- - Úvod do domén a lesov v službe Active Directory - Najlepšie nástroje služby Active Directory

Úvod do domén a lesov v službe Active Directory - Najlepšie nástroje služby Active Directory

Už od svojho založenia, takmer presne pred 20 rokmi zavedením systému Windows 2000 Server Edition vo februári 1999, Aktívny adresár bol kľúčovou súčasťou ekosystému servera spoločnosti Microsoft, Jeho primárnym účelom je uchovávanie informáciío sieťových zdrojoch. Počítačové siete môžu byť dosť komplikované. Preto je služba Active Directory tiež komplikovaná, a preto je naším dnešným hlavným cieľom poskytnúť vám úvod do domén a domén služby Active Directory.

Nemáme v úmysle urobiť z vás službu Active Directoryodborníci, ale našou nádejou je objasniť túto komplikovanú tému. Vzhľadom na pomerne vysokú úroveň zložitosti technológie nie je žiadnym prekvapením, že bolo vytvorených niekoľko nástrojov tretích strán na monitorovanie a / alebo správu rôznych aspektov služby Active Directory. Pozrime sa teda, čo pre vás môžu niektorí urobiť.

Takto plánujeme našu cestu dojadro služby Active Directory: Začneme odstraňovaním nejasností s konceptom domény. Je to kľúčový prvok AD, ale aj kľúčový prvok internetu, a napriek tomu sú to dva úplne odlišné typy domén, ktoré by sa nemali zamieňať. Potom predstavíme službu Active Directory, čo to je a odkiaľ pochádza. Ďalej budeme diskutovať o AD doménach a stromoch, ktoré používame na znázornenie ich štruktúry. V prírode sa skupina stromov nazýva les. To isté platí v službe Active Directory, ako uvidíme ďalej. Správa a monitorovanie služby Active Directory bude našou ďalšou oblasťou podnikania a na záver preskúmame niektoré z najlepších nástrojov na monitorovanie a správu služby Active Directory.

Ako sa vyhnúť doméne - čo je doména?

Doména môže byť veľa vecí v závislosti od toho, čopole, v ktorom sa nachádzate. Dokonca aj v rámci informačných technológií sa termín doména používa na dve veľmi odlišné veci. Prvým typom domény, ktorý pozná väčšina používateľov počítačov - dokonca aj tí, ktorí nie sú počítačovými vedcami - je internetová doména. Je to skupina internetových zdrojov patriacich konkrétnej organizácii. Názvy domén sa používajú na prístup k rôznym zdrojom pomocou užívateľsky príjemných (er) mien namiesto kryptických IP adries. Napríklad addictivetips.com je názov domény tejto webovej stránky. Microsoft.com je ďalšie známe doménové meno a som si istý, že dokážete ľahko vymyslieť desiatky ďalších.

Ďalšie miesto, kde je pojem doména široko rozšírenýpoužitý súvisí so službou Active Directory. Doména Active Directory je skupina zdrojov (všimnite si podobnosť s predchádzajúcimi doménami?), Na ktorú sa vzťahuje jediná autentifikačná databáza. Čoskoro podrobnejšie opíšeme domény AD. V súčasnosti je kľúčové pochopiť, že ten istý pojem sa používa na definovanie dvoch úplne nesúvisiacich konceptov a že je dôležité ich nemiešať, pretože určite nie sú to isté.

Active Directory v skratke

O prvej otázke sa ľudia všeobecne pýtajúActive Directory je: Čo to je, presne? Odpoveď je jednoduchá, je to implementácia adresárovej služby LDAP spoločnosťou Microsoft. Aj keď je táto odpoveď absolútne presná, je pravdepodobne zbytočná a vyvoláva viac otázok ako odpovedí.

Poďme vykopať. Po prvé, adresárová služba v kontexte počítačových sietí je databáza, ktorá obsahuje informácie o každej súčasti siete. Komponenty znamenajú každý počítač a server, ale aj každého používateľa alebo skupinu používateľov alebo každý adresár. Môžete si to predstaviť ako telefónny zoznam. Každý prostriedok, ktorý potrebuje nájsť iný prostriedok, vyhľadá ho v adresári.

Pokiaľ ide o časť našej pôvodnej odpovede týkajúcej sa protokolu LDAP, jeskratka pre Lightweight Directory Access Protocol. Jednoducho povedané, LDAP definuje, ako sa informácie o zdrojoch ukladajú do databázy a ako sa k týmto informáciám dá získať prístup. Je to priemyselný protokol zdieľaný niekoľkými predajcami, čo však, žiaľ, neznamená, že rôzne implementácie sú interoperabilné.

Štruktúra služby Active Directory je hierarchickáorganizácia objektov. Existujú tri hlavné kategórie objektov: prostriedky (napríklad počítače alebo tlačiarne), služby (napríklad e-mail) a používatelia (používateľské účty a skupiny používateľov). Služba Active Directory poskytuje informácie o objektoch, organizuje ich a riadi ich prístup a zabezpečenie. Pre všetky účely je to databáza záznamov, pričom každá položka má názov a množinu atribútov. Každý atribút má názov, typ a jednu alebo viac hodnôt. Atribúty sú definované v schéme databázy.

Môžete myslieť na hierarchickú štruktúruDatabáza Active Directory ako súborový systém. A rovnako ako súborový systém obsahuje kontajnery (nazývané adresáre alebo priečinky), AD ich tiež obsahuje. Nazývajú sa organizačné jednotky (OU) a pomáhajú pri zoskupovaní súvisiacich vecí. Správcovia systému môžu vytvárať organizačné jednotky podľa svojho uváženia a nie je napríklad neobvyklé napríklad vidieť individuálne organizačné jednotky pre jednotlivé oddelenia organizácie.

Domény služby Active Directory

Teraz, keď sme všetci na tej istej stránkeActive Directory je, poďme sa pozrieť na domény. Je zaujímavé, že domény predchádzajú Active Directory o niekoľko rokov. Ešte predtým, ako spoločnosť Microsoft vydala svoju vlastnú adresárovú službu LDAP v roku 1999, domény existovali už od prvých dní Windows NT. V typickej sieti serverov Windows je najmenej jeden z nich - a často dva alebo viac - nakonfigurovaný ako radiče domény. Sú to servery, ktoré hosťujú databázu domén, čím autentifikujú používateľov a kontrolujú prístup k zdrojom. Informácie, ktoré uchovávajú, sa medzi sebou replikujú. A v neposlednom rade objekty v doméne usporiadané hierarchicky.

Stromy a les

Na opis sa často používa stromová analógiahierarchické štruktúry, ako je doména. Ale s Active Directory sa Microsoft rozhodol posunúť túto analógiu o krok ďalej a nazýva hierarchickú štruktúru domén stromom. Pamätajte, že doména je skupina zdrojov pod kontrolou jednej databázy, ale strom môže byť z rôznych dôvodov zložený z niekoľkých domén. Je to niečo, čo sa skutočne vyskytuje vo väčších organizáciách a nie je vôbec neobvyklé vidieť jednu doménu pre každú divíziu veľkej spoločnosti. A pre väčšie organizácie môžu byť stromy zoskupené do lesov. Je to najvyšší prvok v službe Active Directory a všetko ostatné z neho pochádza.

Stromy a lesy v službe Active Directory

Správa a monitorovanie služby Active Directory

Monitorovanie je všetko! Ak ste správcami siete alebo systému, pravdepodobne ste túto frázu počuli nespočetne krát. A viete čo? Je to všetko! Monitorovanie je jedným z najlepších spôsobov, ako zostať na špičke. Existujú rôzne typy monitorovacích nástrojov, ktoré vám umožnia získať presne ten typ metrík, ktoré sledujete. Napríklad sledovanie šírky pásma bude informovať o používaní rôznych segmentov siete, pri monitorovaní CPU sa zobrazia ukazovatele CPU vašich serverov. Možno monitorovať väčšinu prevádzkových metrík systémov a sietí. Hlavnou výhodou používania monitorovacích nástrojov je to, že sú väčšinou automatické. Nemusíte ich neustále sledovať. Vždy, keď je niečo neobvyklé, vaše monitorovacie nástroje vás upozornia.

V prípade služby Active Directory niekoľkoparametre je možné monitorovať. Napríklad radiče domény - servery, v ktorých je uložená databáza domény - by sa mohli monitorovať z hľadiska odpovede a výkonu. Zmeny prístupových práv by sa mohli do určitej miery monitorovať. Prihlasovania - najmä tie, ktoré zlyhali - sú ďalším parametrom, ktorý stojí za to sledovať, pretože by to mohol byť znakom škodlivej činnosti.

Správa Active Directory je niečo iné. Spoločnosť Microsoft poskytuje niekoľko nástrojov na správu služby Active Directory. Umožnia vám vytvárať objekty, prideľovať práva a spravidla vykonávať väčšinu každodenných aktivít súvisiacich so správou AD. Niektoré z týchto nástrojov sa však môžu ukázať ako dosť ťažkopádne alebo nepraktické a viacerí dodávatelia sa zvýšili, aby ponúkli rôzne nástroje na správu služby Active Directory, vďaka ktorým môže byť správa služby Active Directory oveľa jednoduchšia.

Najlepšie AD nástroje

Skúmali sme trh pre niektoré z najlepšíchNástroje Active Directory. Dnes pre vás máme kombináciu monitorovacích nástrojov (niektoré špecifické pre AD a niektoré všeobecné) a nástroje pre správu. Všetci vám môžu pomôcť - a to bolo jedno z našich hlavných kritérií zaradenia - pri každodenných úlohách týkajúcich sa služby Active Directory. Niektoré sú orientované na bezpečnosť, zatiaľ čo iné sú zamerané na výkon.

1- Správca prístupových práv SolarWinds (SKÚŠKA ZADARMO)

SolarWinds je jedným z najlepších vydavateľov softvéru pre správu sietí a systémov. Jeho vlajková loď sa nazýva Monitor výkonu siete stále patrí medzi špičkové sietemonitorovacie systémy šírky pásma. Okrem toho je spoločnosť známa aj svojím softvérom zadarmo. Hovoríme o menších nástrojoch, z ktorých každý rieši špecifickú potrebu správcov siete. Dva skvelé príklady týchto bezplatných nástrojov sú Pokročilá kalkulačka podsiete a Server kiwi Syslog.

Napriek trochu zavádzajúcemu názvu, ktorý by vás mohol viesť k domnienke, že sa týka iba povolení objektov, Správca prístupových práv SolarWinds je primárne zameraný na poskytovanie služieb používateľoma unprovisioning, tracking and monitoring easy. Ponúka tiež výkonný a ľahký spôsob riadenia a monitorovania oprávnení používateľov, aby ste sa uistili, že sa neudeľujú zbytočné povolenia.

Screenshot aplikácie SolarWinds Access Rights Manager

  • SKÚŠKA ZADARMO: Správca prístupových práv SolarWinds
  • Odkaz na stiahnutie: https://www.solarwinds.com/access-rights-manager/registration

Jednou z najväčších síl tohto produktu jejeho intuitívny ovládací panel pre správu používateľov, ktorý môžete použiť na vytvorenie, úpravu, odstránenie, aktiváciu a deaktiváciu prístupov používateľov k rôznym súborom a priečinkom. Obsahuje šablóny špecifické pre jednotlivé role, ktoré používateľom môžu ľahko poskytnúť prístup k špecifickým zdrojom vo vašej sieti.

Tiež veľmi zaujímavé a celkom jedinečné sú Správca prístupových práv SolarWindsFunkcie prehľadov. Softvér môže vytvárať správy, ktoré sa môžu použiť ako dôkaz v prípade sporov alebo prípadných sporov. K dispozícii sú aj podrobné správy na účely auditu a súladu so špecifikáciami stanovenými regulačnými normami, ktoré sa vzťahujú na vaše podnikanie. Prehľady je možné rýchlo a ľahko vytvárať pomocou niekoľkých kliknutí. Môžu obsahovať akékoľvek informácie, ktoré považujete za užitočné. Napríklad protokolové činnosti v prístupoch k Active Directory a súborovým serverom by mohli byť zahrnuté do správy. Je na užívateľovi, aby ich urobil tak zhrnutým alebo podrobným, ako je potrebné.

K útokom alebo únikom údajov často dochádza, keďk priečinkom a / alebo ich obsahu majú prístup používatelia, ktorí na ne nemajú alebo by nemali mať oprávnenie na prístup k nim, čo je bežná situácia, keď sa používateľom udeľuje široký prístup k zložkám alebo súborom. Správca prístupových práv SolarWinds vám môžu pomôcť zabrániť takýmto únikom aneautorizované zmeny dôverných údajov a súborov. Poskytuje správcom vizuálnu reprezentáciu povolení pre viac súborových serverov a ľahko a vizuálne umožňuje človeku zistiť, kto má povolenie na aký súbor.

Ceny za Správca prístupových práv SolarWinds je založený na počte aktivovaných používateľov v rámci služby Active Directory. v SolarWinds ak je aktívny užívateľ aktívnypoužívateľský účet alebo účet služby. Ceny za produkt začínajú na 2 995 dolároch až pre 100 aktívnych používateľov. Pre viac používateľov (do 10 000) je možné podrobné ceny získať kontaktovaním predaja spoločnosti SolarWinds. Ak chcete tento nástroj pred zakúpením otestovať, môžete získať bezplatnú 30-dňovú skúšobnú verziu.

2- Monitor serverov a aplikácií SolarWinds (SKÚŠKA ZADARMO)

Na Monitor serverov a aplikácií SolarWinds bol navrhnutý tak, aby pomohol správcom monitorovaťservery, ich prevádzkové parametre, ich procesy a aplikácie, ktoré na nich bežia. Je to jeden z najlepších nástrojov, pomocou ktorých môžete monitorovať svoje doménové radiče Active Directory a kritické služby, ktoré musia byť spustené. Tento nástroj však bude sledovať aj všetky alebo všetky vaše servery. Môže sa ľahko škálovať od najmenších sietí po veľké so stovkami serverov - fyzických aj virtuálnych - rozmiestnených na viacerých serveroch.

Informačný panel monitora serverov a aplikácií SolarWinds

  • SKÚŠKA ZADARMO: Monitor serverov a aplikácií SolarWinds
  • Odkaz na stiahnutie: https://www.solarwinds.com/server-application-monitor/registration

Monitorovanie výkonnosti služby Active Directory, ktoré ponúka internet Monitor serverov a aplikácií SolarWinds vám poskytuje prehľad o problémoch služby Active Directoryktoré sa týkajú používateľského účtu, ako je napríklad vytvorenie účtu, pokus o zmenu hesla a reset, zakázané alebo odstránené používateľské účty. Poskytne tiež informácie o zmenách doménových a systémových politík a obnove údajov, rovnako ako poskytuje prehľad o nastaveniach brány firewall a ďalších systémových zmenách a aktuálne spustených službách. Tento nástroj tiež umožňuje monitorovanie relácií LDAP. S počtom pripojených klientov ovplyvňujúcich zaťaženie servera bude nástroj monitorovať počítadlá objektov NTDS, aby zabránil preťaženiu servera pripojenému ku konkrétnej relácii LDAP. Okrem toho môže softvér poskytnúť prehľad o pokročilých štatistikách, ako sú aktívne vlákna LDAP, čas väzby, relácie klienta, úspešné väzby / s a ​​vyhľadávania / s.

Počiatočná konfigurácia produktu je rýchlaa ľahko sa vykoná pomocou dvojpriechodového automatického vyhľadávacieho procesu. Prvý priechod objaví každý server a druhý nájde aplikácie na každom objavenom serveri. Aj keď tento proces môže nejaký čas trvať, môže sa urýchliť poskytnutím zoznamu konkrétnych aplikácií, ktoré je potrebné vyhľadať. Akonáhle je nástroj spustený, užívateľsky prívetivé GUI ho robí hračkou. Prístrojová doska nástroja sa dá prispôsobiť a umožní vám zobraziť informácie buď v tabuľke alebo v grafickom formáte.

Cena za Monitor serverov a aplikácií SolarWinds začína na 2 995 $ a vychádza z počtu monitorovaných komponentov, uzlov a zväzkov. Ak si chcete produkt vyskúšať pred jeho zakúpením, je vám k dispozícii bezplatná 30-dňová skúšobná verzia.

3- Zadarmo AD nástroje od ManageEngine

ManageEngine je ďalšie známe meno so správcami systému a siete. jeho ManageEngine OpManager balík patrí medzi špičkové IT infraštruktúrymonitorovacie nástroje. Rovnako ako niektorí z jej konkurentov, aj spoločnosť ManageEngine vyrába skvelé bezplatné nástroje. Pokiaľ ide o službu Active Directory, spoločnosť ponúka najmenej pätnásť bezplatných nástrojov, ktoré vám môžu pomôcť s monitorovaním a správou vašej AD infraštruktúry. Existuje kombinácia samostatných programov a rutín Powershell. Väčšina nástrojov je zoskupená do jedného stiahnutia, takže ich získanie by nemalo byť problémom. Pozrime sa, aké sú niektoré z najzaujímavejších z týchto nástrojov.

  • AD Query Tool, ako už názov napovedá, vám umožňuje prečítať všetky údaje atribútov, ktoré potrebujete z adresára Active Directory
  • Posledný prihlasovací vyhľadávač sa používa na uvedenie posledného času prihlásenia všetkých alebo vybraných používateľov vo všetkých vybratých radičoch domény v doméne. Zvyčajne sa používa na audítorské a čistiace činnosti.
  • Správca replikácie Active Directory umožňuje správcom replikáciu údajov v doméne a poskytuje komplexné správy o poslednej replikácii.
  • Reportér úloh radiča domény uvádza všetky radiče domény a ich príslušné úlohy v doméne.
  • Nástroj na sledovanie radiča domény je jednoduchý, ale výkonný nástroj. Automaticky objaví domény a zobrazí ich, pričom zobrazí dôležité parametre radičov domény, ako je využitie CPU, využitie disku a využitie pamäte.

ManageEngine Active Directory DC Monitorovací nástroj

  • Správca politiky hesiel umožňuje jednému načítať a zobraziť a upraviť pravidlá pre heslá v doméne (za predpokladu, že majú príslušné práva).
  • Vyhľadávač duplikátov služby Active Directory je utilita Powershell, ktorá umožňuje správcom identifikovať duplicitné položky pre atribúty služby Active Directory v doméne.
  • Správa účtov služieb je navrhnutý tak, aby vám pomohol ľahko vytvoriť, upraviť a odstrániť účty spravovaných služieb iba niekoľkými kliknutiami.
  • Správa o slabých heslách Pomáha nájsť slabé heslá v službe Active Directory porovnaním hesiel používateľov so zoznamom viac ako 100 000 bežne používaných slabých hesiel.

Toto sú len niektoré z mnohých bezplatných služieb Nástroje Active Directory poskytol ManageEngine. Aj keď použitie samostatných nástrojov pre každú jednotlivú úlohu pravdepodobne nie je také praktické ako používanie integrovaného nástroja so všetkými zabudovanými funkciami, cena týchto nástrojov je ťažko prekonateľná a určite by z nich mohla stáť možnosť zváženia.

4- Aktívny správca

Posledný na našom zozname je Aktívny správca z Quest softvér, teraz súčasť Dell, Toto je kompletný a integrovaný ActiveSoftvérové ​​riešenie pre správu adresárov. Prekonáva medzery, ktoré zanechávajú niektoré nástroje spoločnosti Microsoft. Toto je druh nástroja, ktorý môže uľahčiť a rýchlejšie splniť bezpečnostné aj audítorské požiadavky. Má vlastnosti, ktoré sa zaoberajú mnohými najdôležitejšími oblasťami správy AD.

Screenshot Active Administrator Screenshot

Medzi hlavné funkcie nástroja patrí: Aktívny správca ponúka integrovanú, proaktívnu správu. Je to tiež veľmi účinný monitorovací nástroj, ktorý má intuitívne oznamovanie a varovanie, čo vám umožní rýchlo objaviť zmeny a hlásiť sa o nich pomocou filtrovania podľa typu udalosti, používateľa a dátumu, ako aj aktivity prihlásenia a blokovania používateľov. Môžete tiež nastaviť upozornenia na udalosti a automaticky spustiť akcie založené na upozorneniach.

Ceny za Aktívny správca je za povolený používateľský účet vo vašom aktívnomAdresár a začína sa na 16,37 dolárov za trvalú licenciu s ročnou podporou. Musí sa zakúpiť minimálna licencia pre 20 používateľských účtov. Môžete si stiahnuť bezplatnú 30-dňovú skúšobnú verziu.

Komentáre