Active Directory, eller AD som det ofte omtalestil, er Microsofts egen versjon av en LDAP-katalogtjeneste. Det har eksistert siden Windows server 2000 og erstattet de daværende aldringsdomeneadministrasjonsfunksjonene til Windows-servere. Det er en enormt sammensatt tjeneste som tar seg av autentisering av brukere og utstyr, kartlegger deres beliggenhet og administrerer tilgangsrettigheter. Å være så kompleks, det er ingen overraskelse at flere utviklere har prøvd å lage verktøy som letter smerten ved å administrere Active Directory. I dag bringer vi deg noen av de beste Active Directory-verktøyene som er å finne på Internett.
Vi vil først ha en generell diskusjon omkatalogtjenester, hva de er, deres formål og verktøy, og gir deg noen eksempler på dem. Deretter snakker vi om LDAP og X.500, to standardiserte protokoller relatert til katalogtjenester. Deretter snakker vi kort om utviklingen av Microsoft-katalogtjenester. Dette vil bringe oss til kjernen i saken vår, de beste Active Directory-verktøyene vi kunne finne. Vi vil gi deg en kort gjennomgang av hver enkelt.
Katalogtjenester, hva de er
Wikipedia definerer en katalogtjeneste som "en kartlegging mellom navnene på ressursene i et nettverk og deres respektive nettverksadresser.”Og i sin enkleste form er dette egentlig alter. Så da, kan du spørre, er Domain Name System (DNS) en katalogtjeneste? Svaret er et rungende JA! Men hvis det er så enkelt, hvorfor er Active Directory så kompleks?
Active Directory, akkurat som de fleste moderne katalogertjenester, implementerer mye mer funksjonalitet enn bare å kartlegge navn til adresser. De er kjernen i nettverkets sikkerhet og vil inneholde detaljert informasjon om brukere (brukerkontoer) og ressurser, og er også i sentrum for tilgangskontrollmekanismene i de fleste nettverk. Den moderne katalogtjenesten er en database der mesteparten av informasjonen om et nettverk, dets ressurser og brukere er lagret.
En katalogtjeneste er en hierarkisk database overobjekter, som hver representerer en annen enhet. Noen objekter representerer brukere, andre representerer datamaskiner eller andre tilgjengelige ressurser som nettverksandeler. Andre gjenstander er containere for gjenstander. Den hierarkiske strukturen gjør det lettere å finne et enkelt objekt og gir enkel administrasjonsadministrasjon der objekter kan arve tillatelser fra foreldrene.
Målet vårt er ikke å gjøre deg til en katalogtjenesteekspert, men snarere for å gi deg nok bakgrunnsinformasjon til å bedre forstå hva Active Directory er og hvor den kommer fra. La oss se på noen eksempler fra det virkelige liv på katalogtjenester du har møtt tidligere.
Noen eksempler
DNS er en av de aller første katalogtjenestene. Det går tilbake til begynnelsen av åttitallet. Det hadde - og har fremdeles - ett hovedformål: å oversette vertsnavn til IP-adresser. Det er fremdeles i utbredt bruk i dag, og det er et av grunnleggende på Internett.
De Nettverksinformasjonstjeneste, eller NIS, var Sun Microsystems 'egen implementering av en navnetjeneste som ligner på DNS for Unix-økosystemet.
Novell Directory Services—Latt ringte eDirectory- var katalogtjenesten til Novell Netwarenettverk. Noe som det som Active Directory er i dag, det var et altomfattende system som ikke bare brukes til navneløsning, men også for autentisering og tilgangskontroll.
NetInfo ble utviklet av NEXT, og da Apple kjøpte selskapet, ble Mac OS sin katalogtjeneste før den ble erstattet av OpenDirectory.
Til slutt, NT-domener er et annet eksempel på en katalogtjeneste. De er stamfar til Active Directory. NT-domener ble primært brukt til tilgangskontroll og autentiseringsformål.
X.500 og LDAP, to katalogtjenestestandarder
I informasjonsalderen er interoperabilitet viktigere enn noen gang, noe som fører til at standarder dukker opp på alle felt. Katalogtjenester er ikke forskjellige to primære standarder eksisterer, LDAP og X.500
X.500-standarden, eller mer presist X.500 serier med standarder er en gruppe spesifikasjoner fra ITU-T som dekker flere aspekter av elektroniske katalogtjenester. De første iterasjonene går tilbake til 1988, men X.500 er fremdeles i utbredt bruk i dag.
Et av målene for et sett med standardprotokollersom foreslått av X.500 er å sikre interoperabilitet og la systemer fra forskjellige leverandører samhandle. X.500 er faktisk et sett med ni individuelle protokoller
Lightweight Directory Access Protocol, ellerLDAP, er en åpen, leverandørneutral, industristandard applikasjonsprotokoll for tilgang til og vedlikehold av distribuert kataloginformasjonstjenester over et IP-nettverk. I dag er de fleste implementeringer av katalogtjenester, inkludert Microsofts Active Directory, LDAP-kompatible.
LDAP var opprinnelig ment som en lettvektalternativ protokoll for tilgang til X.500-katalogtjenester gjennom den enklere TCP / IP-protokollstabelen. Som sådan er X.500 og LDAP ikke gjensidig utelukkende og er i stedet komplementære. For eksempel angir LDAP-spesifikasjonen at strukturen i katalogtjenestedatabasen må være X.500-kompatibel.
LDAP-klienter kan ikke bare lese attributtene tilobjekter i en katalogtjenestedatabase, kan de også endre dem. Dette betyr selvfølgelig at LDAP er sikker og tilbyr en autentiseringsmekanisme for å beskytte mot uautoriserte modifikasjoner.
Fra NT-domene til Active Directory
Som nevnt tidligere, var Windows NT-domeneneførste form for katalogtjeneste i Microsofts økosystem. Som du kunne ha gjettet, dukket de først opp med Windows NT, allerede i 1993. De hadde en sentralisert database som var lokalisert på en domenekontroller som var hovedansvarlig for brukerautentisering. Databasen kan kopieres på flere domenekontrollere for redundans og for å sikre at store nettsteder med flere nettsteder kan autentisere brukere lokalt.
Med Windows 2000 ga Microsoft ut ActiveDirectory. Det var en sårt tiltrengt forbedring i forhold til de tradisjonelle domenene som hadde blitt brukt i årevis. Active Directory tilbyr flere forskjellige tjenester. Først og fremst er domenetjenestene. Dette er hjørnesteinen i Windows-nettverk. De lagrer informasjon om medlemmer av domenet, inkludert enheter og brukere, verifiserer legitimasjon, autentiserer dem og definerer deres tilgangsrettigheter.
Andre viktige tjenester fra Active Directoryinkluderer sertifikattjenester som gir en lokal infrastruktur for offentlig nøkkel. De kan opprette, validere og tilbakekalle offentlige nøkkelsertifikater for intern bruk i en organisasjon. Slike sertifikater kan brukes til å kryptere filer, e-postmeldinger og nettverkstrafikk. Andre tjenester levert av Active Directory inkluderer føderasjonstjenester, en type enkeltpåloggingsmekanisme og rettighetsadministrasjonstjenester.
De beste Active Directory-verktøyene
Hovedtrekket til Active Directory erat det er stort og sammensatt. Og med denne kompleksiteten kommer administrasjonshodepine. Heldigvis er det utviklet mange verktøy av tredjeparter for å håndtere noen av AD-administrasjonens byrder. Dette er verktøyene vi har undersøkt, og vi presenterer noe av det beste vi kan finne. Denne listen er langt fra omfattende, da det ganske enkelt er altfor mange verktøy der ute.
1. SolarWinds Server & Application Monitor (GRATIS PRØVEPERIODE)
SolarWinds er kjent for å gjøre noe av det aller bestenettverks- og systemadministrasjonsverktøy. Vi har omtalt SolarWinds produkt utallige ganger da vi for eksempel har vurdert de beste SNMP-overvåkingsverktøyene eller de beste NetFlow-samlerne og analysatorene. SolarWinds er også kjent for sine gratis verktøy, oppgavespesifikke verktøy rettet mot administratorer.
Det er ingen overraskelse at SolarWinds Server & Søknad Monitor er på listen vår. Og selv om det upretensiøse navnet kanskje ikke får en til å tro at dette er et Active Directory-verktøy, gjør det brede spekteret av funksjonaliteter det til et flott verktøy for å overvåke og administrere Active Directory.
La oss begynne med å se på hvordan SolarWinds Server & Application Monitor kan hjelpe med AD-behandling. For det første har verktøyet overvåkning av domenekontroller som overvåker flere driftsparametere. Det vil fortelle deg når CPU-bruken blir for høy, når en brukerkonto er låst ute eller når det er et innloggingsproblem.
Programvaren vil også overvåke NTDS-objekttellere, og bidra til å redusere overbelastning av serveren. Videre SolarWinds Server og applikasjonsmonitor gir deg innsikt i flere LDAP-statistikker inkludert LDAP-aktive tråder, bindetid, klientøkter og vellykkede bindinger og søk per sekund.
De Solarwinds Server & Application Monitor kan sende varsler når katalogservereunnlater å gjenskape, en hendelse som kan forhindre brukere i å få tilgang til mapper og filer. Det gir også detaljert ytelsesstatistikk relatert til katalogtjenester som distribuert filsystem, DFS-replikering, mellomliggende meldinger, DNS-klient, Windows-tid, RPC, server- og arbeidsstasjonstjenester og Active Directory-domenetjenester, bare for å nevne noen av de mest betydningsfulle seg.
Men som navnet tilsier, vil dette verktøyet ikke bareovervåke Active Directory-tjenester, men også serverne selv og applikasjonene som kjører på dem. Denne komplette pakken kan skalere fra de minste nettverkene til store nettsteder med flere nettsteder med hundrevis av fysiske og virtuelle servere. Og den kan overvåke servere i skymiljøer som de fra Amazon Web Services og Microsoft Azure like bra.
De SolarWinds Server & Application monitor vil opprinnelig automatisk oppdage verter og enheter pånettverket ditt. Deretter vil en andre funnskanning registrere applikasjoner som kjører på hver server. Når det er i gang, kan det vanskelig å bruke dette verktøyet takket være det intuitive brukergrensesnittet. Hvis du for eksempel klikker på Nodedetalj, vises nodens ytelse og helseinformasjon.
Priser for SolarWinds Server og applikasjonsmonitor starter på rett under $ 2 995 og en gratis 30-dagers prøveversjon er tilgjengelig for nedlasting.
2. ManageEngine Active Directory Free Tools
ManageEngine er et annet vanlig navn blant systemetog nettverksadministratorer. Det gjør OpManager, uten tvil til et av de beste overvåkingsverktøyene for IT-infrastruktur. Og som SolarWinds, lager ManageEngine også noen gode gratis verktøy. De har faktisk mer enn femten gratis Active Directory-verktøy som kan hjelpe med overvåking og administreringdin AD-infrastruktur. Noen er frittstående programmer mens andre er Powershell cmdlets. En flott ting med dette verktøysettet er at de fleste verktøyene er samlet i en enkelt nedlasting. La oss se hva de mest interessante av disse verktøyene er.
De AD Query Tool lar deg lese alle attributtdata som dukrever fra Active Directory som et brukerobjekts fornavn, etternavnstelefon, adresse og så videre. Verktøyet kan også hjelpe med å spørre Active Directory Group og Computer-objekter.
De CSV Generator Tool vil generere en CSV-fil (hvem hadde trodd?) som inneholder et tilpasset utvalg av brukerspesifiserte Active Directory-attributter og tilhørende verdier. Den resulterende filen kan brukes til Active Directory-styring.
De Siste påloggingsfinner brukes til å liste opp den siste påloggingstiden for alle eller valgte brukere i alle de valgte domenekontrollere i domenet. Det brukes vanligvis til revisjon og opprydding.
De Terminal Session Manager er en Powershell cmdlet du kan bruke til å identifisereog administrere flere terminalsesjoner i et domene fra et enkelt punkt. Med det kan terminalsesjoner for flere brukere på tvers av et domene administreres, kobles fra eller logges av.
De Active Directory Replication Manager gjør det mulig for administratorer å tvinge replikering avdata i et domene eller hele skogen. Det tillater også replikering av data mellom to domenekontrollere, og det vil liste omfattende rapporter om den siste replikasjonen.
De DMZ Port Analyzer lar administratorer sjekke statusen til porter som kreves av en tredjeparts applikasjon for å jobbe med Active Directory. Den kan brukes til å åpne passende porter på brannmurer.
De Reporter for domenekontroller lister opp alle domenekontrollere og deres respektive roller i domenet. Det kan hjelpe administratorer med å identifisere hvilken som helst tilknyttet rolle som en domenekontroller.
De Lokal brukerbehandling hjelper administratorer med å administrere brukerkontoer innenfor domenet. Den gir informasjon om lokale brukerkontoer og lar deg også administrere disse kontoene ved hjelp av et praktisk brukergrensesnitt.
De Domenekontrollerovervåkningsverktøy er et enkelt verktøy som automatisk oppdager domeneneog viser dem. Den vil vise forskjellige parametere for domenekontrollere som CPU-utnyttelse, diskverktøy og minneutnyttelse. Du kan også se andre parametere som sidelesninger per sekund, sideskriv per sekund, fillesing, filskriving osv.
De Password Policy Manager lar enhver bruker hente og se på domenets passordpolicy. Det lar også brukere med administratorrettigheter redigere passordreglene for domenet.
Som navnet tilsier, Tomt passord brukererapportverktøy brukes til å finne brukerkontoer med passordfelt satt til null, og hjelper administratorer med å unngå sikkerhetsrelaterte problemer.
De Active Directory Duplicate Finder er et Powershell-verktøy som lar administratoreridentifiser duplikatoppføringer for Active Directory-attributter i et domene. Dupliserte oppføringer er praktisk oppført, og hjelper administratorer med å sikre en duplikatfri Active Directory.
De DNS Reporter hjelper deg å skaffe informasjon relatert til dinnettverkets DNS-infrastruktur. Den kan vise detaljene for tilgjengelige DNS-poster, deres tilhørende posttyper, IP-adresser og serviceopplysningene bare ved å oppgi et domenenavn.
De Styring av tjenestekontoer er designet for å hjelpe deg enkelt å opprette, redigere og slette administrerte tjenestekontoer med bare noen få klikk. Dette verktøyet krever ingen kunnskap om PowerShell, det vanlige verktøyet som brukes til å utføre disse oppgavene.
De Rapport om svake passordbrukere hjelper deg med å finne svake passord i Active Directory avsammenligne brukernes passord med en liste over over 100 000 ofte brukte svake passord. Du kan da tvinge brukerne med svake passord til å endre passordene neste gang de logger seg på.
3. Tillat kompass
Kompass fra ENow Software hjelper deg med å identifisere skjulte problemer i miljøet ditt før det blir kompromittert. Det tillater sanntids nettverksovervåking av Active Directory og alle domenekontrollere. Kompass kan sikre at Active Directory er sunt avovervåking av DFS / FRS-replikering Den finner også problemer med DNS-oppløsningen og hjelper deg med å feilsøke problematiske applikasjoner for å hjelpe deg med å fortsette annonsen din.
Kompass har over 50 rapporter som inkluderer revisjon avDomain Admins Group, identifisering og fjerning av inaktive brukerkontoer og identifisering av FSMO-roller. Verktøyet er raskt å installere og enkelt å bruke. Det har et intuitivt og brukervennlig dashbord som hjelper deg med å identifisere problemer tidlig før de blir strømbrudd.
Detaljert prisinformasjon for Kompass kan fås ved å kontakte Enow-salg, og en gratis 14-dagers prøveversjon kan fås.
4. Anturis Active Directory Monitor
Halvparten av arbeidet med å administrere Active Directory er å sikre at alle tjenestene kjører problemfritt, og det er akkurat dette Active Directory Monitor fra Anturis handler om. Dette verktøyet kan varsle deg om unormale situasjoner via e-post, SMS eller taleanropvarsler. Du kan også bruke Active Directory Monitor å etablere ytelsesgrunnlag for dineActive Directory-servere og replikasjonsstruktur som lar deg gjenkjenne resultattrender og bidra til å redusere risikoen for flaskehalser før de har en negativ innvirkning på AD-ytelsen din.
De Active Directory Monitor vil vise deg server- og LDAP-økter og angivarslingsterskler. Den vil også vise Kerberos- og NTLM-godkjenninger per sekund, og gi deg en ide om den generelle serverbelastningen. Og med at replikering er en av de viktigste aspektene ved Active Directory, overvåkes også replikasjonsytelsesmålinger som replikasjonsstatus, DRA i påvente av replikasjonssynkroniseringer og DRA i påvente av replikeringsoperasjoner.
Active Directory Monitor er en skybasert tjeneste og flere abonnementplaner er tilgjengelige til priser fra $ 10 / måned for 10 skjermer til $ 650 / måned for 1000 skjermer. En gratis versjon er også tilgjengelig, men den er begrenset til 5 skjermer. Imidlertid har alle betalte planer en gratis 30-dagers prøveperiode.
5. Quest Active Administrator
Las på vår liste er Oppdrag Aktiv administrator. Dette er en komplett og integrert ActiveProgramvareløsning for katalogstyring. Det bygger bro mellom Microsofts verktøy som etterlater seg. Verktøyene vil gjøre det enklere og raskere å oppfylle revisjonskrav og sikkerhetsbehov. Den har funksjoner som tar for seg mange av de viktigste områdene innen AD-behandling.
Blant verktøyets viktigste funksjoner, AktivAdministrator tilbyr integrert, proaktiv administrasjon. Det har også intuitiv rapportering og varsling, slik at du raskt kan overvåke og rapportere om endringer ved å filtrere hendelsestype, bruker og dato, samt brukerpålogging og sperreaktivitet. Du kan også angi hendelsesvarsler og automatisere varselbaserte handlinger.
Priser for aktiv administrator er per aktivertbrukerkonto i annonsen din og starter på $ 16,37 for en evigvarende lisens med ett års støtte. Det må kjøpes en minstelisens for 20 brukerkontoer. En gratis 30-dagers prøveversjon kan lastes ned.
kommentarer