Active Directory alebo AD, ako sa často uvádzato je vlastná verzia adresárovej služby LDAP od spoločnosti Microsoft. Je už okolo systému Windows Server 2000 a nahradil staršie funkcie správy domén serverov Windows. Je to nesmierne komplexná služba, ktorá sa stará o autentifikáciu používateľov a zariadení, určenie ich polohy a správu prístupových práv. Keďže je to tak zložité, nie je žiadnym prekvapením, že niekoľko vývojárov sa pokúsilo vytvoriť nástroje, ktoré zmierňujú bolesť pri správe služby Active Directory. Dnes vám prinášame niektoré z najlepších nástrojov služby Active Directory, ktoré nájdete na internete.
Najprv budeme mať všeobecnú diskusiuadresárové služby, aké sú, ich účel a pomôcka, a dajú vám ich príklad. Ďalej budeme hovoriť o LDAP a X.500, dvoch štandardizovaných protokoloch týkajúcich sa adresárových služieb. Potom sa krátko porozprávame o vývoji adresárových služieb spoločnosti Microsoft. Toto nás privedie k jadru našej záležitosti, najlepším nástrojom Active Directory, ktoré sme našli. Každú z nich stručne preskúmame.
Adresárové služby, čo sú
Wikipedia definuje adresárovú službu ako „mapovanie medzi názvami zdrojov v sieti a ich príslušnými sieťovými adresami.„A vo svojej najjednoduchšej podobe je to naozaj všetkoje. Takže sa môžete opýtať, či je systém názvov domén (DNS) adresárovou službou? Odpoveď znie jednoznačne ÁNO! Ale ak je to také jednoduché, prečo je služba Active Directory tak zložitá?
Active Directory, rovnako ako najmodernejší adresárimplementuje omnoho viac funkcií ako iba mapovanie mien na adresy. Sú jadrom bezpečnosti siete a budú obsahovať podrobné informácie o používateľoch (používateľských účtoch) a zdrojoch a sú tiež v centre mechanizmov kontroly prístupu vo väčšine sietí. Moderná adresárová služba je databáza, v ktorej je uložená väčšina informácií o sieti, jej zdrojoch a používateľoch.
Adresárová služba je hierarchická databázaobjekty, z ktorých každý predstavuje inú entitu. Niektoré objekty predstavujú používateľov, iné predstavujú počítače alebo iné dostupné zdroje, ako napríklad zdieľané sieťové položky. Ďalšími predmetmi sú nádoby na predmety. Hierarchická štruktúra uľahčuje nájdenie ľubovoľného objektu a umožňuje jednoduchú správu povolení, kde objekty môžu dediť povolenia od svojho rodiča.
Naším cieľom nie je urobiť z adresárovej službyodborník, ale radšej vám poskytne dostatok informácií o pozadí, aby lepšie porozumel, čo je služba Active Directory a odkiaľ pochádza. Pozrime sa na niekoľko príkladov minulých a súčasných adresárových služieb, s ktorými ste sa možno stretli, v reálnom živote.
Niekoľko príkladov
DNS je jednou z prvých adresárových služieb. Pochádza zo začiatku 80. rokov. Mala - a stále má - jediný primárny účel: preklad názvov hostiteľov na adresy IP. Dnes sa stále bežne používa a je jedným zo základov internetu.
Na Sieťová informačná službaalebo NIS, bola vlastnou implementáciou názvu služby Sun Microsystems podobnej službe DNS pre ekosystém Unix.
Novell Directory Sých služieb- volajúci eDirectory- bola adresárovou službou spoločnosti Novell Netwaresiete. Trochu podobné tomu, čo je v súčasnosti v Active Directory, išlo o všestranný systém, ktorý sa používa nielen na rozlišovanie mien, ale aj na overovanie a kontrolu prístupu.
NetInfo bola vyvinutá spoločnosťou NEXT a keď spoločnosť Apple získala spoločnosť, stala sa adresárovou službou Mac OS a potom ju nahradila Apple Open Directory.
A konečne, NT domény sú ďalším príkladom adresárovej služby. Sú predchodcami služby Active Directory. Domény NT boli primárne používané na účely riadenia prístupu a autentifikácie.
X.500 a LDAP, dva štandardy adresárových služieb
V informačnom veku je interoperabilita dôležitejšia ako kedykoľvek predtým, čo spôsobuje, že sa normy objavujú vo všetkých oblastiach. Adresárové služby nie sú odlišné. Existujú dva primárne štandardy, LDAP a X.500
Norma X.500 alebo presnejšie X.Séria 500 noriem je skupina špecifikácií z ITU-T pokrývajúca niekoľko aspektov služieb elektronických telefónnych zoznamov. Prvé iterácie sa datujú do roku 1988, ale X.500 sa v súčasnosti stále bežne používa.
Jedným z cieľov súboru štandardných protokolovako navrhuje X.500, je zabezpečiť interoperabilitu a umožniť interakciu systémov od rôznych výrobcov. X.500 je vlastne sada deviatich samostatných protokolov
Protokol ľahkého prístupu k adresáru aleboLDAP je otvorený dodávateľsky neutrálny priemyselný štandardný aplikačný protokol na prístup a údržbu informačných služieb o distribuovaných adresároch prostredníctvom siete IP. Dnes je väčšina implementácií adresárových služieb vrátane Active Directory od spoločnosti Microsoft kompatibilná s LDAP.
LDAP bol pôvodne určený ako ľahkýalternatívny protokol pre prístup k adresárovým službám X.500 prostredníctvom jednoduchšieho protokolu protokolov TCP / IP. X.500 a LDAP sa preto vzájomne nevylučujú a namiesto toho sa vzájomne dopĺňajú. Napríklad špecifikácia LDAP uvádza, že štruktúra databázy adresárových služieb musí byť kompatibilná s X.500.
Klienti LDAP nemôžu čítať iba atribútyobjekty v databáze adresárových služieb, môžu ich tiež upravovať. To samozrejme znamená, že LDAP je bezpečný a ponúka autentifikačný mechanizmus na ochranu pred neoprávnenými úpravami.
Z domény NT na Active Directory
Ako už bolo uvedené, domény Windows NT boliprvá forma adresárovej služby v ekosystéme spoločnosti Microsoft. Ako ste si mohli myslieť, prvýkrát sa objavili v systéme Windows NT už v roku 1993. Mali centralizovanú databázu, ktorá bola umiestnená na radiči domény, ktorý bol primárne zodpovedný za autentifikáciu používateľov. Databáza by sa mohla replikovať na niekoľko radičov domén kvôli redundancii a zabezpečiť, aby veľké siete s viacerými lokalitami mohli používateľov autentifikovať lokálne.
V systéme Windows 2000 spoločnosť Microsoft vydala program ActiveDirectory. Bolo to veľmi potrebné zlepšenie v porovnaní s tradičnými doménami používanými roky. Služba Active Directory poskytuje niekoľko rôznych služieb. V prvom rade sú to doménové služby. Toto je základný kameň sietí Windows. Ukladajú informácie o členoch domény vrátane zariadení a používateľov, overujú ich poverenia, autentifikujú ich a definujú ich prístupové práva.
Ďalšie dôležité služby Active Directoryzahŕňajú certifikačné služby, ktoré poskytujú infraštruktúru miestneho verejného kľúča. Môžu vytvárať, overovať a rušiť certifikáty verejného kľúča pre interné použitie v organizácii. Takéto certifikáty sa dajú použiť na šifrovanie súborov, e-mailov a sieťového prenosu. Medzi ďalšie služby poskytované službou Active Directory patria federačné služby, typ mechanizmu jednotného prihlásenia a služby správy práv.
Najlepšie nástroje služby Active Directory
Hlavnou charakteristikou služby Active Directory ježe je veľká a zložitá. A s touto zložitosťou prichádzajú administratívne bolesti hlavy. Tretie strany našťastie vyvinuli veľa nástrojov na riešenie niektorých administratívnych záťaží AD. Toto sú nástroje, ktoré sme preskúmali, a my vám predstavujeme niektoré z najlepších, ktoré sme našli. Tento zoznam nie je ani zďaleka rozsiahly, pretože existuje jednoducho príliš veľa nástrojov.
1. Monitor serverov a aplikácií SolarWinds (SKÚŠKA ZADARMO)
SolarWinds je známe, že robí to najlepšienástroje na správu siete a systému. Produkt SolarWinds sme predstavili nespočetne krát, keď sme napríklad preskúmali najlepšie nástroje na monitorovanie SNMP alebo najlepšie zberače a analyzátory NetFlow. SolarWinds je tiež známy svojimi bezplatnými nástrojmi, nástrojmi špecifickými pre danú úlohu zameranými na správcov.
Nie je preto žiadnym prekvapením, že Server SolarWinds & Monitor aplikácií je na našom zozname. A hoci jeho nenáročné meno nemusí viesť k tomu, aby si myslel, že ide o nástroj služby Active Directory, vďaka širokej škále funkcií je výborným nástrojom na monitorovanie a správu služby Active Directory.
Začnime tým, ako sa Monitor serverov a aplikácií SolarWinds môže pomôcť so správou AD. Po prvé, nástroj obsahuje monitorovanie radiča domény, ktorý monitoruje niekoľko prevádzkových parametrov. Povie vám, kedy je využitie CPU príliš vysoké, keď je užívateľský účet zablokovaný alebo keď nastane problém s prihlásením.
Softvér bude tiež monitorovať počítadlá objektov NTDS, čo pomáha znižovať zaťaženie servera. Okrem toho Monitor serverov a aplikácií SolarWinds vám poskytuje prehľad o niekoľkých štatistikách LDAP vrátane aktívnych vlákien LDAP, času viazania, relácií klienta a úspešných väzieb a vyhľadávaní za sekundu.
Na SolarWinds Monitor serverov a aplikácií môže posielať oznámenia, keď adresárové serverynepodarí sa replikovať, udalosť, ktorá môže zabrániť používateľom v prístupe k zložkám a súborom. Poskytuje tiež podrobnú štatistiku výkonu týkajúcu sa adresárových služieb, ako sú distribuovaný súborový systém, replikácia DFS, zasielanie správ medzi servermi, klient DNS, čas Windows, RPC, služby serverov a pracovných staníc a doménové služby Active Directory, aby sme vymenovali aspoň niektoré z najvýznamnejších ones.
Ako však naznačuje jeho názov, tento nástroj bude nielensledovať služby Active Directory, ale aj samotné servery a aplikácie, ktoré na nich bežia. Tento kompletný balík môže škálovať od najmenších sietí po veľké siete s viacerými lokalitami so stovkami fyzických a virtuálnych serverov. Rovnako dokáže monitorovať aj servery v cloudových prostrediach, ako sú servery Amazon Web Services a Microsoft Azure.
Na Monitor serverov a aplikácií SolarWinds bude spočiatku automaticky objavovať hostiteľov a zariadeniavo vašej sieti. Potom druhá detekčná kontrola zistí aplikácie bežiace na každom serveri. Keď bude tento nástroj funkčný, jeho intuitívne používateľské rozhranie bude sotva jednoduchšie. Napríklad kliknutím na Detail uzla zobrazíte informácie o výkone a zdravotnom stave uzla.
Ceny za Monitor serverov a aplikácií SolarWinds začína o niečo menej ako 2 995 dolárov a je k dispozícii bezplatná 30-dňová skúšobná verzia.
2. Spravujte bezplatné nástroje služby Active Directory
ManageEngine je ďalšie bežné meno medzi systémamia správcovia siete. Vďaka tomu je OpManager pravdepodobne jedným z najlepších nástrojov na monitorovanie IT infraštruktúry. A podobne ako SolarWinds, aj ManageEngine vyrába niekoľko skvelých bezplatných nástrojov. V skutočnosti majú viac ako pätnásť bezplatné nástroje služby Active Directory ktoré môžu pomôcť s monitorovaním a správouvaša AD infraštruktúra. Niektoré sú samostatné programy, zatiaľ čo iné sú Powershell cmdlets. Jedna skvelá vec na tejto súprave nástrojov je, že väčšina nástrojov je zoskupená do jedného balíka jedno stiahnutie, Pozrime sa, aké sú tieto nástroje najzaujímavejšie.
Na AD Query Tool vám umožňuje čítať všetky atribúty, ktoré mátepožadovať od služby Active Directory, napríklad meno používateľa, telefónne meno, adresu atď. Pomôcka môže tiež pomôcť pri vyhľadávaní objektov Active Directory Group a Computer.
Na Nástroj na generovanie CSV vygeneruje súbor CSV (kto by si myslel?), ktorá obsahuje vlastné pole atribútov služby Active Directory zadaných používateľom a ich príslušné hodnoty. Výsledný súbor sa môže použiť na hromadnú správu služby Active Directory.
Na Posledný prihlasovací vyhľadávač sa používa na uvedenie posledného času prihlásenia všetkých alebo vybratých používateľov vo všetkých vybratých radičoch domény v doméne. Zvyčajne sa používa na audítorské a čistiace činnosti.
Na Správca relácií terminálu je cmdlet spoločnosti Powershell, ktorý môžete použiť na identifikáciua spravovať viac terminálových relácií v doméne z jedného bodu. Vďaka tomu je možné spravovať, odpojovať alebo odhlasovať terminálové relácie pre viacerých používateľov v rámci domény.
Na Správca replikácie Active Directory umožňuje správcom vynútiť replikáciuúdaje v doméne alebo v celom lese. Umožňuje tiež replikáciu údajov medzi dvoma radičmi domén a obsahuje zoznam komplexných správ o poslednej replikácii.
Na Analyzátor portov DMZ umožňuje správcom skontrolovať stav portov požadovaných akoukoľvek aplikáciou tretej strany, aby mohli pracovať s Active Directory. Môže sa použiť na otvorenie príslušných portov na bránach firewall.
Na Reportér úloh radiča domény uvádza všetky radiče domény a ich príslušné úlohy v doméne. Môže pomôcť správcom identifikovať akúkoľvek pridruženú úlohu radiča domény.
Na Miestny správca používateľov pomáha správcom spravovať používateľské účty v doméne. Poskytuje informácie o miestnych používateľských kontách a tiež umožňuje správu týchto účtov pomocou pohodlného používateľského rozhrania.
Na Nástroj na sledovanie radiča domény je jednoduchý nástroj, ktorý automaticky zisťuje doménya zobrazí ich. Ukáže rôzne parametre radičov domény, ako je využitie CPU, využitie disku a využitie pamäte. Môžete tiež zobraziť ďalšie parametre, ako napríklad Čítanie stránok za sekundu, Zápisy stránok za sekundu, Čítanie súborov, Zápisy súborov atď.
Na Správca politiky hesiel umožňuje každému používateľovi načítať a zobraziť pravidlá pre heslá v doméne. Umožňuje tiež používateľom s právami správcu upravovať politiku hesla domény.
Ako už názov napovedá, Prázdny nástroj na správu používateľov hesiel sa používa na nájdenie používateľských účtov s poliami s heslom nastavenými na null, čo pomáha správcom vyhnúť sa problémom súvisiacim s bezpečnosťou.
Na Vyhľadávač duplikátov služby Active Directory je utilita Powershell, ktorá umožňuje správcomidentifikovať duplicitné položky pre atribúty služby Active Directory v doméne. Duplicitné záznamy sú vhodne uvedené, čo pomáha správcom zabezpečiť duplikátnu službu Active Directory.
Na Reporter DNS vám pomôže získať informácie týkajúce sa vášhosieťová infraštruktúra DNS. Jednoducho zadaním názvu domény môže zobraziť podrobnosti o dostupných DNS záznamoch, ich zodpovedajúcich typoch záznamov, IP adresách a podrobnostiach služby.
Na Správa účtov služieb je navrhnutý tak, aby vám pomohol ľahko vytvoriť, upraviť a odstrániť účty spravovaných služieb iba niekoľkými kliknutiami. Tento nástroj nevyžaduje žiadne znalosti PowerShell, zvyčajného nástroja používaného na splnenie týchto úloh.
Na Správa o slabých heslách pomáha nájsť slabé heslá vporovnanie hesiel používateľov so zoznamom viac ako 100 000 bežne používaných slabých hesiel. Potom môžete prinútiť používateľov so slabými heslami, aby si pri najbližšom prihlásení zmenili svoje heslo.
3. Enow Compass
kompas od spoločnosti ENow Software vám pomôže identifikovať skryté problémy vo vašom prostredí skôr, ako bude ohrozené. Umožňuje sledovanie siete Active Directory a všetkých radičov domén v reálnom čase. kompas môžete zabezpečiť, aby bola vaša služba Active Directory zdravámonitorovanie replikácie DFS / FRS Nájdete tu aj problémy s prekladom názvov DNS a pomôže vyriešiť problémové aplikácie, ktoré vám pomôžu udržať hladký chod vašej AD.
kompas má viac ako 50 správ, ktoré zahŕňajú audit agentúrySkupina správcov domén, identifikácia a odstránenie neaktívnych používateľských účtov a identifikácia rolí FSMO. Tento nástroj sa rýchlo inštaluje a ľahko sa používa. Obsahuje intuitívny a ľahko použiteľný ovládací panel, ktorý pomáha identifikovať problémy skôr, ako sa stanú výpadkami.
Podrobné informácie o cenách pre kompas je možné získať kontaktovaním predaja spoločnosti Enow a získať bezplatnú 14-dňovú skúšobnú verziu.
4. Anturis Active Directory Monitor
Polovica práce so správou služby Active Directory spočíva v zabezpečení hladkého fungovania všetkých služieb Monitor Active Directory od Anturis je všetko o. Tento nástroj vás môže upozorniť na neobvyklé situácie prostredníctvom e-mailov, správ SMS alebo hlasových hovorov. Môžete tiež použiť Monitor Active Directory vytvoriť základné výkonnostné parametre pre vašeServery Active Directory a štruktúra replikácie umožňujú rozpoznávať trendy výkonnosti a pomáhajú znižovať riziko prekážok skôr, ako majú negatívny vplyv na výkonnosť vašej AD.
Na Monitor Active Directory zobrazí relácie servera a LDAP a nastaví savýstražné prahy. Ukáže vám tiež autentifikácie Kerberos a NTLM za sekundu, čo vám poskytne predstavu o všeobecnom zaťažení servera. A keďže je replikácia jedným z najdôležitejších aspektov služby Active Directory, monitorujú sa aj metriky výkonnosti replikácie, ako je stav replikácie, synchronizácie čakajúce na vykonanie replikácie DRA a operácie čakajúce na replikáciu DRA.
Monitor Active Directory je služba typu cloud a niekoľko predplatnýchplány sú k dispozícii za ceny v rozmedzí od 10 dolárov / mesiac pre 10 monitorov do 650 dolárov / mesiac pre 1 000 monitorov. K dispozícii je aj bezplatná verzia, ale je obmedzená na 5 monitorov. Všetky platené programy však majú 30-dňovú bezplatnú skúšobnú verziu.
5. Quest Active Administrator
Las na našom zozname je pátranie Aktívny správca, Toto je kompletný a integrovaný ActiveSoftvérové riešenie pre správu adresárov. Prekonáva medzery, ktoré zanechávajú nástroje spoločnosti Microsoft. Tieto nástroje uľahčia a zrýchlia splnenie požiadaviek auditu a bezpečnostných potrieb. Má vlastnosti, ktoré sa zaoberajú mnohými najdôležitejšími oblasťami správy AD.
Medzi hlavné funkcie tohto nástroja patrí AktívneAdministrátor ponúka integrovanú, proaktívnu správu. Má tiež intuitívne hlásenie a varovanie, ktoré vám umožňuje rýchlo monitorovať a vykazovať zmeny pomocou filtrovania typu udalosti, používateľa a dátumu, ako aj aktivity prihlásenia a blokovania používateľov. Môžete tiež nastaviť upozornenia na udalosti a automatizovať akcie založené na upozorneniach.
Cena pre aktívneho správcu je povolenápoužívateľského účtu vo vašom AD a začína na 16,37 dolárov za trvalú licenciu s ročnou podporou. Musí sa zakúpiť minimálna licencia pre 20 používateľských účtov. Môžete si stiahnuť bezplatnú 30-dňovú skúšobnú verziu.
Komentáre