З часу свого створення, майже рівно 20 років тому, коли в лютому 1999 року було представлено Windows 2000 Server Edition, Активна Директорія була ключовою складовою екосистеми сервера Microsoft. Основне його призначення - зберігання інформаціїпро мережеві ресурси. Комп'ютерні мережі можуть бути досить складними. Отже, Active Directory, як правило, є складним, і саме тому наша головна мета сьогодні - ознайомити вас з доменами та лісами Active Directory.
Ми не маємо наміру робити з вас Active Directoryексперти, але ми сподіваємось пролити трохи світла на цю складну тему. Також, враховуючи відносно високий рівень складності технології, не дивно, що було створено декілька сторонніх інструментів для моніторингу та / або управління різними аспектами Active Directory. Отже, ми розглянемо, що деякі з них можуть зробити для вас.
Ось як ми плануємо нашу подорож доЯдро Active Directory: ми почнемо знімати будь-яку плутанину, що може бути, щодо поняття домену. Це ключовий елемент AD, але також ключовий елемент Інтернету, і все ж, це два абсолютно різних типи доменів, які не слід плутати. Потім ми представимо Active Directory, що це таке і звідки він походить. Далі ми обговоримо домени AD та дерева, які ми використовуємо для представлення їх структури. У природі група дерев називається лісом. Що ж, те саме відбувається в Active Directory, як ми побачимо далі. Керування та моніторинг Active Directory - це наш наступний порядок ведення бізнесу, і, нарешті, ми розглянемо деякі найкращі засоби моніторингу та управління Active Directory.
Уникнення плутанини - що таке домен?
Залежно від домену може бути багато речейі навіть в інформаційних технологіях термін домен використовується для двох дуже різних речей. Перший вид домену, з яким знайомі найчастіше користувачі комп'ютерів - навіть ті, хто не є комп'ютерними вченими, - це домен Інтернет. Це група Інтернет-ресурсів, що належать конкретній організації. Доменні імена використовуються для доступу до різних ресурсів, використовуючи зручні (er) імена, а не криптичні IP-адреси. Наприклад, addictivetips.com - це доменне ім'я цього веб-сайту. Microsoft.com - ще одне відоме доменне ім’я, і я впевнений, що ви можете легко придумати ще десятки.
Інше місце, де термін домен широковикористовується, пов'язане з Active Directory. Домен Active Directory - це група ресурсів (помічаєте схожість з попередніми доменами?), Охоплені однією єдиною базою даних аутентифікації. Ми детально опишемо домени AD. Наразі ключовим є розуміння того, що той самий термін використовується для визначення двох абсолютно не пов'язаних між собою понять, і що важливо не змішувати їх, оскільки вони, безумовно, не одне і те ж.
Активний каталог в двох словах
Перше питання, яке люди зазвичай задаютьActive Directory: Що це саме? Відповідь проста: Microsoft реалізує службу каталогу LDAP. Хоча ця відповідь абсолютно точна, вона, можливо, марна, і вона викликає більше питань, ніж відповідає.
Давайте викопаємо. По-перше, служба каталогів у контексті комп'ютерних мереж - це база даних, яка містить інформацію про кожен компонент мережі. Під компонентами ми розуміємо кожен комп'ютер і сервер, а також кожного користувача або групу користувачів або кожен каталог. Ви можете думати про це як телефонний довідник. Будь-який ресурс, який потребує пошуку іншого ресурсу, шукає його в каталозі.
Що стосується частини LDAP нашої первинної відповіді, то вона єабревіатура для легкого протоколу доступу до каталогу. Простіше кажучи, LDAP визначає, як інформація про ресурси зберігається в базі даних та як доступ до цієї інформації. Це стандартний галузевий протокол, який ділиться декількома постачальниками, що, на жаль, не означає, що різні реалізації є сумісними.
Структура Active Directory є ієрархічноюорганізація об’єктів. Існує три основні категорії об'єктів: ресурси (наприклад, комп'ютери чи принтери, наприклад), послуги (наприклад, електронна пошта) та користувачі (облікові записи користувачів та групи користувачів). Active Directory надає інформацію про об'єкти, організовує їх та контролює їх доступ та безпеку. Це, для всіх цілей, це база даних записів, кожен з яких має ім'я та набір атрибутів. Кожен атрибут має ім'я, тип та одне чи багато значень. Атрибути визначені в схемі бази даних.
Ви можете думати про ієрархічну структуруБаза даних Active Directory як файлова система. І так само, як файлова система має контейнери (звані каталоги або папки), AD має їх також. Їх називають організаційними підрозділами (OU) і вони допомагають групувати пов'язані речі. Системні адміністратори можуть створювати НУ так, як вони вважають за потрібне, і це не рідкість, наприклад, бачити окремі НУ для кожного відділу організації.
Домени Active Directory
Тепер, коли ми всі на одній сторінці, як і до чогоActive Directory - давайте подивимось на домени. Цікаво, що домени передували Active Directory кілька років. Ще до того, як Microsoft випустила власну службу каталогів LDAP в 1999 році, домени існували з перших днів Windows NT. У типовій мережі серверів Windows принаймні один з них - а часто два і більше - налаштований як контролери домену. Це сервери, що розміщують доменну базу даних, тим самим аутентифікуючи користувачів та контролюючи доступ до ресурсів. Інформація, яку вони тримають, повторюється між ними. І останнє, але не менш важливе, об’єкти в домені є організовано ієрархічно.
Дерева та ліс
Для опису часто використовується аналогія деревієрархічні структури, такі як домен. Але за допомогою Active Directory Microsoft вирішила просунути цю аналогію ще на крок далі, і вона називає ієрархічну структуру доменів деревом. Пам'ятайте, що домен - це група ресурсів, що перебувають під контролем однієї бази даних, але дерево, з різних причин може складатися з декількох доменів. Це щось, що насправді є досить поширеним у великих організаціях, і зовсім не рідко бачити по одному домену для кожного підрозділу великої компанії. А для ще більших організацій дерева можна згрупувати в ліси. Це найвищий елемент в Active Directory, і все інше походить з нього.
Управління та моніторинг Active Directory
Моніторинг - це все! Якщо ви адміністратор мережі або системних систем, ви, ймовірно, цю фразу чули незліченну кількість разів. А ви знаєте що? Це все! Моніторинг - це один із найкращих способів залишатися на вершині речей. Існують різні типи інструментів моніторингу, які дозволять отримати саме той тип показників, який ви хочете. Наприклад, моніторинг пропускної здатності буде повідомляти про використання різних сегментів мережі, моніторинг процесора відображатиме показники процесора ваших серверів. Більшість оперативних показників систем і мереж можна контролювати. Основна перевага використання засобів моніторингу полягає в тому, що вони в основному є автоматичними. Вам не потрібно постійно спостерігати за ними. Кожного разу, коли щось незвичне, ваш моніторинговий інструментарій (и) буде попереджати вас.
У випадку Active Directory - кількапараметри можна контролювати. Наприклад, контролери домену - сервери, на яких зберігається база даних домену - можуть відслідковуватися на відповідь та продуктивність. Зміни в правах доступу також можуть бути відстежені з певною перевагою. Вхід - особливо невдалий - ще один параметр, який варто контролювати, оскільки це може бути ознакою шкідливої активності.
Активне управління каталогами - це щось інше. Microsoft надає кілька інструментів, які допоможуть вам керувати Active Directory. Вони дозволять вам створювати об’єкти, призначати права та зазвичай виконувати більшу частину щоденних дій, пов’язаних із управлінням AD. Однак деякі з цих інструментів можуть виявитись досить громіздкими або непрактичними у використанні, і кілька постачальників активізували запропонувати різні інструменти управління Active Directory, які можуть значно полегшити завдання адміністрування Active Directory.
Найкращі інструменти AD
Ми шукали ринок для одних з найкращихІнструменти Active Directory. Сьогодні ми маємо для вас сукупність інструментів моніторингу - деяких специфічних для AD та деяких загальних - та інструментів управління. Усі вони можуть вам допомогти - і це був один з наших головних критеріїв включення - у щоденних завданнях, що стосуються Active Directory. Деякі орієнтовані на безпеку, а інші - на продуктивність.
1- Менеджер прав доступу SolarWinds (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Сонячні вітри є одним з найкращих видавців програмного забезпечення для мережевого та системного адміністрування. Його флагманський продукт називався Монітор ефективності роботи мережі послідовно забиває серед найкращих мережсистеми контролю пропускної здатності. Крім того, компанія також славиться своїм безкоштовним програмним забезпеченням. Ми говоримо про менші інструменти, кожен з яких відповідає конкретній потребі адміністраторів мережі. Два чудових приклади цих безкоштовних інструментів - це Розширений калькулятор підмережі і Сервер Kiwi Syslog.
Незважаючи на дещо оманливу назву, яка може привести вас до думки, що вона стосується лише дозволів об'єкта, Менеджер прав доступу SolarWinds в першу чергу спрямована на забезпечення надання користувачем послугі спрощення, відстеження та моніторинг легко. Він також пропонує потужний та простий спосіб керування та контролю дозволу користувача, щоб гарантувати відсутність зайвих дозволів.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Менеджер прав доступу SolarWinds
- Посилання для завантаження: https://www.solarwinds.com/access-rights-manager/registration
Одна з найбільших сил цього продуктуйого інтуїтивно зрозуміла панель керування користувачами, яку ви можете використовувати для створення, зміни, видалення, активації та деактивації доступу користувачів до різних файлів і папок. У ньому представлені шаблони для ролей, які можуть легко надати користувачам доступ до певних ресурсів у вашій мережі.
Також дуже цікаві і досить унікальні Менеджер прав доступу SolarWindsФункції звітування. Програмне забезпечення може створювати звіти, які можуть бути використані як докази у випадку суперечок чи можливих судових спорів. Також доступні детальні звіти з метою аудиту та відповідності специфікаціям, встановленим нормативними стандартами, що застосовуються до вашого бізнесу. Звіти можна швидко та легко створити за допомогою лише декількох клацань миші. Вони можуть включати будь-яку інформацію, яка вам може бути корисною. Наприклад, діяльність журналу в Active Directory та доступ до файлового сервера може бути включена у звіт. Користувач повинен зробити їх узагальненими або настільки детальними, як потрібно.
Напади та / або витоки даних часто трапляються, колипапки та / або їх вміст отримують доступ до користувачів, які не мають (або не повинні) - доступу до них - звичайна ситуація, коли користувачам надається широкий доступ до папок або файлів. The Менеджер прав доступу SolarWinds може допомогти вам запобігти цим видам протікань танесанкціоновані зміни конфіденційних даних та файлів. Він пропонує адміністраторам візуальне подання дозволів для декількох файлових серверів, і це легко і візуально дозволяє побачити, хто має який дозвіл на який файл.
Ціноутворення на Менеджер прав доступу SolarWinds базується на кількості активованих користувачів в Active Directory. В Сонячні вітри Активований користувач або активнийобліковий запис користувача або обліковий запис служби. Ціни на товар починаються від $ 2 995 для до 100 активних користувачів. Для більшої кількості користувачів (до 10 000) детальну ціну можна отримати, звернувшись до відділу продажів SolarWinds. Якщо ви хочете надати інструменту тестовий запуск, перш ніж придбати його, можна отримати безкоштовну необмежену 30-денну пробну версію.
2- Монітор сервера та додатків SolarWinds (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
The Монітор сервера та додатків SolarWinds був розроблений, щоб допомогти адміністраторам контролюватисервери, їх експлуатаційні параметри, їх процеси та програми, що працюють на них. Це один з найкращих інструментів, який можна використовувати для контролю ваших контролерів домену Active Directory та критичних служб, які вони потребують. Але інструмент також буде контролювати будь-який або всі ваші сервери. Він може легко масштабуватись від найменших мереж до великих із сотнями серверів - як фізичних, так і віртуальних - поширюватися на декілька сайтів.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Монітор сервера та додатків SolarWinds
- Посилання для завантаження: https://www.solarwinds.com/server-application-monitor/registration
Моніторинг продуктивності Active Directory, який пропонує компанія Монітор сервера та додатків SolarWinds дає вам зрозуміти проблеми Active Directoryпов'язані з обліковими записами користувачів, такими як створення облікових записів, спроби зміни пароля та скидання, відключені та видалені облікові записи користувачів. Він також надасть інформацію про зміни доменних та системних політик та відновлення даних так само, як він також забезпечує розуміння налаштувань брандмауера та інших системних змін та запущених служб. Інструмент також дозволяє контролювати сеанси LDAP. Оскільки кількість підключених клієнтів впливає на завантаження сервера, інструмент буде стежити за лічильниками об'єктів NTDS, щоб запобігти перевантаженню сервера, підключеному до конкретного сеансу LDAP. Крім того, програмне забезпечення може забезпечити розуміння передової статистики, наприклад, активних потоків LDAP, часу зв'язування, клієнтських сеансів, успішних зв'язків / сек та пошуку / сек.
Початкова конфігурація продукту швидкоі легко зробити за допомогою двопрохідного процесу автоматичного виявлення. Перший прохід виявляє кожен сервер, а другий знайде програми на кожному виявленому сервері. Хоча цей процес може зайняти час, його можна пришвидшити, надавши список конкретних програм, які потрібно шукати. Після запуску інструменту, зручний інтерфейс користувача робить його легким. Інформаційну панель інструменту можна персоналізувати, і вона дозволить відображати інформацію в таблиці або графічному форматі.
Ціна за Монітор сервера та додатків SolarWinds починається з $ 2 995 і базується на кількості компонентів, вузлів та об'ємів, що контролюються. Для завантаження доступна безкоштовна 30-денна пробна версія, якщо ви хочете спробувати продукт перед його придбанням.
3- Безкоштовні інструменти AD від ManageEngine
ManageEngine - ще одне відоме ім’я з системними та мережевими адміністраторами. Його ManageEngine OpManager Пакет входить в топ ІТ-інфраструктуриінструменти моніторингу Як і деякі її конкуренти, ManageEngine робить чудові безкоштовні інструменти. Що стосується Active Directory, компанія пропонує не менше п’ятнадцяти безкоштовних інструментів, які можуть допомогти в моніторингу та адмініструванні вашої інфраструктури AD. Існує комбінація автономних програм і командлетів Powershell. Більшість інструментів поєднуються в один завантажувач, тому отримання їх не повинно бути великою проблемою. Давайте подивимось, які є найцікавіші з цих інструментів.
- Інструмент запитів AD, як випливає з назви, дозволяє читати будь-які дані атрибутів, потрібні з Active Directory
- Останній шукач входу використовується для списку останнього часу входу всіх або вибраних користувачів у всіх вибраних контролерах домену в домені. Зазвичай він використовується для проведення аудиторських та очисних робіт.
- Менеджер реплікацій Active Directory дозволяє адміністраторам реплікацію даних у домені, а також надає вичерпні звіти про останню реплікацію.
- Репортер ролей контролера домену перелічує всі контролери домену та їх відповідні ролі в домені.
- Інструмент моніторингу контролера домену це простий, але потужний інструмент. Він автоматично відкриє домени та відображатиме їх, показуючи важливі параметри контролерів домену, такі як використання процесора, використання диска та використання пам'яті.
- Менеджер політики паролів дозволяє одне завантаження та перегляд та редагування - за умови, що він має належні права - політику пароля домену.
- Активний пошук дублікатів Active Directory це утиліта Powershell, яка дозволяє адміністраторам ідентифікувати повторювані записи для атрибутів Active Directory у домені.
- Управління рахунками послуг розроблений, щоб допомогти вам легко створити, редагувати та видаляти керовані облікові записи послуг лише у кілька кліків.
- Звіт про слабкі користувачі паролів допомагає знаходити слабкі паролі в Active Directory, порівнюючи паролі користувачів зі списком із понад 100 000 часто використовуваних слабких паролів.
Це лише деякі з багатьох безкоштовних Інструменти Active Directory надається ManageEngine. Хоча використання окремих інструментів для кожної окремої задачі, мабуть, не настільки практичне, як використання інтегрованого інструменту з усіма вбудованими функціональними можливостями, ціна цих інструментів важко перемогти і, безумовно, може зробити їх варіантом, який варто розглянути.
4- Активний адміністратор
Останній у нашому списку є Активний адміністратор з Квест-програмне забезпечення, тепер частина Dell. Це повний та інтегрований ActiveПрограмне рішення для управління каталогами. Це усуває прогалини, які деякі інструменти Microsoft залишають після себе. Це такий інструмент, за допомогою якого можна легше та швидше відповідати вимогам безпеки та аудиту. Він має функції, що стосуються багатьох найважливіших напрямків управління AD.
Серед основних особливостей інструменту, Активний адміністратор пропонує інтегровану, активну адміністрацію. Це також дуже потужний інструмент моніторингу, який має інтуїтивне звітування та оповіщення, що дозволяє швидко виявляти зміни та повідомляти про них, фільтруючи за типом події, користувачем та датою, а також за входом у систему та активами блокування. Ви також можете встановити сповіщення про події та автоматично запустити дії на основі попередження.
Ціноутворення на Активний адміністратор дозволено обліковому запису користувача у вашому ActiveКаталог, і він починається від $ 16,37 за вічну ліцензію з однорічною підтримкою. Необхідно придбати мінімальну ліцензію на 20 облікових записів користувачів. Безкоштовну 30-денну пробну версію можна завантажити.
Коментарі