Ända sedan starten för nästan exakt 20 år sedan med introduktionen av Windows 2000 Server Edition i februari 1999, Aktiv katalog har varit en viktig komponent i Microsofts serverekosystem. Det främsta syftet är att hålla informationom nätverksresurser. Datornätverk kan vara ganska komplicerade. Följaktligen tenderar Active Directory också att vara komplicerat, varför vårt huvudsakliga mål idag är att ge dig en introduktion till Active Directory-domäner och skogar.
Vi tänker inte göra dig till Active Directoryexperter men vårt hopp är att belysa detta komplicerade ämne. Med tanke på teknikens relativt höga komplexitet är det inte förvånande att flera tredjepartsverktyg har skapats för att övervaka och / eller hantera olika aspekter av Active Directory. Så vi ska titta på vad några av dem kan göra för dig.
Så här planerar vi vår resa in ikärnan i Active Directory: Vi börjar med att lyfta all förvirring som det kan vara med begreppet domän. Det är ett nyckelelement i AD men också ett viktigt element på Internet och ändå är de två helt olika typer av domäner som inte bör förväxlas. Vi presenterar sedan Active Directory, vad det är och varifrån det kommer. Därefter diskuterar vi AD-domäner och träden vi använder för att representera deras struktur. I naturen kallas en grupp träd en skog. Samma sak gäller i Active Directory som vi kommer att se nästa. Att hantera och övervaka Active Directory kommer att vara vår nästa affärsordning och slutligen kommer vi att granska några av de bästa övervaknings- och hanteringsverktygen för Active Directory.
Undvika förvirring - Vad är en domän?
En domän kan vara många saker beroende på vadfältet du befinner dig i. Och även inom informationsteknologi används termen domän för två mycket olika saker. Den första typen av domän, den som mest datoranvändare - även de som inte är datavetare - känner till är Internetdomänen. Det är en grupp internetresurser som tillhör en specifik organisation. Domännamn används för att få tillgång till olika resurser med användarvänliga (er) namn snarare än kryptiska IP-adresser. Till exempel är addictivetips.com domännamnet på denna webbplats. Microsoft.com är ett annat välkänt domännamn och jag är ganska säker på att du enkelt kan tänka på dussintals till.
Den andra platsen där termen domän är allmäntanvänds är relaterat till Active Directory. En Active Directory-domän är en grupp resurser (märker likheten med de tidigare domänerna?) Som täcks av en enda autentiseringsdatabas. Vi kommer snart att beskriva AD-domäner. För tillfället är nyckeln att förstå att samma term används för att definiera två helt orelaterade begrepp och att det är viktigt att inte blanda dem eftersom de definitivt inte är samma sak.
Aktiv katalog i ett nötskal
Den första frågan folk vanligtvis ställer omActive Directory är: Vad är det, exakt? Svaret är enkelt, det är Microsofts implementering av en LDAP-katalogtjänst. Även om detta svar är helt exakt är det kanske värdelöst och det ställer fler frågor än det svarar.
Låt oss gräva ner. Först är en katalogtjänst i samband med datornätverk en databas som innehåller information om varje komponent i ett nätverk. Med komponenter menar vi varje dator och server men också varje användare eller grupp av användare eller varje katalog. Du kan tänka på det som en telefonkatalog. Alla resurser som behöver hitta en annan resurs letar upp den i katalogen.
Vad gäller LDAP-delen av vårt första svar är deten förkortning för Lightweight Directory Access Protocol. Enkelt uttryck definierar LDAP hur information om resurser lagras i databasen och hur denna information kan nås. Det är ett branschstandardprotokoll som delas av flera leverantörer vilket tyvärr inte betyder att olika implementationer är driftskompatibla.
En Active Directory-struktur är en hierarkiskorganisering av objekt. Det finns tre primära kategorier av objekt: resurser (till exempel datorer eller skrivare), tjänster (som e-post) och användare (användarkonton och användargrupper). Active Directory ger information om föremålen, organiserar dem och kontrollerar deras åtkomst och säkerhet. Det är, för alla syften, ett syfte, en databas med poster där varje post har ett namn och en uppsättning attribut. Varje attribut har ett namn, en typ och ett eller många värden. Attribut definieras i databasens schema.
Du kan tänka på den hierarkiska strukturen hos enActive Directory-databas som för ett filsystem. Och precis som ett filsystem har containrar (kallas kataloger eller mappar) så har AD dem också. De kallas organisationsenheter (OU) och hjälper till att grupprelaterade saker tillsammans. Systemadministratörer är fria att skapa OU: er som de ser lämpligt och det är inte ovanligt, till exempel att se enskilda OU: er för varje avdelning i en organisation.
Active Directory-domäner
Nu när vi alla är på samma sida om vadActive Directory är, låt oss titta på domäner. Intressant nog dominerar domäner Active Directory under flera år. Redan innan Microsoft släppte sin egen LDAP-katalogtjänst 1999 hade domäner funnits sedan de första dagarna av Windows NT. I ett typiskt nätverk av Windows-servrar konfigureras minst en av dem - och ofta två eller flera - som domänkontroller. Det är de servrar som är värd för domändatabasen och därigenom autentiserar användare och kontrollerar tillgången till resurser. Informationen som de har kopieras mellan dem. Och sist men inte minst, objekten i en domän är organiserat på ett hierarkiskt sätt.
Träden och skogen
En trädanalogi används ofta för att beskrivahierarkiska strukturer som en domän. Men med Active Directory har Microsoft beslutat att driva denna analogi ett steg längre och det kallar en hierarkisk struktur för domäner ett träd. Kom ihåg att en domän är en grupp resurser under kontroll av en databas men ett träd, av olika skäl kan bestå av flera domäner. Detta är något som faktiskt är ganska vanligt i större organisationer och det är inte alls ovanligt att se en domän för varje division i ett stort företag. Och för ännu större organisationer kan träd grupperas i, du gissade det, skogar. Detta är det högsta elementet i Active Directory och allt annat härstammar från det.

Hantera och övervaka Active Directory
Övervakning är allt! Om du är ett nätverk eller systemadministratörer har du antagligen hört den frasen otaliga gånger. Och vet du vad? Det är allt! Övervakning är ett av de bästa sätten att hålla koll på. Det finns olika typer av övervakningsverktyg som gör att du kan få exakt vilken typ av mätvärden du följer. Till exempel kommer bandbreddövervakning att rapportera om användningen av olika segment i ett nätverk, CPU-övervakning visar dina servrar CPU-mätare. De flesta operativa mätvärden för system och nätverk kan övervakas. Den största fördelen med att använda övervakningsverktyg är att de mestadels är automatiska. Du behöver inte ständigt titta på dem. Närhelst något är ovanligt, kommer ditt övervakningsverktyg (er) att varna dig.
När det gäller Active Directory, fleraparametrar kan övervakas. Till exempel kan domänkontrollanter - servrarna där en domäns databas lagras - övervakas med avseende på svar och prestanda. Ändringar av tillgångsrättigheter kan också övervakas till viss fördel. Inloggningar - särskilt misslyckade - är en annan parameter som är värd att övervaka eftersom det kan vara en indikation på skadlig aktivitet.
Active Directory Management är något annat. Flera verktyg tillhandahålls av Microsoft för att hjälpa dig hantera Active Directory. De låter dig skapa objekt, tilldela rättigheter och i allmänhet utföra det mesta av de dagliga aktiviteterna relaterade till AD-hantering. Vissa av dessa verktyg kan dock visa sig vara ganska besvärliga eller opraktiska att använda och flera leverantörer har intensifierats för att erbjuda olika Active Directory Management-verktyg som kan göra uppgiften att administrera Active Directory mycket enklare.
De bästa AD-verktygen
Vi har skurat marknaden för några av de bästaActive Directory-verktyg. Det vi har för dig idag är en blandning av övervakningsverktyg - vissa AD-specifika och några generiska - och hanteringsverktyg. Alla av dem kan hjälpa dig - och detta var ett av våra viktigaste inkluderingskriterier - med dina dagliga uppgifter när de hänför sig till Active Directory. Vissa är säkerhetsinriktade medan andra är prestationsorienterade.
1- SolarWinds Access Rights Manager (GRATIS PRÖVNING)
Solarwinds är en av de bästa utgivarna av programvara för nätverks- och systemadministration. Dess flaggskeppsprodukt kallas Network Performance Monitor konsekvent poäng bland toppnätverketbandbreddövervakningssystem. Dessutom är företaget också känt för sin gratis programvara. Vi pratar om mindre verktyg, var och en tar upp ett specifikt behov av nätverksadministratörer. Två fantastiska exempel på dessa gratisverktyg är Avancerad undernätkalkylator och den Kiwi Syslog Server.
Trots ett något vilseledande namn som kan få dig att tro att det bara handlar om objekttillstånd, SolarWinds Access Rights Manager är främst inriktat på att tillhandahålla användareoch enkelt att tillhandahålla, spåra och övervaka. Det erbjuder också ett kraftfullt och enkelt sätt att hantera och övervaka användartillstånd för att säkerställa att inga onödiga behörigheter beviljas.

- GRATIS PRÖVNING: SolarWinds Access Rights Manager
- Nedladdningslänk: https://www.solarwinds.com/access-rights-manager/registration
En av de största styrkorna med denna produkt ärdess intuitiva användarhanteringspanel som du kan använda för att skapa, ändra, radera, aktivera och inaktivera användaråtkomst till olika filer och mappar. Den innehåller rollspecifika mallar som enkelt kan ge användare tillgång till specifika resurser i ditt nätverk.
Mycket intressant och ganska unikt är också SolarWinds Access Rights ManagerRapporteringsfunktioner. Programvaran kan skapa rapporter som kan användas som bevis vid tvister eller eventuella tvister. Detaljerade rapporter för revisionsändamål och för att uppfylla specifikationer som fastställs i lagstiftningsstandarder som gäller för ditt företag finns också tillgängliga. Rapporter kan skapas snabbt och enkelt med bara några klick. De kan inkludera all information du kan hitta användbar. Loggaktiviteter i Active Directory och filserveråtkomst kan till exempel inkluderas i en rapport. Det är upp till användaren att göra dem så sammanfattade eller så detaljerade som de behöver.
Attacker och / eller dataläckage inträffar ofta närmappar och / eller deras innehåll har åtkomst av användare som inte är - eller borde inte vara - auktoriserade för att få åtkomst till dem, en vanlig situation när användare ges bred tillgång till mappar eller filer. De SolarWinds Access Rights Manager kan hjälpa dig att förhindra dessa typer av läckor ochobehöriga ändringar av konfidentiella data och filer. Det erbjuder administratörer en visuell representation av behörigheter för flera filserver och det kan enkelt och visuellt se vem som har vilken behörighet på vilken fil.
Prissättning för SolarWinds Access Rights Manager baseras på antalet aktiverade användare inom Active Directory. I Solarwinds parlance, är en aktiverad användare antingen en aktivanvändarkonto eller ett servicekonto. Priserna för produkten börjar på 2 995 $ för upp till 100 aktiva användare. För fler användare (upp till 10 000) kan detaljerad prissättning erhållas genom att kontakta SolarWinds försäljning. Om du vill ge verktyget en testkörning innan du köper det kan du få en gratis obegränsad 30-dagars provversion.
2- SolarWinds Server och applikationsmonitor (GRATIS PRÖVNING)
De SolarWinds Server och Application Monitor var utformad för att hjälpa administratörer att övervakaservrar, deras operativa parametrar, deras processer och applikationer som körs på dem. Det är ett av de bästa verktygen du kan använda för att övervaka dina Active Directory-domänkontrollanter och de kritiska tjänster som de behöver för att köra. Men verktyget övervakar också någon eller alla dina servrar. Det kan enkelt skala från de minsta nätverken till stora med hundratals servrar - både fysiska och virtuella - spridda över flera webbplatser.

- GRATIS PRÖVNING: SolarWinds Server och Application Monitor
- Nedladdningslänk: https://www.solarwinds.com/server-application-monitor/registration
Prestationsövervakningen för Active Directory som erbjuds av SolarWinds Server och Application Monitor ger dig inblick i Active Directory-problemrelaterat till användarkonto som konto skapande, lösenordsändring och återställningsförsök, inaktiverade och raderade användarkonton. Det kommer också att ge information om domän- och systempolicyändringar och dataåterställning precis som det också ger insikt i brandväggsinställningar och andra systemändringar och för närvarande kör tjänster. Verktyget tillåter också övervakning av LDAP-sessioner. Med antalet anslutna klienter som påverkar serverbelastningen kommer verktyget att övervaka NTDS-objekträknare för att förhindra att en serveröverbelastning är ansluten till en specifik LDAP-session. Dessutom kan programvaran ge inblick i avancerad statistik, såsom LDAP-aktiva trådar, bindningstid, klientsessioner, framgångsrika bindningar / sek och sökningar / sek.
Produktens initiala konfiguration är snabbtoch enkelt göras med hjälp av en två-pass automatisk upptäckt-process. Det första passet upptäcker varje server och det andra kommer att hitta applikationer på varje upptäckt server. Även om denna process kan ta tid, kan den snabbas upp genom att tillhandahålla en lista med specifika applikationer att leta efter. När verktyget är igång gör det användarvänliga GUI att använda det till en bris. Verktygets instrumentbräda kan anpassas och det låter dig visa information i antingen en tabell eller ett grafiskt format.
Pris för SolarWinds Server och Application Monitor börjar på 2 995 $ och baseras på antalet komponenter, noder och volymer som övervakas. En kostnadsfri 30-dagars provversion kan laddas ner om du vill prova produkten innan du köper den.
3- Gratis AD-verktyg från ManageEngine
ManageEngine är ett annat välkänt namn med system- och nätverksadministratörer. Dess ManageEngine OpManager paketet är bland de bästa IT-infrastrukturenövervakningsverktyg. Liksom några av sina konkurrenter gör ManageEngine några fantastiska gratisverktyg. Och när det gäller Active Directory erbjuder företaget inte mindre än femton gratis verktyg som kan hjälpa till att övervaka och administrera din AD-infrastruktur. Det finns en kombination av fristående program och Powershell cmdlets. De flesta av verktygen ingår i en enda nedladdning så att det inte borde vara mycket problem att få dem. Låt oss se vad de mest intressanta av dessa verktyg är.
- AD Query Tool, som namnet antyder, låter dig läsa alla attributdata som du behöver från Active Directory
- Senaste inloggningssökaren används för att lista den sista inloggningstiden för alla eller utvalda användare i alla valda domänkontroller i domänen. Det används vanligtvis för gransknings- och saneringsaktiviteter.
- Active Directory Replication Manager möjliggör administratörers replikering av data i en domän samt ger omfattande rapporter om den senaste replikationen.
- Domänkontroller Roll Reporter listar alla domänkontrollanter och deras respektive roller i domänen.
- Domain Controller Monitoring Tool är ett enkelt men ändå kraftfullt verktyg. Det kommer automatiskt att upptäcka domäner och visa dem, och visa viktiga parametrar för domänkontroller som CPU-utnyttjande, skivanvändning och minnesanvändning.

- Lösenordspolishanterare låter en hämta och visa och redigera - förutsatt att han har rätt rättigheter - domänens lösenordspolicy.
- Active Directory Duplicate Finder är ett Powershell-verktyg som låter administratörer identifiera duplicerade poster för Active Directory-attribut i en domän.
- Service Accounts Management är utformad för att hjälpa dig enkelt skapa, redigera och ta bort hanterade servicekonton med bara några klick.
- Rapport om användare med svaga lösenord hjälper till att hitta svaga lösenord i Active Directory genom att jämföra användarnas lösenord med en lista med över 100 000 vanliga svaga lösenord.
Dessa är bara några av de många gratis Active Directory-verktyg tillhandahålls av ManageEngine. Även om användning av separata verktyg för varje enskild uppgift förmodligen inte är så praktiskt som att använda ett integrerat verktyg med alla inbyggda funktioner, är priset på dessa verktyg svårt att slå och kan säkert göra dem till ett alternativ värt att överväga.
4- Aktiv administratör
Senast på vår lista är Aktiv administratör från Quest-programvara, nu en del av Dell. Detta är en komplett och integrerad ActiveProgramvarulösning för kataloghantering. Det överbryggar luckorna som vissa av Microsofts verktyg lämnar efter sig. Detta är den typ av verktyg som kan göra det lättare och snabbare att uppfylla både säkerhets- och revisionskrav. Den har funktioner som adresserar många av de viktigaste områdena för AD-hantering.

Bland verktygets huvudfunktioner, Aktiv administratör erbjuder integrerad, proaktiv administration. Detta är också ett mycket kraftfullt övervakningsverktyg som har intuitiv rapportering och varning, så att du snabbt kan upptäcka förändringar och rapportera om dem genom att filtrera efter händelsetyp, användare och datum samt användarinloggning och lockout-aktivitet. Du kan också ställa in händelselarm och automatiskt starta varningsbaserade åtgärder.
Prissättning för Aktiv administratör är per aktiverat användarkonto i ditt ActiveKatalog och det börjar på $ 16,37 för en evig licens med ett års stöd. En minimilicens för 20 användarkonton måste köpas. En gratis 30-dagars provversion kan laddas ner.
kommentarer