- - Wprowadzenie do domen i lasów Active Directory - Najlepsze narzędzia Active Directory

Domeny i lasy usługi Active Directory Wprowadzenie - najlepsze narzędzia usługi Active Directory

Od samego początku, prawie dokładnie 20 lat temu wraz z wprowadzeniem Windows 2000 Server Edition w lutym 1999 r., Active Directory był kluczowym składnikiem ekosystemu serwerów Microsoft. Jego głównym celem jest przechowywanie informacjio zasobach sieciowych. Sieci komputerowe mogą być dość skomplikowane. W związku z tym usługa Active Directory jest również skomplikowana i dlatego naszym głównym celem jest dziś wprowadzenie do domen i lasów usługi Active Directory.

Nie zamierzamy uczynić Cię Active Directoryeksperci, ale mamy nadzieję rzucić nieco światła na ten skomplikowany temat. Ponadto, biorąc pod uwagę stosunkowo wysoki poziom złożoności technologii, nie jest zaskoczeniem, że stworzono kilka narzędzi innych firm do monitorowania i / lub zarządzania różnymi aspektami Active Directory. Zobaczymy, co niektóre z nich mogą dla Ciebie zrobić.

Oto jak planujemy naszą podróż dordzeń Active Directory: zaczniemy od wszelkich nieporozumień związanych z pojęciem domeny. Jest to kluczowy element AD, ale także kluczowy element Internetu, a jednak są to dwa zupełnie różne typy domen, których nie należy mylić. Następnie przedstawimy usługę Active Directory, co to jest i skąd pochodzi. Następnie omówimy domeny AD i drzewa, których używamy do reprezentowania ich struktury. W naturze grupa drzew nazywana jest lasem. To samo dotyczy Active Directory, co zobaczymy w dalszej części. Zarządzanie i monitorowanie Active Directory będzie naszym kolejnym zamówieniem, a na koniec omówimy niektóre z najlepszych narzędzi do monitorowania i zarządzania Active Directory.

Unikanie zamieszania - co to jest domena?

Domena może zawierać wiele rzeczy w zależności od tego, cow polu, w którym się znajdujesz. Nawet w technologii informatycznej termin domena jest używany do dwóch bardzo różnych rzeczy. Pierwszym rodzajem domeny, z którego większość użytkowników komputerów - nawet tych, którzy nie są informatykami - jest zaznajomiona jest domena internetowa. Jest to grupa zasobów internetowych należących do konkretnej organizacji. Nazwy domen są używane do uzyskiwania dostępu do różnych zasobów przy użyciu przyjaznych (er) nazw zamiast szyfrowanych adresów IP. Na przykład addictivetips.com to nazwa domeny tej witryny. Microsoft.com to kolejna znana nazwa domeny i jestem pewien, że możesz łatwo wymyślić dziesiątki innych.

Drugie miejsce, w którym termin domena jest szeroko stosowanyużywany jest związany z Active Directory. Domena Active Directory to grupa zasobów (zauważ podobieństwo do poprzednich domen?) Objętych jedną bazą danych uwierzytelniania. Niedługo opiszemy domeny AD bardziej szczegółowo. Na razie kluczem jest zrozumienie, że ten sam termin jest używany do zdefiniowania dwóch całkowicie niepowiązanych pojęć i że ważne jest, aby ich nie mieszać, ponieważ zdecydowanie nie są one tym samym.

Active Directory w pigułce

Pierwsze pytanie, o które ludzie zazwyczaj pytająActive Directory to: co to dokładnie jest? Odpowiedź jest prosta, to implementacja usługi katalogowej LDAP przez Microsoft. Chociaż ta odpowiedź jest absolutnie dokładna, prawdopodobnie jest bezużyteczna i rodzi więcej pytań niż odpowiedzi.

Wykopmy się. Po pierwsze, usługa katalogowa w kontekście sieci komputerowych jest bazą danych zawierającą informacje o każdym elemencie sieci. Pod pojęciem komponentów rozumiemy każdy komputer i serwer, ale także każdego użytkownika, grupę użytkowników lub każdy katalog. Możesz myśleć o tym jak o książce telefonicznej. Każdy zasób, który musi znaleźć inny zasób, wyszukuje go w katalogu.

Jeśli chodzi o część LDAP naszej pierwotnej odpowiedzi, to właśnie onaakronim od Lightweight Directory Access Protocol. Mówiąc najprościej, LDAP określa, w jaki sposób informacje o zasobach są przechowywane w bazie danych i jak można uzyskać do nich dostęp. Jest to standardowy w branży protokół współdzielony przez kilku dostawców, co niestety nie oznacza, że ​​różne implementacje są interoperacyjne.

Struktura usługi Active Directory jest hierarchicznaorganizacja obiektów. Istnieją trzy podstawowe kategorie obiektów: zasoby (na przykład komputery lub drukarki), usługi (takie jak poczta e-mail) i użytkownicy (konta użytkowników i grupy użytkowników). Usługa Active Directory zapewnia informacje o obiektach, organizuje je oraz kontroluje ich dostęp i bezpieczeństwo. Jest to, dla wszystkich celów, baza danych wpisów, przy czym każdy wpis ma nazwę i zestaw atrybutów. Każdy atrybut ma nazwę, typ i jedną lub wiele wartości. Atrybuty są zdefiniowane w schemacie bazy danych.

Możesz pomyśleć o hierarchicznej strukturze plikuBaza danych Active Directory jak system plików. I podobnie jak system plików ma kontenery (zwane katalogami lub folderami), podobnie AD ma je. Nazywa się je Jednostkami Organizacyjnymi (OU) i pomagają grupować powiązane rzeczy. Administratorzy systemu mogą tworzyć jednostki organizacyjne według własnego uznania i na przykład nierzadko można zobaczyć poszczególne jednostki organizacyjne dla każdego działu organizacji.

Domeny Active Directory

Teraz, gdy wszyscy jesteśmy na tej samej stronie co do tegoActive Directory to, rzućmy okiem na domeny. Co ciekawe, domeny wyprzedzają Active Directory o kilka lat. Jeszcze przed wydaniem przez Microsoft własnej usługi katalogowej LDAP w 1999 r. Domeny istniały od pierwszych dni istnienia systemu Windows NT. W typowej sieci serwerów Windows co najmniej jeden z nich - a często dwa lub więcej - jest skonfigurowany jako kontroler domeny. Są to serwery hostujące bazę danych domeny, tym samym uwierzytelniające użytkowników i kontrolujące dostęp do zasobów. Informacje, które przechowują, są replikowane między nimi. I wreszcie obiekty w domenie zorganizowane w sposób hierarchiczny.

Drzewa I Las

Analogia drzewa jest często używana do opisustruktury hierarchiczne, takie jak domena. Ale dzięki Active Directory Microsoft zdecydował się posunąć tę analogię o krok dalej i nazywa hierarchiczną strukturę domen drzewem. Pamiętaj, że domena to grupa zasobów kontrolowanych przez jedną bazę danych, ale drzewo, z różnych powodów może składać się z kilku domen. Jest to coś, co w rzeczywistości jest dość powszechne w większych organizacjach i wcale nie jest rzadkością widzieć jedną domenę dla każdego oddziału dużej firmy. A w jeszcze większych organizacjach drzewa można pogrupować w lasy. Jest to najwyższy element w Active Directory i wszystko inne z niego pochodzi.

Drzewa i lasy w usłudze Active Directory

Zarządzanie i monitorowanie usługi Active Directory

Monitorowanie jest wszystkim! Jeśli jesteś administratorem sieci lub systemu, prawdopodobnie słyszałeś tę frazę niezliczoną ilość razy. I wiesz co? To wszystko! Monitorowanie jest jednym z najlepszych sposobów, aby być na bieżąco. Istnieją różne rodzaje narzędzi monitorowania, które pozwolą ci uzyskać dokładnie taki rodzaj metryk, których szukasz. Na przykład monitorowanie przepustowości będzie raportować wykorzystanie różnych segmentów sieci, monitorowanie procesora wyświetli wskaźniki procesora na serwerach. Większość wskaźników operacyjnych systemów i sieci można monitorować. Główną zaletą korzystania z narzędzi monitorowania jest to, że są one w większości automatyczne. Nie musisz ich stale obserwować. Za każdym razem, gdy coś jest nietypowego, Twoje narzędzia monitorowania będą Cię ostrzegać.

W przypadku Active Directory kilkaparametry mogą być monitorowane. Na przykład kontrolery domeny - serwery, na których przechowywana jest baza danych domeny - mogą być monitorowane pod kątem odpowiedzi i wydajności. Zmiany w prawach dostępu można również monitorować z pewną korzyścią. Logowania - zwłaszcza te, które się nie powiodły - to kolejny parametr warty monitorowania, ponieważ może wskazywać na złośliwą aktywność.

Zarządzanie usługą Active Directory to coś innego. Firma Microsoft udostępnia kilka narzędzi ułatwiających zarządzanie usługą Active Directory. Pozwalają tworzyć obiekty, przypisywać prawa i generalnie wykonywać większość codziennych czynności związanych z zarządzaniem AD. Jednak niektóre z tych narzędzi mogą okazać się dość kłopotliwe lub niepraktyczne w użyciu, a kilku dostawców zaproponowało różne narzędzia do zarządzania usługą Active Directory, które znacznie ułatwiają administrowanie usługą Active Directory.

Najlepsze narzędzia AD

Przeszukaliśmy rynek w poszukiwaniu najlepszychNarzędzia Active Directory. To, co mamy dla Ciebie dzisiaj, to połączenie narzędzi do monitorowania - niektóre specyficzne dla AD i niektóre ogólne - oraz narzędzi do zarządzania. Wszystkie z nich mogą ci pomóc - i to było jedno z naszych głównych kryteriów włączenia - w codziennych zadaniach związanych z usługą Active Directory. Niektóre są zorientowane na bezpieczeństwo, podczas gdy inne są zorientowane na wydajność.

1- Menedżer praw dostępu SolarWinds (DARMOWA WERSJA PRÓBNA)

SolarWinds jest jednym z najlepszych wydawców oprogramowania do zarządzania siecią i systemem. Jego sztandarowy produkt o nazwie Monitor wydajności sieci konsekwentnie zdobywa punkty w najwyższej siecisystemy monitorowania przepustowości. Ponadto firma słynie również z bezpłatnego oprogramowania. Mówimy o mniejszych narzędziach, z których każde zaspokaja konkretne potrzeby administratorów sieci. Dwa świetne przykłady tych bezpłatnych narzędzi to Zaawansowany kalkulator podsieci i Serwer Kiwi Syslog.

Pomimo nieco wprowadzającej w błąd nazwy, która może prowadzić do przekonania, że ​​dotyczy ona tylko uprawnień do obiektów, Menedżer praw dostępu SolarWinds ma przede wszystkim na celu zapewnienie obsługi użytkownikóworaz łatwe odblokowywanie, śledzenie i monitorowanie. Oferuje również skuteczny i łatwy sposób zarządzania i monitorowania uprawnień użytkowników, aby zapewnić, że nie zostaną przyznane niepotrzebne uprawnienia.

Zrzut ekranu Menedżera praw dostępu SolarWinds

  • BEZPŁATNA WERSJA PRÓBNA: Menedżer praw dostępu SolarWinds
  • Link do pobrania: https://www.solarwinds.com/access-rights-manager/registration

Jedną z największych zalet tego produktu jestintuicyjny pulpit nawigacyjny zarządzania użytkownikami, za pomocą którego można tworzyć, modyfikować, usuwać, aktywować i dezaktywować dostęp użytkowników do różnych plików i folderów. Zawiera szablony specyficzne dla roli, które mogą łatwo zapewnić użytkownikom dostęp do określonych zasobów w sieci.

Również bardzo interesujące i dość wyjątkowe są Menedżer praw dostępu SolarWindsFunkcje raportowania. Oprogramowanie może tworzyć raporty, które mogą być wykorzystane jako dowód w przypadku sporów lub ewentualnych sporów. Dostępne są również szczegółowe raporty do celów audytu i zgodności ze specyfikacjami określonymi przez standardy regulacyjne mające zastosowanie do Twojej firmy. Raporty można szybko i łatwo tworzyć za pomocą zaledwie kilku kliknięć. Mogą zawierać wszelkie informacje, które mogą okazać się przydatne. Na przykład działania dziennika w usłudze Active Directory i dostępach do serwera plików mogą być uwzględnione w raporcie. Od użytkownika zależy, czy będą tak streszczone lub tak szczegółowe, jak tego potrzebują.

Często dochodzi do ataków i / lub wycieków danychdo folderów i / lub ich zawartości mają dostęp użytkownicy, którzy nie są - lub nie powinni być - upoważnieni do dostępu do nich, co jest częstą sytuacją, gdy użytkownikom zapewnia się szeroki dostęp do folderów lub plików. The Menedżer praw dostępu SolarWinds może pomóc w zapobieganiu tego typu wyciekom inieautoryzowane zmiany w poufnych danych i plikach. Oferuje administratorom wizualną reprezentację uprawnień dla wielu serwerów plików, a także łatwo i wizualnie pozwala zobaczyć, kto ma uprawnienia do jakiego pliku.

Ceny za Menedżer praw dostępu SolarWinds zależy od liczby aktywowanych użytkowników w Active Directory. W SolarWinds Mówiąc prościej, aktywowany użytkownik jest albo aktywnykonto użytkownika lub konto usługi. Ceny produktu zaczynają się od 2 995 USD dla maksymalnie 100 aktywnych użytkowników. Dla większej liczby użytkowników (do 10 000) szczegółowe ceny można uzyskać kontaktując się ze sprzedażą SolarWinds. Jeśli chcesz przetestować narzędzie przed zakupem, możesz uzyskać bezpłatną, 30-dniową wersję próbną.

2- SolarWinds Serwer i monitor aplikacji (DARMOWA WERSJA PRÓBNA)

The SolarWinds Serwer i monitor aplikacji został zaprojektowany, aby pomóc administratorom w monitorowaniuserwery, ich parametry operacyjne, ich procesy i działające na nich aplikacje. Jest to jedno z najlepszych narzędzi, których można użyć do monitorowania kontrolerów domeny Active Directory i najważniejszych usług, które muszą być uruchomione. Ale narzędzie będzie również monitorować dowolny lub wszystkie twoje serwery. Można go łatwo skalować od najmniejszych sieci do dużych z setkami serwerów - fizycznych i wirtualnych - rozmieszczonych w wielu lokalizacjach.

Panel kontrolny serwera i aplikacji SolarWinds

  • BEZPŁATNA WERSJA PRÓBNA: SolarWinds Serwer i monitor aplikacji
  • Link do pobrania: https://www.solarwinds.com/server-application-monitor/registration

Monitorowanie wydajności Active Directory oferowane przez SolarWinds Serwer i monitor aplikacji daje wgląd w problemy z Active Directoryzwiązane z kontem użytkownika, takim jak tworzenie konta, próba zmiany hasła i resetowania, wyłączone i usunięte konta użytkownika. Dostarczy również informacji na temat zmian zasad domeny i systemu oraz odzyskiwania danych, podobnie jak zapewnia wgląd w ustawienia zapory i inne zmiany systemowe oraz aktualnie uruchomione usługi. Narzędzie umożliwia także monitorowanie sesji LDAP. Ponieważ liczba podłączonych klientów wpływa na obciążenie serwera, narzędzie będzie monitorować liczniki obiektów NTDS, aby zapobiec przeciążeniu serwera połączonemu z określoną sesją LDAP. Ponadto oprogramowanie może zapewnić wgląd w zaawansowane statystyki, takie jak aktywne wątki LDAP, czas wiązania, sesje klienta, udane powiązania / s oraz wyszukiwania / s.

Wstępna konfiguracja produktu przebiega szybkoi łatwo to zrobić za pomocą dwuprzebiegowego procesu automatycznego wykrywania. Pierwszy przebieg odkrywa każdy serwer, a drugi znajdzie aplikacje na każdym wykrytym serwerze. Chociaż ten proces może zająć trochę czasu, można go przyspieszyć, dostarczając listę konkretnych aplikacji do wyszukania. Po uruchomieniu narzędzia przyjazny interfejs użytkownika sprawia, że ​​korzystanie z niego jest dziecinnie proste. Pulpit nawigacyjny narzędzia można spersonalizować, co pozwoli wyświetlać informacje w formie tabeli lub grafiki.

Cena za SolarWinds Serwer i monitor aplikacji zaczyna się od 2 995 USD i jest oparty na liczbie monitorowanych komponentów, węzłów i woluminów. Bezpłatna 30-dniowa wersja próbna jest dostępna do pobrania, jeśli chcesz wypróbować produkt przed jego zakupem.

3- Darmowe narzędzia AD z ManageEngine

ManageEngine to kolejna znana nazwa administratorów systemu i sieci. Jego ManageEngine OpManager pakiet należy do czołówki infrastruktury ITnarzędzia do monitorowania. Podobnie jak niektórzy jego konkurenci, ManageEngine tworzy świetne bezpłatne narzędzia. A jeśli chodzi o Active Directory, firma oferuje nie mniej niż piętnaście bezpłatnych narzędzi, które mogą pomóc w monitorowaniu infrastruktury AD i administrowaniu nią. Istnieje kombinacja samodzielnych programów i poleceń cmdlet Powershell. Większość narzędzi znajduje się w jednym pakiecie do pobrania, więc ich uzyskanie nie powinno stanowić większego problemu. Zobaczmy, jakie są niektóre z najbardziej interesujących z tych narzędzi.

  • Narzędzie do wysyłania zapytań AD, jak sama nazwa wskazuje, umożliwia odczytanie dowolnych danych atrybutów wymaganych z Active Directory
  • Wyszukiwarka ostatniego logowania służy do wyświetlania czasu ostatniego logowania wszystkich lub wybranych użytkowników we wszystkich wybranych kontrolerach domeny w domenie. Zwykle jest używany do działań kontrolnych i porządkowych.
  • Menedżer replikacji usługi Active Directory umożliwia administratorom replikację danych w domenie, a także zapewnia kompleksowe raporty dotyczące ostatniej replikacji.
  • Reporter ról kontrolera domeny wyświetla listę wszystkich kontrolerów domeny i ich odpowiednich ról w domenie.
  • Narzędzie do monitorowania kontrolera domeny to proste, ale potężne narzędzie. Automatycznie wykryje domeny i wyświetli je, pokazując ważne parametry kontrolerów domeny, takie jak wykorzystanie procesora, wykorzystanie dysku i wykorzystanie pamięci.

ManageEngine Active Directory DC Monitoring Tool

  • Menedżer zasad haseł pozwala pobierać, przeglądać i edytować - pod warunkiem, że ma odpowiednie uprawnienia - zasady haseł domeny.
  • Wyszukiwarka duplikatów usługi Active Directory to narzędzie Powershell, które pozwala administratorom identyfikować zduplikowane wpisy dla atrybutów Active Directory w domenie.
  • Zarządzanie kontami usługowymi został zaprojektowany, aby pomóc Ci łatwo tworzyć, edytować i usuwać konta usług zarządzanych za pomocą kilku kliknięć.
  • Raport o słabym haśle użytkowników pomaga znaleźć słabe hasła w usłudze Active Directory, porównując hasła użytkowników z listą ponad 100 000 powszechnie używanych słabych haseł.

To tylko niektóre z wielu bezpłatnych Narzędzia Active Directory dostarczone przez ManageEngine. Podczas gdy używanie oddzielnych narzędzi do każdego pojedynczego zadania nie jest prawdopodobnie tak praktyczne jak używanie zintegrowanego narzędzia ze wszystkimi wbudowanymi funkcjami, cena tych narzędzi jest trudna do pokonania iz pewnością może sprawić, że będzie to opcja warta rozważenia.

4- Aktywny administrator

Ostatni na naszej liście jest Aktywny administrator od Oprogramowanie Quest, teraz część Dell. Jest to kompletny i zintegrowany ActiveOprogramowanie do zarządzania katalogami. Wypełnia luki, które pozostawiają niektóre narzędzia Microsoft. Jest to rodzaj narzędzia, które może ułatwić i przyspieszyć spełnienie wymagań bezpieczeństwa i kontroli. Posiada funkcje odnoszące się do wielu najważniejszych obszarów zarządzania AD.

Zrzut ekranu Quest Active Administrator

Wśród głównych funkcji tego narzędzia, Aktywny administrator oferuje zintegrowaną, proaktywną administrację. Jest to również bardzo potężne narzędzie do monitorowania, które ma intuicyjne raportowanie i alarmowanie, pozwalając szybko wykrywać zmiany i raportować je, filtrując według typu zdarzenia, użytkownika i daty, a także logowania i blokowania aktywności użytkownika. Możesz także ustawić alerty zdarzeń i automatycznie uruchamiać działania oparte na alertach.

Ceny za Aktywny administrator jest na aktywne konto użytkownika w AktywnymKatalog, a zaczyna się od 16,37 USD za wieczystą licencję z rocznym wsparciem. Należy zakupić minimalną licencję na 20 kont użytkowników. Bezpłatną 30-dniową wersję próbną można pobrać.

Komentarze