- - Introdução aos domínios e florestas do Active Directory - Melhores ferramentas do Active Directory

Introdução aos domínios e florestas do Active Directory - Melhores ferramentas do Active Directory

Desde a sua criação, quase exatamente 20 anos atrás, com a introdução do Windows 2000 Server Edition em fevereiro de 1999, Diretório ativo foi um componente essencial do ecossistema de servidores da Microsoft. Seu principal objetivo é manter as informaçõessobre recursos em rede. Redes de computadores podem ser bastante complicadas. Conseqüentemente, o Active Directory também tende a ser complicado, e é por isso que nosso principal objetivo hoje é fornecer uma introdução aos domínios e florestas do Active Directory.

Não pretendemos torná-lo Active Directoryespecialistas, mas nossa esperança é lançar alguma luz sobre esse tópico complicado. Além disso, dado o nível relativamente alto de complexidade da tecnologia, não é surpresa que várias ferramentas de terceiros tenham sido criadas para monitorar e / ou gerenciar vários aspectos do Active Directory. Então, veremos o que alguns deles podem fazer por você.

Veja como estamos planejando nossa jornada para onúcleo do Active Directory: começaremos levantando qualquer confusão que possa haver com o conceito de domínio. É um elemento-chave do AD, mas também um elemento-chave da Internet e, no entanto, são dois tipos de domínios completamente diferentes que não devem ser confundidos. Em seguida, apresentaremos o Active Directory, o que é e de onde vem. A seguir, discutiremos os domínios do AD e as árvores que usamos para representar sua estrutura. Na natureza, um grupo de árvores é chamado de floresta. Bem, o mesmo acontece no Active Directory, como veremos a seguir. Gerenciar e monitorar o Active Directory será nossa próxima ordem de negócios e, por fim, analisaremos algumas das melhores ferramentas de gerenciamento e monitoramento do Active Directory.

Evitando a confusão - o que é um domínio?

Um domínio pode ser muitas coisas, dependendo do quecampo em que você está. E mesmo em Tecnologia da informação, o termo domínio é usado para duas coisas muito diferentes. O primeiro tipo de domínio, aquele com o qual a maioria dos usuários de computador - mesmo aqueles que não são cientistas da computação - é o domínio da Internet. É um grupo de recursos da Internet pertencentes a uma organização específica. Os nomes de domínio são usados ​​para acessar vários recursos usando nomes amigáveis ​​ao usuário, em vez de endereços IP enigmáticos. Por exemplo, o addictivetips.com é o nome de domínio deste site. O Microsoft.com é outro nome de domínio conhecido e tenho certeza de que você pode facilmente pensar em dezenas de outros.

O outro lugar onde o termo domínio é amplamenteusado está relacionado ao Active Directory. Um domínio do Active Directory é um grupo de recursos (observe a semelhança com os domínios anteriores?) Cobertos por um único banco de dados de autenticação. Em breve, descreveremos os domínios do AD em mais detalhes. Por enquanto, a chave é entender que o mesmo termo é usado para definir dois conceitos totalmente não relacionados e que é importante não confundi-los, pois eles definitivamente não são a mesma coisa.

Active Directory em poucas palavras

A primeira pergunta que as pessoas geralmente fazem sobreO Active Directory é: O que é exatamente? A resposta é simples: é a implementação da Microsoft de um serviço de diretório LDAP. Embora essa resposta seja absolutamente exata, ela é possivelmente inútil e gera mais perguntas do que respostas.

Vamos cavar. Primeiro, um serviço de diretório, no contexto de redes de computadores, é um banco de dados que contém informações sobre cada componente de uma rede. Por componentes, entendemos cada computador e servidor, mas também cada usuário ou grupo de usuários ou cada diretório. Você pode pensar nisso como uma lista telefônica. Qualquer recurso que precise encontrar outro recurso o pesquisa no diretório.

Quanto à parte LDAP da nossa resposta inicial, éum acrônimo para Lightweight Directory Access Protocol. Em termos simples, o LDAP define como as informações sobre recursos são armazenadas no banco de dados e como essas informações podem ser acessadas. É um protocolo padrão do setor compartilhado por vários fornecedores que, infelizmente, não significa que várias implementações sejam interoperáveis.

Uma estrutura do Active Directory é uma hierarquiaorganização de objetos. Existem três categorias principais de objetos: recursos (como computadores ou impressoras, por exemplo), serviços (como email) e usuários (contas de usuário e grupos de usuários). O Active Directory fornece informações sobre os objetos, organiza-os e controla seu acesso e segurança. É, para todos os efeitos, um banco de dados de entradas com cada entrada com um nome e um conjunto de atributos. Cada atributo tem um nome, um tipo e um ou muitos valores. Os atributos são definidos no esquema do banco de dados.

Você pode pensar na estrutura hierárquica de umBanco de dados do Active Directory como o de um sistema de arquivos. E, assim como um sistema de arquivos tem contêineres (chamados de diretórios ou pastas), o AD também os possui. Eles são chamados de Unidades Organizacionais (OU) e ajudam a agrupar coisas relacionadas. Os administradores de sistema são livres para criar OUs como entenderem e não é incomum, por exemplo, ver OUs individuais para cada departamento de uma organização.

Domínios do Active Directory

Agora que estamos todos na mesma página do queO Active Directory é, vamos dar uma olhada nos domínios. Curiosamente, os domínios antecedem o Active Directory há vários anos. Mesmo antes da Microsoft lançar seu próprio serviço de diretório LDAP em 1999, os domínios existiam desde os primeiros dias do Windows NT. Em uma rede típica de servidores Windows, pelo menos um deles - e geralmente dois ou mais - são configurados como controladores de domínio. Eles são os servidores que hospedam o banco de dados do domínio, autenticando os usuários e controlando o acesso aos recursos. As informações que eles mantêm são replicadas entre eles. E por último mas não menos importante, os objetos em um domínio estão organizado de forma hierárquica.

As árvores e a floresta

Uma analogia de árvore é frequentemente usada para descreverestruturas hierárquicas, como um domínio. Mas com o Active Directory, a Microsoft decidiu levar essa analogia um passo adiante e chama uma estrutura hierárquica de domínios de árvore. Lembre-se, um domínio é um grupo de recursos sob o controle de um banco de dados, mas uma árvore, por várias razões, pode ser composta por vários domínios. Isso é algo que é bastante comum em organizações maiores e não é incomum ver um domínio para cada divisão de uma grande empresa. E para organizações ainda maiores, as árvores podem ser agrupadas em florestas, você adivinhou. Esse é o elemento mais alto do Active Directory e tudo o resto é dele.

Árvores e florestas no Active Directory

Gerenciando e monitorando o Active Directory

Monitorar é tudo! Se você é administrador de rede ou de sistema, provavelmente já ouviu essa frase inúmeras vezes. E sabe de uma coisa? É tudo! O monitoramento é uma das melhores maneiras de se manter atualizado. Existem vários tipos de ferramentas de monitoramento que permitem obter com precisão o tipo de métrica que você procura. Por exemplo, o monitoramento da largura de banda informa sobre o uso de diferentes segmentos de uma rede, o monitoramento da CPU exibe os medidores de CPU dos seus servidores. A maioria das métricas operacionais de sistemas e redes pode ser monitorada. A principal vantagem do uso de ferramentas de monitoramento é que elas são principalmente automáticas. Você não precisa estar constantemente observando-os. Sempre que algo estiver fora do comum, suas ferramentas de monitoramento o alertarão.

No caso do Active Directory, váriosparâmetros podem ser monitorados. Por exemplo, os controladores de domínio - os servidores em que o banco de dados de um domínio está armazenado - podem ser monitorados quanto à resposta e desempenho. Alterações nos direitos de acesso também podem ser monitoradas com alguma vantagem. Logins - especialmente aqueles com falha - é outro parâmetro que vale a pena monitorar, pois pode ser uma indicação de atividade maliciosa.

O Gerenciamento do Active Directory é outra coisa. Várias ferramentas são fornecidas pela Microsoft para ajudá-lo a gerenciar o Active Directory. Eles permitem que você crie objetos, atribua direitos e geralmente execute a maior parte das atividades diárias relacionadas ao gerenciamento do AD. No entanto, algumas dessas ferramentas podem se tornar um tanto complicadas ou impraticáveis ​​de usar, e vários fornecedores adotaram várias ferramentas de gerenciamento do Active Directory, o que pode facilitar muito a tarefa de administrar o Active Directory.

As melhores ferramentas de AD

Percorremos o mercado em busca de alguns dos melhoresFerramentas do Active Directory. O que temos hoje para você é uma mistura de ferramentas de monitoramento - algumas específicas do AD e outras genéricas - e ferramentas de gerenciamento. Todos eles podem ajudá-lo - e esse foi um dos nossos principais critérios de inclusão - nas tarefas diárias relacionadas ao Active Directory. Alguns são orientados para a segurança, enquanto outros são orientados para o desempenho.

1- Gerenciador de direitos de acesso SolarWinds (TESTE GRÁTIS)

SolarWinds é um dos melhores editores de software de administração de rede e sistema. Seu principal produto chamado Monitor de desempenho de rede pontua consistentemente entre as principais redessistemas de monitoramento de largura de banda. Além disso, a empresa também é famosa por seu software livre. Estamos falando de ferramentas menores, cada uma abordando uma necessidade específica de administradores de rede. Dois grandes exemplos dessas ferramentas gratuitas são os Calculadora avançada de sub-rede e a Servidor Kiwi Syslog.

Apesar de um nome um tanto enganador que pode levar você a acreditar que ele lida apenas com permissões de objeto, o Gerenciador de direitos de acesso SolarWinds visa principalmente fazer o provisionamento do usuárioe desprovisionamento, rastreamento e monitoramento fáceis. Ele também oferece uma maneira fácil e poderosa de gerenciar e monitorar a permissão do usuário para garantir que nenhuma permissão desnecessária seja concedida.

Captura de tela do SolarWinds Access Rights Manager

  • TESTE GRÁTIS: Gerenciador de direitos de acesso SolarWinds
  • Link para Download: https://www.solarwinds.com/access-rights-manager/registration

Uma das maiores vantagens deste produto éseu painel intuitivo de gerenciamento de usuários que você pode usar para criar, modificar, excluir, ativar e desativar acessos de usuários a diferentes arquivos e pastas. Possui modelos específicos de função que podem facilmente fornecer aos usuários acesso a recursos específicos em sua rede.

Também são muito interessantes e únicas as Gerenciador de direitos de acesso SolarWindsRecursos de relatórios. O software pode criar relatórios que podem ser usados ​​como prova em caso de disputa ou eventual litígio. Também estão disponíveis relatórios detalhados para fins de auditoria e conformidade com as especificações definidas pelos padrões regulamentares aplicáveis ​​aos seus negócios. Os relatórios podem ser criados rápida e facilmente com apenas alguns cliques. Eles podem incluir qualquer informação que você considere útil. Por exemplo, atividades de log no Active Directory e acessos ao servidor de arquivos podem ser incluídas em um relatório. Cabe ao usuário torná-los resumidos ou detalhados, conforme necessário.

Ataques e / ou vazamentos de dados geralmente acontecem quandoas pastas e / ou seu conteúdo são acessados ​​por usuários que não estão - ou não deveriam estar - autorizados a acessá-los, uma situação comum em que os usuários têm acesso amplo a pastas ou arquivos. o Gerenciador de direitos de acesso SolarWinds pode ajudar a evitar esses tipos de vazamentos ealterações não autorizadas em arquivos e dados confidenciais. Oferece aos administradores uma representação visual das permissões para vários servidores de arquivos e permite fácil e visualmente ver quem tem que permissão em qual arquivo.

Preços para o Gerenciador de direitos de acesso SolarWinds baseia-se no número de usuários ativados no Active Directory. No SolarWinds linguagem, um usuário ativado é um ativoconta de usuário ou de serviço. Os preços do produto começam em US $ 2 995 para até 100 usuários ativos. Para mais usuários (até 10.000), preços detalhados podem ser obtidos entrando em contato com as vendas da SolarWinds. Se você quiser testar a ferramenta antes de comprá-la, é possível obter uma versão de avaliação gratuita e ilimitada de 30 dias.

2- Servidor SolarWinds e monitor de aplicativos (TESTE GRÁTIS)

o Servidor SolarWinds e monitor de aplicativos foi projetado para ajudar os administradores a monitorarservidores, seus parâmetros operacionais, seus processos e os aplicativos que estão sendo executados neles. É uma das melhores ferramentas que você pode usar para monitorar seus controladores de domínio do Active Directory e os serviços críticos que eles precisam estar executando. Mas a ferramenta também irá monitorar um ou todos os seus servidores. Ele pode ser facilmente escalado, desde a menor das redes até as grandes, com centenas de servidores - físicos e virtuais - espalhados por vários sites.

Painel SolarWinds Server e Application Monitor

  • TESTE GRÁTIS: Servidor SolarWinds e monitor de aplicativos
  • Link para Download: https://www.solarwinds.com/server-application-monitor/registration

O monitoramento de desempenho do Active Directory oferecido pelo Servidor SolarWinds e monitor de aplicativos fornece informações sobre problemas do Active Directoryrelacionados à conta do usuário, como criação da conta, alteração de senha e tentativas de redefinição, contas de usuário desabilitadas e excluídas. Ele também fornecerá informações sobre alterações de política de domínio e sistema e recuperação de dados, assim como fornece informações sobre configurações de firewall e outras alterações de sistema e serviços em execução no momento. A ferramenta também permite o monitoramento de sessões LDAP. Com o número de clientes conectados impactando a carga do servidor, a ferramenta monitorará os contadores de objetos NTDS para ajudar a evitar uma sobrecarga do servidor conectada a uma sessão LDAP específica. Além disso, o software pode fornecer informações sobre estatísticas avançadas, como encadeamentos ativos LDAP, tempo de ligação, sessões do cliente, ligações / segundo bem-sucedidas e pesquisas / segundo.

A configuração inicial do produto é rapidamentee é fácil com a ajuda de um processo de detecção automática de duas passagens. A primeira passagem descobre todos os servidores e a segunda encontra aplicativos em cada servidor descoberto. Embora esse processo possa levar tempo, pode ser acelerado, fornecendo uma lista de aplicativos específicos a serem procurados. Depois que a ferramenta está em funcionamento, a interface gráfica do usuário facilita o uso. O painel da ferramenta pode ser personalizado e permitirá exibir informações em formato de tabela ou gráfico.

Preço para o Servidor SolarWinds e monitor de aplicativos começa em US $ 2 995 e é baseado no número de componentes, nós e volumes monitorados. Está disponível para download uma versão de avaliação gratuita de 30 dias, se você quiser experimentar o produto antes de comprá-lo.

3- Ferramentas AD gratuitas do ManageEngine

ManageEngine é outro nome conhecido entre os administradores de sistema e rede. Está ManageEngine OpManager pacote está entre as principais infra-estruturas de TIferramentas de monitoramento. Como alguns de seus concorrentes, o ManageEngine faz ótimas ferramentas gratuitas. E no que diz respeito ao Active Directory, a empresa oferece nada menos que quinze ferramentas gratuitas que podem ajudar no monitoramento e administração da infraestrutura do AD. Há uma combinação de programas independentes e cmdlets do Powershell. A maioria das ferramentas é agrupada em um único download, portanto, obtê-las não deve ser um grande problema. Vamos ver quais são algumas das ferramentas mais interessantes.

  • Ferramenta de consulta do AD, como o próprio nome sugere, permite que você leia todos os dados de atributo necessários do Active Directory
  • Último localizador de logon é usado para listar o último horário de logon de todos ou de usuários selecionados em todos os controladores de domínio selecionados no domínio. É normalmente usado para atividades de auditoria e limpeza.
  • Gerenciador de Replicação do Active Directory permite aos administradores replicar dados em um domínio, além de fornecer relatórios abrangentes sobre a última replicação.
  • Repórter de Funções de Controlador de Domínio lista todos os controladores de domínio e suas respectivas funções no domínio.
  • Ferramenta de Monitoramento de Controlador de Domínio é uma ferramenta simples, mas poderosa. Ele irá descobrir domínios automaticamente e exibi-los, mostrando parâmetros importantes de controladores de domínio, como Utilização da CPU, Utilização de Disco e Utilização de Memória.

Ferramenta de Monitoramento DC do ManageEngine Active Directory

  • Gerenciador de diretivas de senha permite recuperar, visualizar e editar, desde que ele possua os direitos adequados, a política de senha do domínio.
  • Localizador de duplicatas do Active Directory é um utilitário Powershell que permite aos administradores identificar entradas duplicadas para atributos do Active Directory em um domínio.
  • Gerenciamento de contas de serviço foi desenvolvido para ajudá-lo a criar, editar e excluir facilmente contas de serviço gerenciado em apenas alguns cliques.
  • Relatório de usuários com senha fraca ajuda a encontrar senhas fracas no Active Directory, comparando as senhas dos usuários com uma lista de mais de 100.000 senhas fracas usadas com frequência.

Estes são apenas alguns dos muitos Ferramentas do Active Directory fornecido pelo ManageEngine. Embora o uso de ferramentas separadas para cada tarefa individual provavelmente não seja tão prático quanto o uso de uma ferramenta integrada com todas as funcionalidades incorporadas, o preço dessas ferramentas é difícil de superar e certamente pode torná-las uma opção que vale a pena considerar.

4- Administrador ativo

O último da nossa lista é Administrador ativo de Quest softwareagora parte de Dell. Este é um Ativo completo e integradoSolução de software de gerenciamento de diretório. Ele preenche as lacunas que algumas das ferramentas da Microsoft deixam para trás. Esse é o tipo de ferramenta que pode tornar mais fácil e rápido atender aos requisitos de segurança e auditoria. Possui recursos que abordam muitas das áreas mais importantes do gerenciamento do AD.

Screenshot do Quest Active Administrator

Entre os principais recursos da ferramenta, Administrador ativo oferece administração integrada e proativa. Essa também é uma ferramenta de monitoramento muito potente, com relatórios e alertas intuitivos, permitindo que você descubra rapidamente as alterações e relate-as filtrando por tipo de evento, usuário e data, bem como atividades de logon e bloqueio do usuário. Você também pode definir alertas de eventos e iniciar automaticamente ações baseadas em alertas.

Preços para Administrador ativo é por conta de usuário habilitada em seu ActiveDiretório e começa em US $ 16,37 para uma licença perpétua com suporte de um ano. É necessário adquirir uma licença mínima para 20 contas de usuário. Uma versão de avaliação gratuita de 30 dias pode ser baixada.

Comentários