Active Directory lub AD, jak się często nazywato własna wersja usługi katalogowej LDAP firmy Microsoft. Istnieje już od Windows Server 2000 i zastąpił starzejące się funkcje zarządzania domeną serwerów Windows. Jest to niezwykle złożona usługa, która zajmuje się uwierzytelnianiem użytkowników i sprzętu, określaniem ich lokalizacji i zarządzaniem prawami dostępu. Ponieważ jest tak skomplikowany, nic dziwnego, że kilku programistów próbowało stworzyć narzędzia, które złagodzą ból związany z zarządzaniem usługą Active Directory. Dzisiaj przedstawiamy jedne z najlepszych narzędzi Active Directory, które można znaleźć w Internecie.
Najpierw omówimy ogólną tematusługi katalogowe, jakie są, jakie są ich przeznaczenie i użyteczność oraz podają ich przykład. Następnie porozmawiamy o LDAP i X.500, dwóch standardowych protokołach związanych z usługami katalogowymi. Następnie krótko omówimy ewolucję usług katalogowych Microsoft. Sprowadzi nas to do sedna naszej sprawy, najlepszych dostępnych narzędzi Active Directory. Przedstawimy krótką recenzję każdego z nich.
Usługi katalogowe, jakie są
Wikipedia określa usługę katalogową jako „odwzorowanie między nazwami zasobów w sieci a ich odpowiednimi adresami sieciowymi.”I w najprostszej formie to naprawdę wszystkojest. Zatem możesz zapytać, czy system nazw domen (DNS) jest usługą katalogową? Odpowiedź brzmi: TAK! Ale jeśli to takie proste, dlaczego usługa Active Directory jest tak złożona?
Active Directory, podobnie jak większość współczesnych katalogówusługi, wdraża znacznie więcej funkcji niż tylko mapowanie nazw na adresy. Stanowią one rdzeń bezpieczeństwa sieci i będą zawierać szczegółowe informacje o użytkownikach (kontach użytkowników) i zasobach, a także są w centrum mechanizmów kontroli dostępu większości sieci. Nowoczesna usługa katalogowa to baza danych, w której przechowywana jest większość informacji o sieci, jej zasobach i użytkownikach.
Usługa katalogowa to hierarchiczna baza danychobiekty, z których każdy reprezentuje inny byt. Niektóre obiekty reprezentują użytkowników, niektóre reprezentują komputery lub inne dostępne zasoby, takie jak udziały sieciowe. Inne obiekty są pojemnikami na przedmioty. Hierarchiczna struktura ułatwia znalezienie dowolnego pojedynczego obiektu i pozwala na łatwe zarządzanie uprawnieniami, w których obiekty mogą dziedziczyć uprawnienia po rodzicach.
Naszym celem nie jest uczynienie Cię usługą katalogowąeksperta, ale raczej w celu dostarczenia wystarczających informacji ogólnych, aby lepiej zrozumieć, czym jest Active Directory i skąd pochodzi. Rzućmy okiem na niektóre z rzeczywistych przykładów usług katalogowych z przeszłości i teraźniejszości, które mogłeś napotkać.
Kilka przykładów
DNS jest jedną z pierwszych usług katalogowych. Pochodzi z początku lat osiemdziesiątych. Miał - i nadal ma - jeden główny cel: tłumaczenie nazw hostów na adresy IP. Jest nadal w powszechnym użyciu i jest jedną z podstaw Internetu.
The Usługa informacji o siecilub NIS, była własną implementacją usługi nazw podobnej do DNS przez Sun Microsystems dla ekosystemu Unix.
N.ovell reirectory S.usługi—Później nazywany eDirectory—Jest usługą katalogową Novell Netwaresieci. Nieco podobny do dzisiejszego Active Directory, był to wszechstronny system wykorzystywany nie tylko do rozpoznawania nazw, ale także do uwierzytelniania i kontroli dostępu.
NetInfo został opracowany przez NEXT i po przejęciu firmy Apple stał się usługą katalogową systemu Mac OS, zanim został zastąpiony przez Otwarty katalog.
Wreszcie, Domeny NT są kolejnym przykładem usługi katalogowej. Są przodkami Active Directory. Domeny NT były używane przede wszystkim do kontroli dostępu i celów uwierzytelniania.
X.500 i LDAP, dwa standardy usług katalogowych
W erze informacji interoperacyjność jest ważniejsza niż kiedykolwiek, co powoduje pojawienie się standardów w każdej dziedzinie. Usługi katalogowe nie różnią się od siebie, istnieją dwa podstawowe standardy, LDAP i X.500
Standard X.500, a dokładniej X.Seria 500 standardów to grupa specyfikacji ITU-T obejmująca kilka aspektów elektronicznych usług katalogowych. Pierwsze iteracje pochodzą z 1988 roku, ale X.500 jest nadal w powszechnym użyciu.
Jeden z celów zestawu standardowych protokołówzgodnie z propozycją X.500 ma zapewnić interoperacyjność i umożliwić interakcję systemów różnych dostawców. X.500 to właściwie zestaw dziewięciu pojedynczych protokołów
Lightweight Directory Access Protocol lubLDAP, to otwarty, niezależny od dostawcy, standardowy protokół aplikacyjny do uzyskiwania dostępu i utrzymywania rozproszonych usług katalogowych w sieci IP. Obecnie większość implementacji usług katalogowych, w tym Microsoft Active Directory, jest zgodna z LDAP.
LDAP pierwotnie miał być lekkialternatywny protokół dostępu do usług katalogowych X.500 poprzez prostszy stos protokołów TCP / IP. Jako takie, X.500 i LDAP nie wykluczają się wzajemnie i są komplementarne. Na przykład specyfikacja LDAP stwierdza, że struktura bazy danych usług katalogowych musi być zgodna z X.500.
Klienci LDAP mogą nie tylko odczytać atrybutyobiekty w bazie danych usług katalogowych, mogą je również modyfikować. To oczywiście oznacza, że LDAP jest bezpieczny i oferuje mechanizm uwierzytelniania w celu ochrony przed nieautoryzowanymi modyfikacjami.
Z domeny NT do usługi Active Directory
Jak wspomniano wcześniej, domenami systemu Windows NT byłypierwsza forma usługi katalogowej w ekosystemie Microsoft. Jak można się domyślić, po raz pierwszy pojawili się w systemie Windows NT w 1993 roku. Mieli scentralizowaną bazę danych, która znajdowała się na kontrolerze domeny, który był przede wszystkim odpowiedzialny za uwierzytelnianie użytkowników. Baza danych może być replikowana na kilku kontrolerach domeny w celu zapewnienia nadmiarowości i zapewnienia, że duże sieci z wieloma lokacjami mogą uwierzytelniać użytkowników lokalnie.
W systemie Windows 2000 Microsoft wydał ActiveInformator. Była to bardzo potrzebna poprawa w stosunku do tradycyjnych domen używanych od lat. Active Directory zapewnia kilka różnych usług. Przede wszystkim są to usługi domenowe. Są kamieniem węgielnym sieci Windows. Przechowują informacje o członkach domeny, w tym urządzeniach i użytkownikach, weryfikują ich poświadczenia, uwierzytelniają ich i określają ich prawa dostępu.
Inne ważne usługi Active Directoryobejmują usługi certyfikatów, które zapewniają lokalną infrastrukturę klucza publicznego. Mogą tworzyć, sprawdzać i odwoływać certyfikaty kluczy publicznych do użytku wewnętrznego w organizacji. Takie certyfikaty mogą być używane do szyfrowania plików, wiadomości e-mail i ruchu sieciowego. Inne usługi świadczone przez Active Directory obejmują usługi federacyjne, rodzaj mechanizmu pojedynczego logowania oraz usługi zarządzania prawami.
Najlepsze narzędzia Active Directory
Główną cechą usługi Active Directory jestże jest duży i złożony. I z tą złożonością wiążą się bóle głowy administracji. Na szczęście strony trzecie opracowały wiele narzędzi w celu rozwiązania niektórych obciążeń administracyjnych związanych z AD. To są narzędzia, które zbadaliśmy i przedstawiamy jedne z najlepszych, jakie mogliśmy znaleźć. Ta lista nie jest zbyt obszerna, ponieważ dostępnych jest po prostu zbyt wiele narzędzi.
1. SolarWinds Monitor serwera i aplikacji (BEZPŁATNA WERSJA PRÓBNA)
SolarWinds jest znany z najlepszychnarzędzia do administrowania siecią i systemem. Prezentowaliśmy produkt SolarWinds niezliczoną ilość razy, gdy na przykład sprawdziliśmy najlepsze narzędzia do monitorowania SNMP lub najlepsze kolektory i analizatory NetFlow. SolarWinds słynie również z bezpłatnych narzędzi, narzędzi specyficznych dla zadań przeznaczonych dla administratorów.
Nic więc dziwnego, że Serwer SolarWinds I Monitor aplikacji jest na naszej liście. I choć jego skromna nazwa może nie sugerować, że jest to narzędzie Active Directory, jego szeroki zakres funkcji sprawia, że jest to doskonałe narzędzie do monitorowania i zarządzania Active Directory.
Zacznijmy od przyjrzenia się, w jaki sposób SolarWinds Monitor serwera i aplikacji może pomóc w zarządzaniu AD. Po pierwsze, narzędzie oferuje monitorowanie kontrolera domeny, które monitoruje kilka parametrów operacyjnych. Informuje, kiedy użycie procesora staje się zbyt wysokie, kiedy konto użytkownika jest zablokowane lub gdy występuje problem z logowaniem.
Oprogramowanie będzie również monitorować liczniki obiektów NTDS, pomagając zmniejszyć obciążenie serwera. Ponadto, SolarWinds Serwer i monitor aplikacji daje wgląd w kilka statystyk LDAP, w tym aktywne wątki LDAP, czas wiązania, sesje klienta oraz udane wiązania i wyszukiwania na sekundę.
The SolarWinds Monitor serwera i aplikacji może wysyłać powiadomienia, gdy serwery katalogównie powiela się, zdarzenie, które może uniemożliwić użytkownikom dostęp do folderów i plików. Zapewnia także szczegółowe statystyki wydajności związane z usługami katalogowymi, takimi jak rozproszony system plików, replikacja systemu plików DFS, przesyłanie wiadomości między witrynami, klient DNS, czas systemu Windows, usługi RPC, usługi serwerów i stacji roboczych oraz usługi domenowe Active Directory, aby wymienić tylko niektóre z najważniejszych te.
Ale jak sama nazwa wskazuje, to narzędzie nie tylkomonitorować usługi Active Directory, ale także same serwery i działające na nich aplikacje. Ten kompletny pakiet można skalować od najmniejszych sieci do dużych sieci obejmujących wiele witryn z setkami serwerów fizycznych i wirtualnych. Może także monitorować serwery w środowiskach chmurowych, takich jak Amazon Web Services i Microsoft Azure.
The SolarWinds Serwer i monitor aplikacji początkowo automatycznie wykryje hosty i urządzeniatwoja sieć. Następnie drugie skanowanie w celu wykrycia wykryje aplikacje działające na każdym serwerze. Po uruchomieniu, korzystanie z tego narzędzia może być trudniejsze dzięki intuicyjnemu interfejsowi użytkownika. Na przykład kliknięcie Szczegóły węzła wyświetla informacje o wydajności i kondycji węzła.
Ceny za SolarWinds Serwer i monitor aplikacji zaczyna się od nieco poniżej 2 995 USD i można pobrać bezpłatną 30-dniową wersję próbną.
2. ManageEngine Active Directory Darmowe narzędzia
ManageEngine to kolejna popularna nazwa systemui administratorzy sieci. To sprawia, że OpManager jest prawdopodobnie jednym z najlepszych narzędzi do monitorowania infrastruktury IT. I podobnie jak SolarWinds, ManageEngine tworzy także świetne bezpłatne narzędzia. W rzeczywistości mają ponad piętnaście bezpłatne narzędzia Active Directory które mogą pomóc w monitorowaniu i administrowaniutwoja infrastruktura AD. Niektóre są samodzielnymi programami, a inne są poleceniami cmdlet Powershell. Jedną wielką zaletą tego zestawu narzędzi jest to, że większość narzędzi znajduje się w pakiecie pojedyncze pobranie. Zobaczmy, jakie są najbardziej interesujące z tych narzędzi.
The Narzędzie do wysyłania zapytań AD pozwala odczytać dowolne dane atrybutówwymagają od Active Directory jak imię obiektu użytkownika, nazwisko telefon, adres itd. Narzędzie może także pomóc w wyszukiwaniu obiektów grupy i komputerów usługi Active Directory.
The Narzędzie generatora CSV wygeneruje plik CSV (kto by pomyślał?), który zawiera niestandardową tablicę atrybutów Active Directory określonych przez użytkownika i odpowiadających im wartości. Plik wynikowy można wykorzystać do masowego zarządzania usługą Active Directory.
The Wyszukiwarka ostatniego logowania służy do wyświetlania czasu ostatniego logowania wszystkich lub wybranych użytkowników we wszystkich wybranych kontrolerach domeny w domenie. Zwykle jest używany do działań kontrolnych i porządkowych.
The Menedżer sesji terminalowej to polecenie cmdlet programu PowerShell, którego można użyć do identyfikacjii zarządzaj wieloma sesjami terminali w domenie z jednego punktu. Za jego pomocą można zarządzać, odłączać lub wylogowywać sesje terminalowe dla wielu użytkowników w domenie.
The Menedżer replikacji usługi Active Directory umożliwia administratorom wymuszenie replikacjidane w domenie lub całym lesie. Umożliwia także replikację danych między dwoma kontrolerami domeny i zawiera listę kompleksowych raportów z ostatniej replikacji.
The Analizator portów DMZ pozwala administratorom sprawdzić status portów wymaganych przez dowolną aplikację zewnętrzną do pracy z Active Directory. Można go użyć do otwarcia odpowiednich portów zapór ogniowych.
The Reporter ról kontrolera domeny wyświetla listę wszystkich kontrolerów domeny i ich odpowiednich ról w domenie. Może pomóc administratorom zidentyfikować dowolną powiązaną rolę kontrolera domeny.
The Lokalny menedżer użytkowników pomaga administratorom zarządzać kontami użytkowników w domenie. Dostarcza informacji o lokalnych kontach użytkowników, a także umożliwia zarządzanie tymi kontami za pomocą wygodnego interfejsu użytkownika.
The Narzędzie do monitorowania kontrolera domeny to proste narzędzie, które automatycznie odkrywa domenyi wyświetla je. Wyświetli różne parametry kontrolerów domeny, takie jak wykorzystanie procesora, wykorzystanie dysku i wykorzystanie pamięci. Możesz także wyświetlić inne parametry, takie jak Odczyty strony na sekundę, Odczyty strony na sekundę, Odczyty pliku, Zapis pliku itp.
The Menedżer zasad haseł pozwala każdemu użytkownikowi pobrać i wyświetlić zasady dotyczące haseł domeny. Pozwala również użytkownikom z uprawnieniami administracyjnymi edytować zasady haseł domeny.
Jak sama nazwa wskazuje, Puste hasło Użytkownicy zgłaszają narzędzie służy do znajdowania kont użytkowników z polami hasła ustawionymi na null, co pomaga administratorom uniknąć problemów związanych z bezpieczeństwem.
The Wyszukiwarka duplikatów usługi Active Directory to narzędzie Powershell, które pozwala administratoromidentyfikować zduplikowane wpisy dla atrybutów Active Directory w domenie. Zduplikowane wpisy są wygodnie wyświetlane na liście, pomagając administratorom zapewnić usługę Active Directory bez duplikatów.
The Reporter DNS pomaga uzyskać informacje związane z Twoiminfrastruktura DNS sieci. Może wyświetlić szczegółowe informacje o dostępnych rekordach DNS, odpowiadających im typach rekordów, adresach IP i szczegółach usługi, po prostu wpisując nazwę domeny.
The Zarządzanie kontami usługowymi został zaprojektowany, aby pomóc Ci łatwo tworzyć, edytować i usuwać konta usług zarządzanych za pomocą kilku kliknięć. To narzędzie nie wymaga znajomości programu PowerShell, zwykłego narzędzia używanego do wykonywania tych zadań.
The Raport o słabym haśle użytkowników pomaga znaleźć słabe hasła w Active Directory przezporównanie haseł użytkowników z listą ponad 100 000 powszechnie używanych słabych haseł. Następnie możesz zmusić użytkowników o słabych hasłach do zmiany haseł przy następnym logowaniu.
3. Enow Compass
Kompas od ENow Software pomaga zidentyfikować ukryte problemy w twoim środowisku, zanim zostanie ono skompromitowane. Umożliwia monitorowanie sieci w czasie rzeczywistym Twojej Active Directory i wszystkich kontrolerów domeny. Kompas może zapewnić, że twoja usługa Active Directory jest zdrowamonitorowanie replikacji DFS / FRS Wykryje również problemy z rozpoznawaniem nazw DNS i pomoże w rozwiązywaniu problematycznych aplikacji, pomagając w utrzymaniu bezproblemowego działania AD.
Kompas ma ponad 50 raportów, które obejmują audytDomain Admins Group, identyfikacja i usuwanie nieaktywnych kont użytkowników oraz identyfikacja ról FSMO. Narzędzie jest szybkie w instalacji i łatwe w użyciu. Posiada intuicyjny i łatwy w obsłudze pulpit nawigacyjny, który pomaga identyfikować problemy wcześniej, zanim przestaną działać.
Szczegółowe informacje o cenach dla Kompas można uzyskać kontaktując się z działem sprzedaży Enow i uzyskać bezpłatną 14-dniową wersję próbną.
4. Anturis Active Directory Monitor
Połowa pracy z zarządzaniem Active Directory polega na tym, aby wszystkie usługi działały sprawnie i to jest dokładnie to Monitor Active Directory z Anturis. To narzędzie może powiadamiać Cię o nietypowych sytuacjach za pośrednictwem wiadomości e-mail, SMS lub powiadomień głosowych. Możesz także użyć Monitor Active Directory aby ustalić poziomy bazowe wydajności dla twojegoSerwery Active Directory i struktura replikacji pozwalają rozpoznać trendy wydajności i pomóc zmniejszyć ryzyko wąskich gardeł, zanim wpłyną one negatywnie na wydajność AD.
The Monitor Active Directory pokaże sesje serwera i LDAP i ustawi jeprogi alarmowe. Wyświetla także uwierzytelnienia Kerberos i NTLM na sekundę, dając wyobrażenie o ogólnym obciążeniu serwera. A ponieważ replikacja jest jednym z najważniejszych aspektów usługi Active Directory, wskaźniki wydajności replikacji, takie jak stan replikacji, oczekujące synchronizacje replikacji DRA i oczekujące operacje replikacji DRA są również monitorowane.
Monitor Active Directory to usługa w chmurze i kilka subskrypcjiplany są dostępne w cenach od 10 USD / miesiąc za 10 monitorów do 650 USD / miesiąc za 1000 monitorów. Dostępna jest również darmowa wersja, ale jest ograniczona do 5 monitorów. Jednak wszystkie płatne plany mają bezpłatny 30-dniowy okres próbny.
5. Quest Active Administrator
Las na naszej liście to Zadanie Aktywny administrator. Jest to kompletny i zintegrowany ActiveOprogramowanie do zarządzania katalogami. Wypełnia luki pozostawione przez narzędzia Microsoft. Narzędzia ułatwią i przyspieszą spełnienie wymagań dotyczących audytu i potrzeb bezpieczeństwa. Posiada funkcje odnoszące się do wielu najważniejszych obszarów zarządzania AD.
Wśród głównych funkcji tego narzędzia, ActiveAdministrator oferuje zintegrowaną, proaktywną administrację. Posiada również intuicyjne raportowanie i alarmowanie, pozwalając na szybkie monitorowanie i raportowanie zmian poprzez filtrowanie typu zdarzenia, użytkownika i daty, a także logowania i blokowania aktywności użytkownika. Możesz także ustawić alerty zdarzeń i zautomatyzować działania oparte na alertach.
Ceny dla aktywnego administratora są włączonekonto użytkownika w reklamie i zaczyna się od 16,37 USD za wieczystą licencję z rocznym wsparciem. Należy zakupić minimalną licencję na 20 kont użytkowników. Bezpłatną 30-dniową wersję próbną można pobrać.
Komentarze