- - Domenii și păduri Active Directory Introducere - Cele mai bune instrumente Active Directory

Domenii și păduri Active Directory Introducere - Cele mai bune instrumente Active Directory

Încă de la înființare, cu aproape exact 20 de ani în urmă cu introducerea Windows 2000 Server Edition în februarie 1999, Director activ a fost o componentă cheie a ecosistemului server Microsoft. Scopul său principal este păstrarea informațiilordespre resurse în rețea. Rețelele de calculatoare pot fi destul de complicate. În consecință, Active Directory tinde să fie și complicat, motiv pentru care obiectivul nostru principal astăzi este să vă oferim o introducere în domeniile și pădurile Active Directory.

Nu intenționăm să vă facem Active Directoryexperți, dar speranța noastră este să aruncăm o lumină asupra acestui subiect complicat. De asemenea, având în vedere nivelul de complexitate relativ ridicat al tehnologiei, nu este de mirare că mai multe instrumente terțe au fost create pentru a monitoriza și / sau gestiona diverse aspecte ale Active Directory. Deci, vom arunca o privire asupra a ceea ce unii dintre ei pot face pentru tine.

Iată cum ne planificăm călătoria înnucleul Active Directory: Vom începe să eliminăm orice confuzie care ar putea exista cu conceptul de domeniu. Este un element cheie al AD, dar și un element cheie al internetului și totuși, acestea sunt două tipuri de domenii complet diferite, care nu trebuie confundate. Vom introduce apoi Active Directory, ce este și de unde provine. În continuare, vom discuta despre domeniile AD și arborii folosiți pentru a reprezenta structura lor. În natură, un grup de copaci se numește pădure. Ei bine, același lucru este valabil și în Active Directory așa cum vom vedea în continuare. Gestionarea și monitorizarea Active Directory va fi următoarea noastră comandă de afaceri și, în sfârșit, în timp ce vom examina, vom examina unele dintre cele mai bune instrumente de monitorizare și gestionare Active Directory.

Evitarea confuziei - Ce este un domeniu?

Un domeniu poate fi multe lucruri în funcție de cecâmpul în care vă aflați. Și chiar și în cadrul Tehnologiei informației, termenul domeniu este utilizat pentru două lucruri foarte diferite. Primul tip de domeniu, cel mai mulți utilizatori de computere - chiar și cei care nu sunt informaticieni - sunt familiarizați cu domeniul de internet. Este un grup de resurse de internet aparținând unei organizații specifice. Numele de domeniu sunt utilizate pentru a accesa diferite resurse folosind nume (er) prietenoase, mai degrabă decât adrese IP criptice. De exemplu, addictivetips.com este numele de domeniu al acestui site web. Microsoft.com este un alt nume de domeniu binecunoscut și sunt destul de sigur că vă puteți gândi cu ușurință la alte zeci.

Celălalt loc unde termenul de domeniu este largutilizat este legat de Active Directory. Un domeniu Active Directory este un grup de resurse (observați asemănarea cu domeniile anterioare?) Acoperite de o singură bază de date de autentificare. În scurt timp vom descrie domeniile AD în detalii mai mari. Deocamdată, cheia este să înțelegem că același termen este folosit pentru a defini două concepte total fără legătură și că este important să nu le amestecăm, deoarece acestea nu sunt cu siguranță același lucru.

Active Directory într-o casă de nuci

Prima întrebare pe care oamenii o pun în generalActive Directory este: Ce este exact? Răspunsul este simplu, este implementarea Microsoft a unui serviciu de director LDAP. Deși acest răspuns este absolut exact, este inutil și ridică mai multe întrebări decât răspunde.

Să dezgropăm. În primul rând, un serviciu de director, în contextul rețelelor de calculatoare, este o bază de date care conține informații despre fiecare componentă a unei rețele. Pe componente, ne referim la fiecare computer și server, dar și fiecare utilizator sau grup de utilizatori sau fiecare director. Vă puteți gândi la el ca la un director de telefon. Orice resursă care trebuie să găsească o altă resursă o arată în director.

În ceea ce privește partea LDAP a răspunsului nostru inițial, esteun acronim pentru Lightweight Directory Access Protocol. În termeni simpli, LDAP definește modul în care informațiile despre resurse sunt stocate în baza de date și cum pot fi accesate aceste informații. Este un protocol standard pentru industrie, distribuit de mai mulți furnizori, care, din păcate, nu înseamnă că diverse implementări sunt interoperabile.

O structură Active Directory este ierarhicăorganizarea obiectelor. Există trei categorii principale de obiecte: resurse (cum ar fi computere sau imprimante, de exemplu), servicii (cum ar fi e-mail) și utilizatori (conturi de utilizator și grupuri de utilizatori). Active Directory oferă informații despre obiecte, le organizează și le controlează accesul și securitatea. Este, pentru toate intențiile, o bază de date cu intrări cu fiecare intrare având un nume și un set de atribute. Fiecare atribut are un nume, un tip și una sau mai multe valori. Atributele sunt definite în schema bazei de date.

Vă puteți gândi la structura ierarhică a unuiBaza de date Active Directory ca cea a unui sistem de fișiere. La fel cum un sistem de fișiere are containere (numite directoare sau foldere), AD le are și pe ele. Ele se numesc Organizational Units (OU) și ajută la gruparea lucrurilor legate împreună. Administratorii de sistem sunt liberi să creeze unități de operare, după cum consideră că sunt potriviți și nu este neobișnuit, de exemplu, să vadă unități de operare individuale pentru fiecare departament al unei organizații.

Domenii Active Directory

Acum că suntem cu toții pe aceeași pagină despre ceActive Directory este, să aruncăm o privire asupra domeniilor. Interesant este că domeniile sunt anterioare Active Directory cu câțiva ani. Chiar înainte ca Microsoft să-și elibereze propriul serviciu de director LDAP în 1999, domeniile existau încă din primele zile ale Windows NT. Într-o rețea tipică de servere Windows, cel puțin unul dintre ele - și adesea două sau mai multe - sunt configurate ca controlere de domeniu. Acestea sunt serverele care găzduiesc baza de date de domeniu, autentificând astfel utilizatorii și controlând accesul la resurse. Informațiile pe care le dețin sunt replicate între ele. Și nu în ultimul rând, obiectele dintr-un domeniu sunt organizat în mod ierarhic.

Copacii și pădurea

O analogie arborelui este adesea folosită pentru a descriestructuri ierarhice, cum ar fi un domeniu. Dar cu Active Directory, Microsoft a decis să împingă acea analogie cu un pas mai departe și numește o structură ierarhică a domeniilor un arbore. Nu uitați, un domeniu este un grup de resurse aflate sub controlul unei baze de date, dar un arbore, din diferite motive poate fi format din mai multe domenii. Acest lucru este de fapt destul de comun în organizațiile mai mari și nu este deloc neobișnuit să vedem un domeniu pentru fiecare divizie a unei companii mari. Și pentru organizații și mai mari, copacii pot fi grupați, ați ghicit, păduri. Acesta este elementul de top din Active Directory și orice altceva descinde din el.

Arbori și păduri din Active Directory

Gestionarea și monitorizarea Active Directory

Monitorizarea este totul! Dacă sunteți administratori de rețea sau de sistem, probabil ați auzit acea frază de nenumărate ori. Și știi ce? Este totul! Monitorizarea este una dintre cele mai bune metode de a rămâne la curent. Există diferite tipuri de instrumente de monitorizare care vă vor permite să obțineți exact tipul de valori pe care le urmați. De exemplu, monitorizarea lățimii de bandă va raporta utilizarea diferitelor segmente ale unei rețele, monitorizarea procesorului va afișa calibrele CPU ale serverelor dvs. Majoritatea valorilor operaționale ale sistemelor și rețelelor pot fi monitorizate. Principalul avantaj al utilizării instrumentelor de monitorizare este că acestea sunt în mare parte automate. Nu trebuie să le urmăriți în mod constant. Ori de câte ori ceva este ieșit din comun, instrumentul (instrumentele) de monitorizare vă va avertiza.

În cazul Active Directory, mai multeparametrii pot fi monitorizați. De exemplu, controlerele de domeniu - serverele în care se păstrează baza de date a unui domeniu - ar putea fi monitorizate pentru răspuns și performanță. Modificările drepturilor de acces ar putea fi de asemenea monitorizate într-un anumit avantaj. Conectările - în special cele eșuate - este un alt parametru care merită monitorizat, deoarece poate fi o indicație a activității dăunătoare.

Managementul Active Directory este altceva. Microsoft oferă mai multe instrumente care vă ajută să gestionați Active Directory. Acestea vă vor permite să creați obiecte, să atribuiți drepturi și, în general, să efectuați majoritatea activităților de zi cu zi legate de gestionarea AD. Cu toate acestea, unele dintre aceste instrumente se pot dovedi a fi destul de greoaie sau nepractic de utilizat și mai mulți furnizori au avansat pentru a oferi diverse instrumente de Active Directory Management care pot face sarcina de a administra Active Directory mult mai ușoară.

Cele mai bune instrumente AD

Am căutat piața pentru unele dintre cele mai buneInstrumente Active Directory. Ceea ce avem pentru dumneavoastră astăzi este un amestec de instrumente de monitorizare - unele specifice AD ​​și altele generice - și instrumente de management. Toate acestea vă pot ajuta - și acesta a fost unul dintre principalele noastre criterii de incluziune - cu sarcinile dvs. de zi cu zi, în ceea ce privește Active Directory. Unele sunt orientate către securitate, în timp ce altele sunt orientate spre performanță.

1- Managerul drepturilor de acces SolarWinds (ÎNCERCARE GRATUITĂ)

SolarWinds este unul dintre cei mai buni editori de software de administrare a rețelei și sistemelor. Produsul său principal numit " Monitorizarea performanței rețelei scoruri constante în rețeaua de topsisteme de monitorizare a lățimii de bandă. Mai mult, compania este renumită și pentru software-ul său gratuit. Vorbim despre instrumente mai mici, fiecare adresându-se unei nevoi specifice a administratorilor de rețea. Două exemple excelente ale acestor instrumente gratuite sunt Calculator avansat de subrețea si Kiwi Syslog Server.

În ciuda unui nume oarecum înșelător, care te-ar putea determina să crezi că se ocupă doar de permisiuni de obiect, Managerul drepturilor de acces SolarWinds are ca obiectiv principal furnizarea de furnizoriși ușor neprovisionarea, urmărirea și monitorizarea. De asemenea, oferă un mod puternic și ușor de gestionare și monitorizare a permisiunii utilizatorului pentru a vă asigura că nu sunt acordate permisiuni inutile.

Captura de ecran a managerului de drepturi de acces SolarWinds

  • ÎNCERCARE GRATUITĂ: Managerul drepturilor de acces SolarWinds
  • Link de descărcare: https://www.solarwinds.com/access-rights-manager/registration

Una dintre cele mai mari forțe ale acestui produs estetabloul de bord intuitiv de gestionare a utilizatorului pe care îl puteți utiliza pentru a crea, modifica, șterge, activa și dezactiva accesele utilizatorilor la diferite fișiere și foldere. Dispune de șabloane specifice rolului care pot oferi utilizatorilor acces cu ușurință la resurse specifice din rețeaua dvs.

De asemenea, sunt foarte interesante și destul de unice Managerul drepturilor de acces SolarWindsCaracteristicile de raportare. Software-ul poate crea rapoarte care pot fi utilizate ca dovezi în caz de dispute sau eventuale litigii. Rapoarte detaliate pentru scopuri de audit și pentru respectarea specificațiilor stabilite de standardele de reglementare care se aplică afacerii dvs. sunt de asemenea disponibile. Rapoartele pot fi create rapid și ușor cu doar câteva clicuri. Acestea pot include orice informații pe care le-ați putea găsi utile. De exemplu, activitățile de jurnal în Active Directory și accesele serverului de fișiere ar putea fi incluse într-un raport. Utilizatorul trebuie să le facă la fel de rezumate sau la fel de detaliate pe care le are nevoie.

Atacurile și / sau scurgerile de date se întâmplă deseori cândfolderele și / sau conținutul lor sunt accesate de utilizatori care nu sunt sau nu ar trebui să fie autorizați să le acceseze, o situație obișnuită atunci când utilizatorii au acces la scară largă la foldere sau fișiere. Managerul drepturilor de acces SolarWinds vă poate ajuta să preveniți aceste tipuri de scurgeri șimodificări neautorizate la datele și fișierele confidențiale. Oferă administratorilor o reprezentare vizuală a permisiunilor pentru mai multe servere de fișiere și permite ușor și vizual să vadă cine are ce permisiune în ce fișier.

Prețuri pentru Managerul drepturilor de acces SolarWinds se bazează pe numărul de utilizatori activi din Active Directory. În SolarWinds vorbire, un utilizator activ este fie activcont de utilizator sau cont de serviciu. Prețurile pentru produs încep de la 2 995 USD pentru până la 100 de utilizatori activi. Pentru mai mulți utilizatori (până la 10 000), prețurile detaliate pot fi obținute contactând vânzările SolarWinds. Dacă doriți să oferiți instrumentului un test de test înainte de a-l achiziționa, puteți obține o versiune de încercare gratuită nelimitată de 30 de zile.

2- SolarWinds Server și aplicație Monitor (ÎNCERCARE GRATUITĂ)

În SolarWinds Server și aplicație Monitor a fost conceput pentru a ajuta administratorii să monitorizezeserverele, parametrii lor operaționali, procesele lor și aplicațiile care rulează pe acestea. Este unul dintre cele mai bune instrumente pe care le puteți utiliza pentru a monitoriza controlerele de domeniu Active Directory și serviciile critice pe care trebuie să le execute. Dar instrumentul va monitoriza, de asemenea, oricare sau toate serverele dvs. Se poate extinde cu ușurință de la cea mai mică rețea la cele mari cu sute de servere - atât fizice cât și virtuale - răspândite pe mai multe site-uri.

Tabloul de bord al serverului SolarWinds și al monitorului de aplicații

  • ÎNCERCARE GRATUITĂ: SolarWinds Server și aplicație Monitor
  • Link de descărcare: https://www.solarwinds.com/server-application-monitor/registration

Monitorizarea performanței Active Directory oferită de SolarWinds Server și aplicație Monitor vă oferă informații despre problemele Active Directorylegate de contul de utilizator, cum ar fi crearea contului, schimbarea parolei și încercările de resetare, conturile de utilizator dezactivate și șterse. De asemenea, va oferi informații despre modificările politicii de domeniu și sistem și recuperarea datelor, întrucât oferă informații despre setările firewall-ului și alte modificări ale sistemului și serviciile care rulează în prezent. Instrumentul permite, de asemenea, monitorizarea sesiunilor LDAP. Cu numărul de clienți conectați care afectează încărcarea serverului, instrumentul va monitoriza contoarele de obiect NTDS pentru a preveni o supraîncărcare a serverului conectată la o sesiune LDAP specifică. În plus, software-ul poate oferi informații despre statistici avansate, cum ar fi fire active LDAP, timp de legare, sesiuni de client, legături / secunde de succes și căutări / sec.

Configurația inițială a produsului este rapidăși ușor de realizat cu ajutorul unui proces de descoperire automată în două trepte. Primul pas descoperă fiecare server, iar al doilea va găsi aplicații pe fiecare server descoperit. Deși acest proces poate dura timp, acesta poate fi accelerat prin furnizarea unei liste de aplicații specifice pe care să le cauți. Odată ce instrumentul este în funcțiune, GUI-ul ușor de utilizat face utilizarea unei brize. Tabloul de bord al instrumentului poate fi personalizat și vă va permite să afișați informații fie într-un tabel, fie într-un format grafic.

Preț pentru SolarWinds Server și aplicație Monitor începe de la 2 995 USD și se bazează pe numărul de componente, noduri și volume monitorizate. O versiune de încercare gratuită de 30 de zile este disponibilă pentru descărcare, dacă doriți să încercați produsul înainte de a-l achiziționa.

3- Instrumente gratuite AD de la ManageEngine

ManageEngine este un alt nume binecunoscut cu administratorii de sistem și de rețea. Este ManageEngine OpManager pachetul este printre infrastructura IT de topinstrumente de monitorizare. Ca și unii dintre concurenții săi, ManageEngine realizează câteva instrumente gratuite gratuite. Iar când vine vorba de Active Directory, compania oferă nu mai puțin de cincisprezece instrumente gratuite care vă pot ajuta în monitorizarea și administrarea infrastructurii dvs. AD. Există o combinație de programe autonome și cmdleturi Powershell. Majoritatea instrumentelor sunt incluse într-o singură descărcare, astfel încât obținerea lor nu ar trebui să reprezinte o mare problemă. Să vedem care sunt unele dintre cele mai interesante dintre aceste instrumente.

  • Instrument de interogare AD, după cum sugerează și numele său, vă permite să citiți toate datele de atribute pe care le solicitați din Active Directory
  • Ultimul căutător de conectare este utilizat pentru a lista ultima dată de conectare a tuturor sau a utilizatorilor selectați din toate controlerele de domeniu selectate din domeniu. Este de obicei utilizat pentru activități de audit și curățare.
  • Manager de replicare Active Directory permite administratorilor replicarea datelor dintr-un domeniu, precum și rapoarte complete despre ultima replicare.
  • Raportatorul de roluri al controlorului de domeniu listează toate controlerele de domeniu și rolurile respective în Domeniu.
  • Instrument de monitorizare a controlului de domeniu este un instrument simplu, dar puternic. Acesta va descoperi automat domeniile și le va afișa, arătând parametrii importanți ai controlerelor de domeniu precum CPU Utilisation, Disk Utilisation și Memory Utilisation.

Instrument ManageEngine Active Directory DC Monitoring

  • Manager politic de parolă vă permite să preluați și să vizualizați și să editați, cu condiția ca acesta să aibă drepturile corespunzătoare - politica de parolă a domeniului.
  • Active Directory Duplicate Finder este un utilitar Powershell care permite administratorilor să identifice intrările duplicate pentru atributele Active Directory dintr-un domeniu.
  • Managementul conturilor de servicii este conceput pentru a vă ajuta să creați, editați și ștergeți cu ușurință conturile de servicii gestionate în doar câteva clicuri.
  • Raport utilizator slab parolă ajută la găsirea parolelor slabe în Active Directory prin compararea parolelor utilizatorilor cu o listă de peste 100.000 de parole slabe utilizate frecvent.

Acestea sunt doar câteva dintre multele gratuite Instrumente Active Directory furnizate de ManageEngine. Deși utilizarea de instrumente separate pentru fiecare sarcină individuală nu este probabil la fel de practică precum utilizarea unui instrument integrat cu toate funcționalitățile încorporate, prețul acestor instrumente este greu de învins și ar putea face din ele o opțiune demnă de luat în considerare.

4- Administrator activ

Ultimul pe lista noastră este Administrator activ din Software de căutare, acum parte din vâlcea. Acesta este un Active complet și integratSoluție software de gestionare a directorilor. Acesta elimină lacunele pe care unele instrumente Microsoft le lasă în urmă. Acesta este tipul de instrument care poate face mai ușor și mai rapid să îndeplinească atât cerințele de securitate cât și de audit. Are funcții care se adresează multor dintre cele mai importante domenii ale managementului AD.

Captura de ecran a Quest Active Administrator

Printre principalele caracteristici ale instrumentului, Administrator activ oferă administrare integrată, proactivă. Acesta este, de asemenea, un instrument de monitorizare foarte puternic, care are raportare și alertare intuitivă, permițându-vă să descoperiți rapid modificările și să raportați-le prin filtrare după tipul evenimentului, utilizatorul și data, precum și conectarea utilizatorului și activitatea de blocare. Puteți, de asemenea, să setați alerte de evenimente și să lansați automat acțiuni bazate pe alerte.

Preț pentru Administrator activ este per cont de utilizator activat în ActiveDirector și începe de la 16,37 USD pentru o licență perpetuă cu asistență de un an. Trebuie achiziționată o licență minimă pentru 20 de conturi de utilizator. O versiune de încercare gratuită de 30 de zile poate fi descărcată.

Comentarii