuur van domeinen een boom. Vergeet niet dat een domein een groep bronnen is die wordt beheerd door één database, maar een boomstructuur kan om verschillende redenen uit meerdere domeinen bestaan. Dit is iets dat eigenlijk vrij gebruikelijk is in grotere organisaties en het is helemaal niet ongewoon om één domein te zien voor elke divisie van een groot bedrijf. En voor nog grotere organisaties kunnen bomen worden gegroepeerd in, je raadt het al, bossen. Dit is het bovenste element in Active Directory en al het andere komt hieruit voort.

Bomen en bossen in Active Directory

Active Directory beheren en bewaken

Monitoring is alles! Als u een netwerk- of systeembeheerder bent, heeft u die zin waarschijnlijk al talloze keren gehoord. En weet je wat? Het is alles! Monitoring is een van de beste manieren om op de hoogte te blijven. Er bestaan ​​verschillende soorten monitoringtools waarmee u precies het type statistieken kunt verkrijgen dat u zoekt. Bandbreedtebewaking rapporteert bijvoorbeeld over het gebruik van verschillende segmenten van een netwerk, CPU-bewaking geeft de CPU-meters van uw servers weer. De meeste operationele statistieken van systemen en netwerken kunnen worden gevolgd. Het belangrijkste voordeel van het gebruik van monitoringtools is dat ze meestal automatisch zijn. Je hoeft ze niet constant in de gaten te houden. Wanneer er iets ongewoons is, waarschuwt uw monitoringtool (s) u.

In het geval van Active Directory, meerdereparameters kunnen worden bewaakt. Domeincontrollers, de servers waarop de database van een domein wordt opgeslagen, kunnen bijvoorbeeld worden gecontroleerd op respons en prestaties. Wijzigingen in toegangsrechten kunnen ook tot op zekere hoogte worden gevolgd. Aanmeldingen - met name mislukte - is een andere parameter die het controleren waard is, omdat dit een indicatie kan zijn van schadelijke activiteit.

Active Directory-beheer is iets anders. Microsoft biedt verschillende hulpmiddelen om u te helpen Active Directory te beheren. Hiermee kunt u objecten maken, rechten toewijzen en over het algemeen de meeste dagelijkse activiteiten uitvoeren die verband houden met AD-beheer. Sommige van deze tools kunnen echter nogal omslachtig of onpraktisch blijken te zijn en verschillende leveranciers hebben hun best gedaan om verschillende Active Directory Management-tools aan te bieden die het beheren van Active Directory veel eenvoudiger kunnen maken.

De beste AD-tools

We hebben de markt doorzocht voor enkele van de besteActive Directory-hulpprogramma's. Wat we vandaag voor u hebben, is een mix van monitoringtools - sommige AD-specifiek en sommige generieke - en managementtools. Ze kunnen allemaal u helpen - en dit was een van onze belangrijkste opnamecriteria - bij uw dagelijkse taken die betrekking hebben op Active Directory. Sommige zijn beveiligingsgericht, terwijl andere prestatiegericht zijn.

1- SolarWinds Access Rights Manager (GRATIS PROEF)

SolarWinds is een van de beste uitgevers van netwerk- en systeembeheersoftware. Het vlaggenschipproduct heet het Netwerkprestatiemeter scoort consequent in het topnetwerkbandbreedtebewakingssystemen. Verder staat het bedrijf ook bekend om zijn gratis software. We hebben het over kleinere tools, die elk een specifieke behoefte van netwerkbeheerders aanpakken. Twee geweldige voorbeelden van deze gratis tools zijn de Geavanceerde subnetcalculator en de Kiwi Syslog-server.

Ondanks een ietwat misleidende naam die je zou kunnen doen geloven dat het alleen om objectrechten gaat, de SolarWinds Access Rights Manager is in de eerste plaats gericht op het leveren van voorzieningen aan gebruikersen zonder provisie, tracking en monitoring eenvoudig. Het biedt ook een krachtige en eenvoudige manier om gebruikersmachtigingen te beheren en te controleren om ervoor te zorgen dat er geen onnodige machtigingen worden verleend.

Schermafbeelding SolarWinds Access Rights Manager

  • GRATIS PROEF: SolarWinds Access Rights Manager
  • Download link: https://www.solarwinds.com/access-rights-manager/registration

Een van de grootste kracht van dit product ishet intuïtieve dashboard voor gebruikersbeheer waarmee u gebruikerstoegang tot verschillende bestanden en mappen kunt maken, wijzigen, verwijderen, activeren en deactiveren. Het beschikt over rolspecifieke sjablonen die gebruikers eenvoudig toegang kunnen geven tot specifieke bronnen in uw netwerk.

Ook zeer interessant en vrij uniek zijn de SolarWinds Access Rights ManagerRapportagefuncties. De software kan rapporten maken die als bewijs kunnen worden gebruikt in geval van geschillen of eventuele geschillen. Gedetailleerde rapporten voor controledoeleinden en om te voldoen aan specificaties die zijn vastgesteld door wettelijke normen die van toepassing zijn op uw bedrijf, zijn ook beschikbaar. Rapporten kunnen snel en eenvoudig worden gemaakt met slechts een paar klikken. Ze kunnen alle informatie bevatten die u mogelijk nuttig vindt. Logboekactiviteiten in Active Directory en bestandsservertoegang kunnen bijvoorbeeld in een rapport worden opgenomen. Het is aan de gebruiker om ze zo samengevat of zo gedetailleerd te maken als ze nodig hebben.

Aanvallen en / of datalekken treden vaak op wanneermappen en / of de inhoud ervan zijn toegankelijk voor gebruikers die geen (of niet-geautoriseerde) toegang moeten hebben, een veel voorkomende situatie wanneer gebruikers uitgebreide toegang tot mappen of bestanden krijgen. De SolarWinds Access Rights Manager kan u helpen dit soort lekken te voorkomen enongeautoriseerde wijzigingen in vertrouwelijke gegevens en bestanden. Het biedt beheerders een visuele weergave van machtigingen voor meerdere bestandsservers en laat gemakkelijk en visueel zien wie welke machtiging heeft voor welk bestand.

Prijzen voor de SolarWinds Access Rights Manager is gebaseerd op het aantal geactiveerde gebruikers binnen Active Directory. In SolarWinds taalgebruik, is een geactiveerde gebruiker een actievegebruikersaccount of een serviceaccount. Prijzen voor het product beginnen bij $ 2 995 voor maximaal 100 actieve gebruikers. Voor meer gebruikers (tot 10.000), kunt u gedetailleerde prijzen verkrijgen door contact op te nemen met de verkoop van SolarWinds. Als u het hulpprogramma eerst wilt testen voordat u het aanschaft, kunt u een gratis onbeperkte proefversie van 30 dagen krijgen.

2- SolarWinds-server en toepassingsmonitor (GRATIS PROEF)

De SolarWinds-server en toepassingsmonitor is ontworpen om beheerders te helpen controlerenservers, hun operationele parameters, hun processen en de applicaties die erop draaien. Het is een van de beste tools die u kunt gebruiken om uw Active Directory-domeincontrollers en de kritieke services die ze nodig hebben te controleren. Maar de tool controleert ook een of alle servers. Het kan gemakkelijk worden geschaald van de kleinste tot grote netwerken met honderden servers - zowel fysiek als virtueel - verspreid over meerdere sites.

SolarWinds-server- en toepassingsmonitordashboard

  • GRATIS PROEF: SolarWinds-server en toepassingsmonitor
  • Download link: https://www.solarwinds.com/server-application-monitor/registration

De Active Directory-prestatiebewaking aangeboden door de SolarWinds-server en toepassingsmonitor geeft u inzicht in problemen met Active Directorymet betrekking tot gebruikersaccount zoals het aanmaken van een account, wachtwoordwijziging en resetpogingen, uitgeschakelde en verwijderde gebruikersaccounts. Het biedt ook informatie over domein- en systeembeleidwijzigingen en gegevensherstel, net zoals het ook inzicht geeft in firewall-instellingen en andere systeemwijzigingen en momenteel actieve services. Met de tool kunnen ook LDAP-sessies worden gecontroleerd. Omdat het aantal verbonden clients van invloed is op de serverbelasting, controleert de tool de NTDS-objecttellers om te voorkomen dat een server overbelast raakt met een specifieke LDAP-sessie. Bovendien kan de software inzicht bieden in geavanceerde statistieken, zoals actieve LDAP-threads, bindtijd, clientsessies, succesvolle bindingen / sec en zoekopdrachten / sec.

De eerste configuratie van het product is snelen gemakkelijk gedaan met behulp van een tweevoudig automatisch detectieproces. De eerste passage ontdekt elke server en de tweede vindt toepassingen op elke ontdekte server. Hoewel dit proces tijd kan kosten, kan het worden versneld door een lijst met specifieke te zoeken applicaties te leveren. Zodra de tool actief is, maakt de gebruiksvriendelijke GUI het gebruik ervan een fluitje van een cent. Het dashboard van de tool kan worden gepersonaliseerd en u kunt informatie in een tabel of grafisch formaat weergeven.

Prijs voor de SolarWinds-server en toepassingsmonitor begint bij $ 2 995 en is gebaseerd op het aantal bewaakte componenten, knooppunten en volumes. Als u het product wilt proberen voordat u het koopt, kunt u een gratis proefversie van 30 dagen downloaden.

3- Gratis AD Tools van ManageEngine

ManageEngine is een andere bekende naam bij systeem- en netwerkbeheerders. Haar ManageEngine OpManager pakket behoort tot de top IT-infrastructuurbewakingshulpmiddelen. Net als sommige van zijn concurrenten, maakt ManageEngine een aantal geweldige gratis tools. En als het gaat om Active Directory, biedt het bedrijf maar liefst vijftien gratis tools die kunnen helpen bij het bewaken en beheren van uw AD-infrastructuur. Er is een combinatie van zelfstandige programma's en Powershell-cmdlets. De meeste tools zijn gebundeld in een enkele download, dus het verkrijgen van ze zou geen probleem moeten zijn. Laten we eens kijken wat de meest interessante van deze tools zijn.

  • AD Query Tool, zoals de naam al doet vermoeden, kunt u alle kenmerkgegevens lezen die u nodig hebt uit de Active Directory
  • Laatste aanmeldingszoeker wordt gebruikt om de laatste aanmeldingstijd van alle of van geselecteerde gebruikers in alle geselecteerde domeincontrollers in het domein weer te geven. Het wordt meestal gebruikt voor audit- en opruimactiviteiten.
  • Active Directory Replication Manager maakt beheerders replicatie van gegevens in een domein mogelijk en biedt uitgebreide rapporten over de laatste replicatie.
  • Domain Controller Rollen Reporter toont alle domeincontrollers en hun respectieve rollen in het domein.
  • Domain Controller Monitoring Tool is een eenvoudig maar krachtig hulpmiddel. Het zal domeinen automatisch ontdekken en weergeven, met belangrijke parameters van domeincontrollers zoals CPU-gebruik, schijfgebruik en geheugengebruik.

Beheer Engine Active Directory DC Monitoring Tool

  • Wachtwoordbeleid Manager laat iemand het wachtwoordbeleid van het domein ophalen en bekijken en bewerken - op voorwaarde dat hij de juiste rechten heeft.
  • Active Directory Duplicate Finder is een Powershell-hulpprogramma waarmee beheerders dubbele vermeldingen voor Active Directory-kenmerken in een domein kunnen identificeren.
  • Beheer van serviceaccounts is ontworpen om u te helpen eenvoudig beheerde serviceaccounts te maken, bewerken en verwijderen met slechts een paar klikken.
  • Zwak wachtwoord Gebruikersrapport helpt bij het vinden van zwakke wachtwoorden in Active Directory door de wachtwoorden van gebruikers te vergelijken met een lijst van meer dan 100.000 veelgebruikte zwakke wachtwoorden.

Dit zijn slechts enkele van de vele gratis Active Directory-hulpprogramma's aangeboden door ManageEngine. Hoewel het gebruik van afzonderlijke tools voor elke afzonderlijke taak waarschijnlijk niet zo praktisch is als het gebruik van een geïntegreerde tool met alle ingebouwde functies, is de prijs van deze tools moeilijk te verslaan en zou ze zeker een optie kunnen zijn die het overwegen waard is.

4- Actieve beheerder

Als laatste op onze lijst staat Actieve beheerder van Quest-software, nu onderdeel van dal. Dit is een complete en geïntegreerde actieveSoftware voor directorybeheer. Het overbrugt de hiaten die sommige tools van Microsoft achterlaten. Dit is het soort tool dat het eenvoudiger en sneller maakt om te voldoen aan zowel beveiligings- als auditvereisten. Het heeft functies die betrekking hebben op veel van de belangrijkste gebieden van AD-beheer.

Schermafbeelding Quest Active Administrator

Een van de belangrijkste functies van de tool, Actieve beheerder biedt geïntegreerd, proactief beheer. Dit is ook een zeer krachtige monitoringtool met intuïtieve rapportage en alarmering, waarmee u snel veranderingen kunt ontdekken en hierover kunt rapporteren door te filteren op gebeurtenistype, gebruiker en datum, evenals inlog- en vergrendelingsactiviteiten van gebruikers. U kunt ook gebeurtenismeldingen instellen en automatisch op acties gebaseerde acties starten.

Prijzen voor Actieve beheerder is per ingeschakeld gebruikersaccount in uw ActiveDirectory en het begint bij $ 16,37 voor een eeuwigdurende licentie met eenjarige ondersteuning. Er moet een minimumlicentie voor 20 gebruikersaccounts worden gekocht. Een gratis proefversie van 30 dagen kan worden gedownload.

Comments