Active Directory eller AD som det ofta kallastill, är Microsofts egen version av en LDAP-katalogtjänst. Det har funnits sedan Windows-server 2000 och ersatt Windows-servrarnas dåvarande domänhanteringsfunktioner. Det är en oerhört komplex tjänst som tar hand om autentisering av användare och utrustning, identifierar deras plats och hanterar åtkomsträttigheter. Eftersom det är så komplicerat är det ingen överraskning att flera utvecklare har försökt att skapa verktyg som underlättar smärtan med att hantera Active Directory. Idag tar vi med dig några av de bästa Active Directory-verktygen som finns på Internet.
Vi kommer först att ha en allmän diskussion omkatalogtjänster, vad de är, deras syfte och användbarhet och ger dig några exempel på dem. Därefter talar vi om LDAP och X.500, två standardiserade protokoll relaterade till katalogtjänster. Sedan pratar vi kort om utvecklingen av Microsofts katalogtjänster. Detta kommer att ta oss till kärnan i vår fråga, de bästa Active Directory-verktygen vi kunde hitta. Vi kommer att ge dig en kort genomgång av var och en.
Katalogtjänster, vad de är
Wikipedia definierar en katalogtjänst som "en kartläggning mellan namnen på resurser i ett nätverk och deras respektive nätverksadresser.”Och i sin enklaste form är detta verkligen alltär. Så, kan du fråga, är Domain Name System (DNS) en katalogtjänst? Svaret är ett rungande JA! Men om det är så enkelt, varför är Active Directory så komplicerat?
Active Directory, precis som de flesta moderna katalogertjänster implementerar mycket mer funktionalitet än att bara mappa namn på adresser. De är kärnan i nätverkets säkerhet och kommer att innehålla detaljerad information om användare (användarkonton) och resurser och är också i centrum för åtkomstkontrollmekanismerna i de flesta nätverk. Den moderna katalogtjänsten är en databas där det mesta av informationen om ett nätverk, dess resurser och användare lagras.
En katalogtjänst är en hierarkisk databas överobjekt, var och en representerar en annan enhet. Vissa objekt representerar användare, andra representerar datorer eller andra tillgängliga resurser som nätverksdelningar. Andra föremål är behållare för föremål. Den hierarkiska strukturen gör det lättare att hitta ett enda objekt och möjliggör enkel behörighetshantering där objekt kan ärva behörigheter från deras överordnade.
Vårt mål är inte att göra dig till en katalogtjänstexpert, men snarare för att ge dig tillräckligt med bakgrundsinformation för att bättre förstå vad Active Directory är och var den kommer ifrån. Låt oss titta på några verkliga exempel på tidigare och nuvarande katalogtjänster du kan ha stött på.
Några exempel
DNS är en av de allra första katalogtjänsterna. Det går tillbaka till början av åttiotalet. Det hade - och har fortfarande - ett enda primärt syfte: att översätta värdnamn till IP-adresser. Det är fortfarande i utbredd användning idag och det är en av grunden till Internet.
De Nätverksinformationstjänst, eller NIS, var Sun Microsystems egen implementering av en namntjänst som liknar DNS för dess Unix-ekosystem.
Novell Directory Sjänster—Later kallade eDirectory—Var katalogtjänsten för Novell Netwarenätverk. Något liknande det som Active Directory är idag, det var ett alltomfattande system som inte bara används för namnupplösning utan också för autentisering och åtkomstkontroll.
NetInfo utvecklades av NEXT och, när Apple förvärvade företaget, blev Mac OS: s katalogtjänst innan den ersattes av Opendirectory.
Till sist, NT-domäner är ett annat exempel på en katalogtjänst. De är förfäderna till Active Directory. NT-domäner användes främst för åtkomstkontroll och autentiseringsändamål.
X.500 och LDAP, två katalogtjänststandarder
Under informationsåldern är interoperabilitet viktigare än någonsin vilket får standarder att dyka upp på alla områden. Katalogtjänster är inte olika. Det finns två primära standarder, LDAP och X.500
X.500-standarden, eller mer exakt X.500 serier av standarder är en grupp specifikationer från ITU-T som täcker flera aspekter av elektroniska katalogtjänster. De första iterationerna går tillbaka till 1988 men X.500 är fortfarande i utbredd användning idag.
Ett av målen med en uppsättning standardprotokollsom föreslagits av X.500 är att säkerställa interoperabilitet och låta system från olika leverantörer interagera. X.500 är faktiskt en uppsättning av nio individuella protokoll
Protokollet för åtkomst av lätt viktiga kataloger, ellerLDAP, är ett öppet, leverantörsneutral, industristandard applikationsprotokoll för åtkomst och underhåll av distribuerade kataloginformationstjänster via ett IP-nätverk. Idag är de flesta implementeringar av katalogtjänster, inklusive Microsofts Active Directory LDAP-kompatibla.
LDAP var ursprungligen avsett som en lättviktalternativt protokoll för åtkomst till X.500-katalogtjänster genom den enklare TCP / IP-protokollstacken. Som sådan är X.500 och LDAP inte ömsesidigt exklusiva och kompletterar istället. Till exempel anger LDAP-specifikationen att strukturen i katalogtjänstens databas måste vara X.500-kompatibel.
LDAP-klienter kan inte bara läsa attributen förobjekt i en katalogtjänstdatabas, de kan också ändra dem. Detta innebär naturligtvis att LDAP är säkert och erbjuder en autentiseringsmekanism för att skydda mot obehöriga ändringar.
Från NT-domän till aktiv katalog
Som tidigare nämnts var Windows NT-domänerförsta formen av katalogtjänst i Microsofts ekosystem. Som ni kunde gissa visade de sig först med Windows NT, redan 1993. De hade en centraliserad databas som låg på en domänkontrollant som huvudsakligen var ansvarig för användarautentisering. Databasen kan replikeras på flera domänkontrollanter för redundans och för att säkerställa att stora nätverk med flera platser kan autentisera användare lokalt.
Med Windows 2000 släppte Microsoft ActiveDirectory. Det var en efterfrågad förbättring jämfört med de traditionella domänerna som hade använts i flera år. Active Directory tillhandahåller flera olika tjänster. Först och främst är domäntjänsterna. Dessa är hörnstenen i Windows-nätverk. De lagrar information om medlemmar i domänen, inklusive enheter och användare, verifierar deras referenser, autentiserar dem och definierar deras åtkomsträttigheter.
Andra viktiga tjänster från Active Directoryinkludera certifikattjänster som tillhandahåller en lokal infrastruktur för offentlig nyckel. De kan skapa, validera och återkalla certifikat för offentliga nycklar för internt bruk i en organisation. Sådana certifikat kan användas för att kryptera filer, e-postmeddelanden och nätverkstrafik. Andra tjänster som tillhandahålls av Active Directory inkluderar federationstjänster, en typ av enkelinloggningsmekanism och rättighetshanteringstjänster.
De bästa Active Directory-verktygen
Huvudkarakteristiken för Active Directory äratt den är stor och komplex. Och med denna komplexitet kommer administrationens huvudvärk. Lyckligtvis har många verktyg utvecklats av tredje parter för att hantera några av AD-administrationens bördor. Det är de verktyg vi har undersökt och vi presenterar något av det bästa vi kunde hitta. Denna lista är långt ifrån omfattande eftersom det helt enkelt finns för många verktyg där ute.
1. SolarWinds Server & Application Monitor (GRATIS prövning)
SolarWinds är känt för att göra några av de allra bästanätverks- och systemadministrationsverktyg. Vi har presenterat SolarWinds-produkt otaliga gånger när vi till exempel har granskat de bästa SNMP-övervakningsverktygen eller de bästa NetFlow-samlarna och analysatorerna. SolarWinds är också känt för sina gratisverktyg, arbetsspecifika verktyg riktade till administratörer.
Det är därför ingen överraskning att SolarWinds Server & Applikationsmonitor finns på vår lista. Och även om dess oöverträffade namn kanske inte får någon att tro att detta är ett Active Directory-verktyg, gör dess breda utbud av funktioner det till ett utmärkt verktyg för övervakning och hantering av Active Directory.
Låt oss börja med att titta på hur SolarWinds Server & Application Monitor kan hjälpa till med AD-hantering. Först har verktyget domänkontrollövervakning som övervakar flera operativa parametrar. Det kommer att berätta när CPU-användningen blir för hög, när ett användarkonto är låst eller när det finns ett inloggningsproblem.
Programvaran övervakar också NTDS-objekträknare, vilket hjälper till att minska serveröverbelastningen. Dessutom SolarWinds Server och Application Monitor ger dig inblick i flera LDAP-statistik inklusive LDAP-aktiva trådar, bindningstid, klientsessioner och framgångsrika bindningar och sökningar per sekund.
De Solarwinds Server & Application Monitor kan skicka aviseringar när katalogservermisslyckas med att kopiera, en händelse som kan hindra användare från att komma åt mappar och filer. Den tillhandahåller också detaljerad prestationsstatistik relaterad till katalogtjänster som distribuerat filsystem, DFS-replikering, intersite-meddelanden, DNS-klient, Windows-tid, RPC, server- och arbetsstationstjänster och Active Directory-domäntjänster, bara för att nämna några av de viktigaste sådana.
Men som namnet antyder kommer detta verktyg inte baraövervaka Active Directory-tjänster men också själva servrarna och de applikationer som körs på dem. Detta kompletta paket kan skala från de minsta nätverken till stora nätverk med flera platser med hundratals fysiska och virtuella servrar. Och det kan också övervaka servrar i molnmiljöer som de från Amazon Web Services och Microsoft Azure.
De SolarWinds Server & Application monitor kommer initialt att automatiskt upptäcka värdar och enheter påditt nätverk. Sedan kommer en andra upptäcktscanning att upptäcka program som körs på varje server. När det väl är igång kan det knappast vara lättare att använda det här verktyget tack vare det intuitiva användargränssnittet. Om du t.ex. klickar på noddetalj visas nodens prestanda och hälsoinformation.
Prissättning för SolarWinds Server och Application Monitor börjar på strax under $ 2 995 och en gratis 30-dagars provversion är tillgänglig för nedladdning.
2. ManageEngine Active Directory Free Tools
ManageEngine är ett annat vanligt namn bland systemetoch nätverksadministratörer. Det gör OpManager, utan tvekan till ett av de bästa övervakningsverktygen för IT-infrastruktur. Och precis som SolarWinds, gör ManageEngine också några fantastiska gratisverktyg. De har faktiskt mer än femton gratis Active Directory-verktyg som kan hjälpa till med övervakning och administreringdin AD-infrastruktur. Vissa är fristående program medan andra är Powershell cmdlets. En bra sak med den här verktygssatsen är att de flesta av verktygen ingår i ett enda nedladdning. Låt oss se vad de mest intressanta av dessa verktyg är.
De AD Query Tool låter dig läsa alla attributdata som dukräva från Active Directory som ett användarobjekt förnamn, efternamn telefon, adress och så vidare. Verktyget kan också hjälpa till att fråga Active Directory Group och Computer-objekt.
De CSV Generator Tool kommer att generera en CSV-fil (vem skulle ha tänkt?) som innehåller en anpassad matris med användarspecifika Active Directory-attribut och motsvarande värden. Den resulterande filen kan användas för Active Directory-hantering.
De Senaste inloggningssökaren används för att lista den senaste inloggningstiden för alla eller utvalda användare i alla valda domänkontroller i domänen. Det används vanligtvis för gransknings- och saneringsaktiviteter.
De Terminal Session Manager är en Powershell cmdlet som du kan använda för att identifieraoch hantera flera terminalsessioner i en domän från en enda punkt. Med det kan terminalsessioner för flera användare över en domän hanteras, kopplas bort eller loggas av.
De Active Directory Replication Manager gör det möjligt för administratörer att tvinga replikering avdata i en domän eller hela skogen. Det tillåter också replikering av data mellan två domänkontrollanter och det kommer att lista omfattande rapporter om den senaste replikationen.
De DMZ-portanalysator låter administratörer kontrollera statusen för portar som krävs av alla tredjepartsapplikationer för att arbeta med Active Directory. Det kan användas för att öppna lämpliga portar på brandväggar.
De Domänkontroller Roll Reporter listar alla domänkontrollanter och deras respektive roller i domänen. Det kan hjälpa administratörer att identifiera en associerad roll som en domänkontrollant.
De Lokal användarhanterare hjälper administratörer att hantera användarkonton inom domänen. Det ger information om lokala användarkonton och tillåter även hantering av dessa konton med ett bekvämt användargränssnitt.
De Domain Controller Monitoring Tool är ett enkelt verktyg som automatiskt upptäcker domänernaoch visar dem. Den kommer att visa olika parametrar för domänkontroller, t.ex. CPU-utnyttjande, skivanvändning och minnesanvändning. Du kan också visa andra parametrar som sidläsningar per sekund, sidskrivningar per sekund, filläsningar, filskrivningar etc.
De Lösenordspolishanterare tillåter alla användare att hämta och visa domänens lösenordspolicy. Det tillåter också användare med administrativa rättigheter att redigera domänlösenordspolicyn.
Som namnet antyder, Töm lösenordsanvändarrapportverktyg används för att hitta användarkonton med lösenordsfält inställda på noll, vilket hjälper administratörer att undvika säkerhetsrelaterade problem.
De Active Directory Duplicate Finder är ett Powershell-verktyg som låter administratöreridentifiera duplicerade poster för Active Directory-attribut i en domän. Duplicerade poster listas bekvämt, vilket hjälper administratörer att säkerställa en duplikatfri Active Directory.
De DNS Reporter hjälper dig att få information relaterad till dinnätverkets DNS-infrastruktur. Den kan visa detaljerna för tillgängliga DNS-poster, motsvarande posttyper, IP-adresser och servicedetaljer helt enkelt genom att ange ett domännamn.
De Service Accounts Management är utformad för att hjälpa dig enkelt skapa, redigera och ta bort hanterade servicekonton med bara några klick. Det här verktyget kräver ingen kunskap om PowerShell, det vanliga verktyget som används för att utföra dessa uppgifter.
De Rapport om användare med svaga lösenord hjälper till att hitta svaga lösenord i Active Directory avatt jämföra användarnas lösenord med en lista med över 100 000 vanliga svaga lösenord. Du kan sedan tvinga användarna med svaga lösenord att ändra sina lösenord nästa gång de loggar in.
3. Tillåt kompass
Kompass från ENow Software hjälper dig att identifiera dolda problem i din miljö innan det äventyras. Det tillåter nätverksövervakning i realtid av din Active Directory och alla domänkontrollanter. Kompass kan se till att din Active Directory är frisk avövervakning av DFS / FRS-replikering Det kommer också att hitta problem med DNS-namnupplösning och hjälpa till att felsöka problematiska applikationer för att hjälpa dig att fortsätta att din AD fungerar smidigt.
Kompass har över 50 rapporter som inkluderar granskningen avDomänadministratörsgrupp, identifiering och borttagning av inaktiva användarkonton och identifiering av FSMO-roller. Verktyget är snabbt att installera och enkelt att använda. Den har en intuitiv och lättanvänd instrumentpanel som hjälper till att identifiera problem tidigt innan de blir avbrott.
Detaljerad prisinformation för Kompass kan erhållas genom att kontakta Enow-försäljning och en gratis 14-dagars provperiod kan erhållas.
4. Anturis Active Directory Monitor
Hälften av arbetet med att hantera Active Directory är att se till att alla tjänster fungerar smidigt och det är exakt vad Active Directory Monitor från Anturis handlar om. Det här verktyget kan varna dig för onormala situationer via e-post, SMS eller meddelanden om röstsamtal. Du kan också använda Active Directory Monitor att fastställa prestandabaslinjer för dinActive Directory-servrar och replikationsstruktur som gör att du kan känna igen prestandetrender och bidra till att minska risken för flaskhalsar innan de påverkar din AD-prestanda negativt.
De Active Directory Monitor kommer att visa dig server- och LDAP-sessioner och ställa invarningströsklar. Det visar också Kerberos- och NTLM-autentiseringar per sekund, vilket ger dig en uppfattning om den allmänna serverbelastningen. Och med att replikering är en av de viktigaste aspekterna av Active Directory övervakas även prestationsmätningar för replikering, såsom replikationsstatus, DRA-väntande replikationssynkroniseringar och DRA-pågående replikationsoperationer.
Active Directory Monitor är en molnbaserad tjänst och flera prenumerationerplaner finns tillgängliga till priser från $ 10 / månad för 10 monitorer till $ 650 / månad för 1000 monitorer. En gratis version är också tillgänglig men den är begränsad till 5 skärmar. Alla betalade planer har dock en kostnadsfri 30-dagars provperiod.
5. Quest Active Administrator
Las på vår lista är Sökande Aktiv administratör. Detta är en komplett och integrerad ActiveProgramvarulösning för kataloghantering. Det överbryggar de luckor som Microsofts verktyg lämnar efter sig. Verktygen gör det lättare och snabbare att uppfylla revisionskrav och säkerhetsbehov. Den har funktioner som adresserar många av de viktigaste områdena för AD-hantering.
Bland verktygets huvudfunktioner, AktivAdministratör erbjuder integrerad, proaktiv administration. Det har också intuitiv rapportering och varning, så att du snabbt kan övervaka och rapportera om ändringar genom att filtrera händelsetyp, användare och datum, samt användarinloggning och lockout-aktivitet. Du kan också ställa in händelsevarningar och automatisera varningsbaserade åtgärder.
Prissättning för aktiv administratör är per aktiveradanvändarkonto i ditt AD och börjar på $ 16,37 för en evig licens med ett års support. En minimilicens för 20 användarkonton måste köpas. En gratis 30-dagars provversion kan laddas ner.
kommentarer