Active Directory або AD, як це часто називаютьдо, це власна версія Microsoft служби каталогу LDAP. Це було з часу сервера Windows 2000 і замінило старі функції управління доменами серверів Windows. Це надзвичайно складний сервіс, який піклується про автентифікацію користувачів та обладнання, уточнення їх місцезнаходження та управління правами доступу. Будучи настільки складним, не дивно, що декілька розробників намагалися зробити інструменти, що полегшують біль при керуванні Active Directory. Сьогодні ми пропонуємо вам декілька найкращих інструментів Active Directory, які можна знайти в Інтернеті.
Спочатку ми проведемо загальну дискусіюслужби каталогів, що вони є, їх призначення та корисність, і наведіть кілька прикладів із них. Далі ми поговоримо про LDAP та X.500, два стандартизованих протоколи, що стосуються служб каталогів. Потім ми коротко поговоримо про еволюцію служб каталогів Microsoft. Це підведе нас до основи нашої справи, найкращих інструментів Active Directory, які ми могли знайти. Ми дамо вам короткий огляд кожного з них.
Служби довідників, які вони
Вікіпедія визначає службу каталогів як "відображення між іменами ресурсів у мережі та їх відповідними мережевими адресами.І в найпростішому вигляді це насправді всеє. Отже, ви можете запитати, чи система доменних імен (DNS) - служба каталогів? Відповідь - гучна ТАК! Але якщо це так просто, чому Active Directory настільки складний?
Active Directory, як і більшість сучасних каталогівпослуги, реалізує набагато більше функціональних можливостей, ніж просто зіставлення імен за адресами. Вони лежать в основі безпеки мережі і містять детальну інформацію про користувачів (акаунти користувачів) та ресурси, а також є центром механізмів контролю доступу більшості мереж. Сучасна служба каталогів - це база даних, де зберігається більшість інформації про мережу, її ресурси та користувачів.
Служба каталогів - це ієрархічна база данихоб'єкти, кожен з яких представляє іншу сутність. Деякі об’єкти представляють користувачів, деякі представляють комп’ютери або інші доступні ресурси, такі як мережеві спільні користувачі. Інші об'єкти - це контейнери для предметів. Ієрархічна структура полегшує пошук будь-якого єдиного об'єкта та дозволяє легко керувати дозволами, коли об’єкти можуть успадковувати дозволи від свого батьківського.
Наша мета - не зробити вам службу каталогівексперт, хоча, аби надати вам достатню довідкову інформацію, щоб краще зрозуміти, що таке Active Directory і звідки він походить. Давайте подивимося на приклади реального життя минулих та теперішніх служб каталогів, з якими ви могли зіткнутися.
Деякі приклади
DNS є однією з найперших служб каталогів. Датується початком вісімдесятих років. Він мав - і досі має - єдину основну мету: переклад імен хостів в IP-адреси. Він все ще широко використовується і сьогодні є однією з основ Інтернету.
The Служба мережевої інформації, або NIS, була власною реалізацією служби імен, подібною до DNS для своєї екосистеми Unix, Sun Microsystems.
Nперепланувати Dіректорій Sпомилки—Пізніше зателефонував eDirectory—Була служба каталогів Novell Netwareмереж. Дещо схожа на те, що є Active Directory сьогодні, вона була всеохоплюючою системою, яка використовується не лише для вирішення імен, але і для аутентифікації та контролю доступу.
NetInfo була розроблена NEXT і, коли Apple придбала компанію, стала службою каталогів Mac OS, перш ніж її замінили OpenDirectory.
Нарешті, NT домени є ще одним прикладом служби каталогів. Вони є родоначальником Active Directory. NT-домени в основному використовувались для контролю доступу та аутентифікації.
X.500 та LDAP, два стандарти служб каталогів
В інформаційну епоху інтероперабельність важливіша, ніж будь-коли, що спричиняє появу стандартів у кожній галузі. Служби каталогів не відрізняються. Існують два первинні стандарти - LDAP та X.500
Стандарт X.500, а точніше X.500 серій стандартів - це група специфікацій ITU-T, що охоплюють декілька аспектів послуг електронних довідників. Перші ітерації відносяться до 1988 року, але X.500 все ще широко використовується.
Одна з цілей набору стандартних протоколівЗапропонований X.500, повинен забезпечити взаємодію та дозволити взаємодії систем різних постачальників. X.500 - це фактично сукупність дев'яти окремих протоколів
Легкий протокол доступу до каталогу, абоLDAP - це відкритий, нестандартний протокол застосунку, який не відповідає постачальникам, для доступу та підтримки інформаційних служб розподілених каталогів через мережу IP. Сьогодні більшість реалізацій служб каталогів, в тому числі Active Directory Microsoft сумісні з LDAP.
Спочатку LDAP був призначений як легкийальтернативний протокол доступу до служб каталогів X.500 через більш простий стек протоколів TCP / IP. Як такі, X.500 та LDAP не є взаємовиключними та натомість доповнюють один одного. Наприклад, специфікація LDAP зазначає, що структура бази даних служб каталогів повинна відповідати X.500.
Клієнти LDAP можуть не тільки читати атрибутиоб'єктів у базі даних служб каталогів, вони також можуть змінювати їх. Це, звичайно, означає, що LDAP захищений і пропонує механізм аутентифікації для захисту від несанкціонованих модифікацій.
Від домену NT до Active Directory
Як було сказано раніше, домени Windows NT булиПерша форма служби каталогів в екосистемі Microsoft. Як ви могли здогадатися, вони вперше з'явилися в Windows NT, ще в 1993 році. У них була централізована база даних, яка знаходилася на контролері домену, який в основному відповідав за автентифікацію користувачів. База даних може бути тиражована на декількох контролерах домену для надмірності та для того, щоб великі, багатосайтові мережі могли аутентифікувати користувачів локально.
З Windows 2000 Microsoft випустила ActiveДовідник. Це було дуже потрібне вдосконалення в порівнянні з традиційними доменами, якими користувалися роками. Active Directory надає кілька різних послуг. Перш за все це доменні сервіси. Це наріжний камінь мереж Windows. Вони зберігають інформацію про членів домену, включаючи пристрої та користувачів, перевіряють їхні облікові дані, аутентифікують їх та визначають їх права доступу.
Інші важливі послуги Active Directoryвключати Сертифікаційні служби, які надають локальну інфраструктуру відкритого ключа. Вони можуть створювати, підтверджувати та відкликати сертифікати відкритого ключа для внутрішнього використання в організації. Такі сертифікати можна використовувати для шифрування файлів, електронних листів та мережевого трафіку. Інші послуги, що надаються Active Directory, включають послуги федерації, тип єдиного механізму входу та послуги управління правами.
Найкращі засоби Active Directory
Основна характеристика Active Directory - цещо вона велика і складна. І з цією складністю виникають адміністративні головні болі. На щастя, третіми сторонами було розроблено багато інструментів для подолання деяких тягарів адміністрації AD. Це інструменти, які ми дослідили, і ми представляємо вам найкраще, що ми могли знайти. Цей список далеко не обширний, оскільки там є занадто багато інструментів.
1. Монітор сервера та додатків SolarWinds (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Відомо, що SolarWinds робить одне з найкращихінструменти мережевого та системного адміністрування. Ми безліч разів демонстрували продукт SolarWinds, коли, наприклад, ми переглядали найкращі засоби моніторингу SNMP або найкращі колектори та аналізатори NetFlow. SolarWinds також відомий своїми безкоштовними інструментами, спеціальними інструментами, спрямованими на адміністраторів.
Тож не дивно, що Сервер SolarWinds & Монітор додатків є у нашому списку. І хоча його невимоглива назва не може змусити себе думати, що це інструмент Active Directory, широкий спектр функціональних можливостей робить його чудовим інструментом для моніторингу та управління Active Directory.
Для початку поглянемо, як саме Монітор сервера та додатків SolarWinds може допомогти в управлінні AD. По-перше, в інструменті є моніторинг контролера домену, який відстежує кілька робочих параметрів. Він підкаже вам, коли використання процесора стає занадто високим, коли обліковий запис користувача заблоковано або коли виникає проблема входу.
Програмне забезпечення також буде контролювати лічильники об'єктів NTDS, що допомагає зменшити перевантаження сервера. Крім того, Монітор сервера та додатків SolarWinds дає вам зрозуміти кілька статистичних даних LDAP, включаючи активні потоки LDAP, час зв'язування, клієнтські сеанси та успішні зв'язки та пошуки в секунду.
The Сонячні вітри Монітор серверів і додатків може надсилати сповіщення на серверах каталогівне вдалося повторити - подія, яка може перешкодити користувачам отримувати доступ до папок і файлів. Він також надає детальну статистику продуктивності, пов’язану з службами каталогів, такими як розподілена файлова система, реплікація DFS, міжміські повідомлення, клієнт DNS, час Windows, RPC, сервер і сервіси робочих станцій, а також доменні сервіси Active Directory, лише щоб назвати кілька найбільш значущих ті.
Але як випливає з назви, цей інструмент буде не тількислідкуйте за службами Active Directory, а також за самими серверами та програмами, що працюють на них. Цей повний пакет може масштабуватися від найменших мереж до великих, багатосайтових мереж із сотнями фізичних та віртуальних серверів. І він може також відстежувати сервери в хмарних середовищах, таких як Amazon Web Services та Microsoft Azure.
The Монітор сервера та додатків SolarWinds спочатку автоматично відкриє хости та пристрої наваша мережа. Потім, повторне сканування виявлення виявить програми, що працюють на кожному сервері. Після роботи та використання цього інструменту навряд чи буде простіше завдяки інтуїтивно зрозумілому інтерфейсу користувача. Наприклад, натиснувши на деталі вузла, відображається інформація про продуктивність та стан здоров'я вузла.
Ціноутворення на Монітор сервера та додатків SolarWinds починається трохи нижче $ 2 995, і для завантаження доступна безкоштовна 30-денна пробна версія.
2. ManageEngine Active Directory Free Tools
ManageEngine - ще одна поширена назва серед системита мережеві адміністратори. Це робить OpManager, мабуть, одним з найкращих інструментів моніторингу ІТ-інфраструктури. Як і SolarWinds, ManageEngine також робить кілька чудових безкоштовних інструментів. Насправді їх понад п’ятнадцять безкоштовні інструменти Active Directory що може допомогти в моніторингу та адмініструванніваша інфраструктура AD. Деякі є автономними програмами, а інші - командлетами Powershell. Одна чудова річ у цьому наборі інструментів - це те, що більшість інструментів є в пакеті одноразове завантаження. Давайте подивимось, що найцікавіше з цих інструментів.
The Інструмент запитів AD дозволяє читати будь-які дані атрибутіввимагати від Active Directory, як-от ім’я користувача, ім’я та прізвище, об’єкт користувача, адресу тощо. Утиліта також може допомогти запитувати об'єкти Active Directory Group та Computer.
The Інструмент генератора CSV створить файл CSV (хто б міг подумати?), який містить користувацький масив визначених користувачем атрибутів Active Directory та їх відповідних значень. Отриманий файл можна використовувати для масового управління Active Directory.
The Останній шукач входу використовується для списку останнього часу входу всіх або вибраних користувачів у всіх вибраних контролерах домену в домені. Зазвичай він використовується для проведення аудиторських та очисних робіт.
The Завідувач термінальних сесій - командлет Powershell, який ви можете використовувати для ідентифікаціїі керувати кількома термінальними сеансами в домені з однієї точки. З його допомогою можна керувати, відключати або виходити з мережі, термінальними сеансами для кількох користувачів у домені.
The Менеджер реплікацій Active Directory дозволяє адміністраторам змусити реплікаціюдані в домені або в цілому лісі. Він також дозволяє реплікацію даних між двома контролерами домену, і він перелічить вичерпні звіти про останню реплікацію.
The Аналізатор портів DMZ дозволяє адміністраторам перевіряти стан портів, необхідних будь-якій сторонній програмі для роботи з Active Directory. З його допомогою можна відкрити відповідні порти на брандмауерах.
The Репортер ролей контролера домену перелічує всі контролери домену та їх відповідні ролі в домені. Це може допомогти адміністраторам визначити будь-яку пов’язану роль контролера домену.
The Менеджер локальних користувачів допомагає адміністраторам керувати обліковими записами користувачів у домені. Він надає інформацію про локальні облікові записи користувачів, а також дозволяє керувати цими обліковими записами за допомогою зручного інтерфейсу користувача.
The Інструмент моніторингу контролера домену це простий інструмент, який автоматично відкриває домениі відображає їх. Він покаже різні параметри контролерів домену, такі як використання процесора, використання диска та використання пам'яті. Ви також можете переглядати інші параметри, такі як "Читання сторінок в секунду", "Сторінка" на секунду, "Читання файлів", "Запис файлів" тощо.
The Менеджер політики паролів дозволяє будь-якому користувачеві отримати та переглянути політику пароля домену. Він також дозволяє користувачам з адміністративними правами редагувати політику паролів домену.
Як випливає з назви, Інструмент звітування користувачів порожніх паролів використовується для пошуку облікових записів користувачів із полями пароля, встановленими на нуль, допомагаючи адміністраторам уникнути будь-яких проблем, пов’язаних із безпекою.
The Активний пошук дублікатів Active Directory - це утиліта Powershell, яка дозволяє адміністраторамідентифікувати повторювані записи для атрибутів Active Directory у домені. Дублікати записів зручно перераховані, що допомагає адміністраторам забезпечити без копій Active Directory.
The Репортер DNS допомагає отримати інформацію, пов’язану з вашоюмережева DNS-інфраструктура. Він може відображати дані про доступні записи DNS, їх відповідні типи записів, IP-адреси та реквізити служби, просто ввівши доменне ім’я.
The Управління рахунками послуг розроблений, щоб допомогти вам легко створити, редагувати та видаляти керовані облікові записи послуг лише у кілька кліків. Цей інструмент не потребує знання PowerShell, звичайного інструменту, який використовується для виконання цих завдань.
The Звіт про слабкі користувачі паролів допомагає знайти слабкі паролі в Active Directory відпорівнюючи паролі користувачів зі списком понад 100 000 часто використовуваних слабких паролів. Потім ви можете змусити користувачів із слабкими паролями змінювати свої паролі наступного разу, коли вони ввійдуть.
3. Відомий компас
Компас від програмного забезпечення ENow допоможе вам виявити приховані проблеми у вашому оточенні, перш ніж це буде порушено. Це дозволяє контролювати мережу в режимі реального часу вашого Active Directory та всіх контролерів домену. Компас може переконатися, що ваш Active Directory здоровиймоніторинг реплікації DFS / FRS Він також знайде проблеми з вирішенням імен DNS та допоможе вирішити проблемні програми, які допоможуть вам безперебійно працювати з рекламою.
Компас має понад 50 звітів, які включають аудитГрупа доменних адміністраторів, ідентифікація та видалення неактивних облікових записів користувачів та виявлення ролей FSMO. Інструмент швидко встановлюється та простий у використанні. Він оснащений інтуїтивно зрозумілою та простою у використанні інформаційною панеллю, яка допомагає виявити проблеми на початку, перш ніж вони стануть відключеними.
Детальна інформація про ціни на Компас Ви можете отримати їх, звернувшись у відділ продажів Enow і отримати безкоштовну 14-денну пробну версію.
4. Монітор Anturis Active Directory
Половина роботи з управління Active Directory - забезпечити безперебійність роботи всіх служб, і саме це і є Активний монітор каталогів від Антуриса - це все. Цей інструмент може попередити вас про ненормальні ситуації електронною поштою, SMS або голосовими повідомленнями. Ви також можете використовувати Активний монітор каталогів щоб встановити базові показники для вашої роботиСервери Active Directory та структура реплікації дозволяють розпізнати тенденції продуктивності та допомагають зменшити ризик виникнення вузьких місць, перш ніж вони негативно вплинуть на ефективність вашої реклами.
The Активний монітор каталогів покаже вам сеанс сервера та LDAP та встановитьпороги оповіщення. Він також покаже вам автентифікацію Kerberos та NTLM в секунду, даючи уявлення про загальне завантаження сервера. А реплікація є одним з найважливіших аспектів Active Directory, також контролюються показники продуктивності реплікації, такі як стан реплікації, синхронізація реплікації, що очікує на розгляд, та операції з реплікацією, що очікує на розгляд.
Активний монітор каталогів це хмарний сервіс та кілька підписокплани доступні за цінами від 10 доларів на місяць для 10 моніторів до 650 доларів США на місяць для 1000 моніторів. Також доступна безкоштовна версія, але вона обмежена 5 моніторами. Однак усі платні плани мають 30-денну пробну версію.
5. Квест Активний адміністратор
Лас в нашому списку є Квест Активний адміністратор. Це повний та інтегрований ActiveПрограмне рішення для управління каталогами. Він усуває прогалини, які залишають позаду інструменти Microsoft. Інструменти дозволять легше та швидше задовольнити аудиторські вимоги та потреби безпеки. Він має функції, що стосуються багатьох найважливіших напрямків управління AD.
Серед основних функцій інструменту - ActiveАдміністратор пропонує інтегровану, ініціативну адміністрацію. Він також має інтуїтивне звітування та оповіщення, що дозволяє вам швидко відстежувати та повідомляти про зміни, фільтруючи тип події, користувача та дату, а також активність входу та блокування користувача. Ви також можете встановити сповіщення про події та автоматизувати дії на основі попередження.
Ціни на активного адміністратора ввімкненоакаунт користувача у вашій AD і починається від $ 16,37 за безстрокову ліцензію з однорічною підтримкою. Необхідно придбати мінімальну ліцензію на 20 облікових записів користувачів. Безкоштовну 30-денну пробну версію можна завантажити.
Коментарі