Въведение в домейни и гори в Active Directory

Още от създаването си, почти точно преди 20 години с въвеждането на Windows 2000 Server Edition през февруари 1999 г., Active Directory е ключов компонент на екосистемата на сървъра на Microsoft. Основната му цел е съхраняване на информация за мрежовите ресурси. Компютърните мрежи могат да бъдат доста сложни. Следователно, Active Directory също е сложен, поради което основната ни цел днес е да ви запознаем с домейните и горите на Active Directory.

Нямаме намерение да ви правим експерти в Active Directory, но се надяваме да хвърлим малко светлина върху тази сложна тема. Освен това, като се има предвид сравнително високото ниво на сложност на технологията, не е изненада, че са създадени няколко инструмента на трети страни за наблюдение и / или управление на различни аспекти на Active Directory. Така че, ще разгледаме какво могат да направят някои от вас.

Ето как планираме пътуването си в основата на Active Directory: Ще започнем да вдигаме всякакво объркване, което би могло да има с концепцията за домейн. Той е ключов елемент на AD, но също така и ключов елемент на Интернет и въпреки това, те са два напълно различни типа домейни, които не трябва да се бъркат. След това ще въведем Active Directory, какво представлява и откъде идва. След това ще обсъдим AD домейните и дърветата, които използваме за представяне на тяхната структура. В природата група дървета се наричат ​​гора. Е, същото е и в Active Directory, както ще видим по-нататък. Управлението и мониторинга на Active Directory ще бъде следващият ни ред на работа и накрая, докато по темата ще разгледаме някои от най-добрите инструменти за мониторинг и управление на Active Directory.

Избягване на объркване - какво е домейн?

Един домейн може да бъде много неща в зависимост от това в какво поле се намирате. И дори в рамките на информационните технологии, терминът домейн се използва за две много различни неща. Първият вид домейн, с който са запознати най-много компютърни потребители - дори и тези, които не са компютърни учени, е интернет домейнът. Това е група от интернет ресурси, принадлежащи на конкретна организация. Имената на домейни се използват за достъп до различни ресурси, като се използват удобни (er) имена, а не криптични IP адреси. Например addictivetips.com е името на домейна на този уебсайт. Microsoft.com е друго добре познато име на домейн и почти съм сигурен, че лесно можете да измислите още десетки.

Другото място, където терминът домейн се използва широко, е свързано с Active Directory. Домейнът Active Directory е група от ресурси (забележите сходството с предишните домейни?), Обхванати от една единствена база данни за удостоверяване. Ще опишем AD домейни по-подробно скоро. Засега ключът е да се разбере, че един и същ термин се използва за дефиниране на две напълно несвързани понятия и че е важно да не се смесват, тъй като те определено не са едно и също нещо.

Активна директория накратко

Първият въпрос, който хората обикновено задават за Active Directory е: Какво е точно? Отговорът е прост, това е, че Microsoft е внедряване на услуга на директория LDAP. Въпреки че този отговор е абсолютно точен, той е вероятно безполезен и повдига повече въпроси, отколкото дава отговор.

Нека копаем. Първо, услуга на директория, в контекста на компютърните мрежи, е база данни, която съдържа информация за всеки компонент на мрежа. Под компоненти имаме предвид всеки компютър и сървър, но също така всеки потребител или група потребители или всяка директория. Можете да мислите за това като телефонен указател. Всеки ресурс, който трябва да намери друг ресурс, го търси в директорията.

Що се отнася до LDAP част от първоначалния ни отговор, това е съкращение за протокол за лек достъп до директория. Казано по-просто, LDAP определя как информацията за ресурсите се съхранява в базата данни и как може да се получи достъп до тази информация. Това е стандартен за индустрията протокол, споделян от няколко доставчици, което, за съжаление, не означава, че различните имплементации са оперативно съвместими.

Структурата на Active Directory е йерархична организация на обекти. Има три основни категории обекти: ресурси (например компютри или принтери, например), услуги (като имейл) и потребители (потребителски акаунти и групи потребители). Active Directory предоставя информация за обектите, организира ги и контролира техния достъп и сигурност. Това е, за всички цели, база данни с записи, като всеки запис има име и набор от атрибути. Всеки атрибут има име, тип и една или много стойности. Атрибутите са определени в схемата на базата данни.

Можете да мислите за йерархичната структура на базата данни на Active Directory като тази на файлова система. И точно както файловата система има контейнери (наречени директории или папки), AD ги има и тях. Те се наричат ​​Организационни единици (ОУ) и помагат заедно да групират свързани неща. Системните администратори са свободни да създават ОУ, както сметнат за добре и не е рядкост, например, да виждат отделни ОУ за всеки отдел на организация.

Домейни на Active Directory

Сега, когато всички сме на една и съща страница с това, което представлява Active Directory, нека да разгледаме домейните. Интересното е, че домейните предхождат Active Directory от няколко години. Дори преди Microsoft да пусне своя собствена услуга LDAP директория през 1999 г., домейни съществуват от първите дни на Windows NT. В типичната мрежа на Windows сървъри, поне един от тях - а често и два или повече - са конфигурирани като контролери на домейни. Те са сървърите, хостващи базата данни на домейна, като по този начин удостоверяват потребителите и контролират достъпа до ресурси. Информацията, която притежават, се възпроизвежда между тях. И не на последно място, обектите в даден домейн сте организирани по йерархичен начин.

Дърветата и гората

Дълбовата аналогия често се използва за описание на йерархични структури, като например домейн. Но с Active Directory, Microsoft реши да прокара тази аналогия една стъпка по-нататък и нарича йерархична структура на домейни дърво. Не забравяйте, че един домейн е група от ресурси под контрола на една база данни, но дърво, поради различни причини може да се състои от няколко домена. Това е нещо, което всъщност е доста често срещано в по-големите организации и изобщо не е рядкост да се вижда по един домейн за всяко подразделение на голяма компания. И за още по-големи организации дърветата могат да се групират в, предполагате, гори. Това е най-горният елемент в Active Directory и всичко останало произлиза от него.

Управление и наблюдение на Active Directory

Мониторингът е всичко! Ако сте мрежови или системни администратори, вероятно сте чували тази фраза безброй пъти. И знаеш ли какво? Това е всичко! Мониторингът е един от най-добрите начини да останете на върха на нещата. Съществуват различни видове инструменти за мониторинг, които ще ви позволят да получите точно вида на показателите, които търсите. Например, мониторинг на честотната лента ще отчита използването на различни сегменти на мрежата, Мониторинг на процесора ще покаже показанията на процесора на сървърите ви. Повечето оперативни показатели на системи и мрежи могат да бъдат наблюдавани. Основното предимство на използването на инструменти за мониторинг е, че те са предимно автоматични. Не е нужно да ги наблюдавате постоянно. Винаги, когато нещо не е обичайно, вашият инструмент (и) за мониторинг ще ви предупреди.

В случая на Active Directory могат да се наблюдават няколко параметъра. Например контролерите на домейни - сървърите, където се съхранява базата данни на даден домейн, могат да бъдат наблюдавани за отговор и производителност. Промените в правата за достъп също биха могли да бъдат наблюдавани до известна полза. Вход - особено неуспешни - е друг параметър, който си струва да се следи, тъй като може да бъде индикация за злонамерена активност.

Active Directory Management е нещо друго. Microsoft предлага няколко инструмента, за да ви помогне да управлявате Active Directory. Те ще ви позволят да създавате обекти, да присвоявате права и като цяло да извършвате по-голямата част от ежедневните дейности, свързани с управлението на AD. Някои от тези инструменти обаче могат да се окажат доста тромави или непрактични за използване и няколко доставчици са стъпили до предлагане на различни инструменти за управление на Active Directory, които могат да направят задачата да администрират Active Directory много по-лесно.

Най-добрите AD инструменти

Разгледахме пазара за някои от най-добрите инструменти на Active Directory. Това, което днес имаме за вас, е комбинация от инструменти за мониторинг - някои специфични за AD и някои общи - и инструменти за управление. Всички те могат да ви помогнат - и това беше един от основните ни критерии за включване - с ежедневните ви задачи, тъй като се отнасят до Active Directory. Някои от тях са ориентирани към сигурността, докато други са ориентирани към ефективността.

SolarWinds е един от най-добрите издатели на софтуер за мрежово и системно администриране. Нейният водещ продукт, наречен the Монитор на ефективността на мрежата последователно оценява сред най-добрите мрежови системи за наблюдение на честотната лента. Освен това компанията е известна и със своя безплатен софтуер. Говорим за по-малки инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Два страхотни примера за тези безплатни инструменти са Разширен калкулатор на подмрежата и на Киви Syslog сървър.

Въпреки донякъде подвеждащо име, което може да ви накара да повярвате, че се занимава само с разрешения за обекти, SolarWinds Мениджър за права на достъп е насочена главно към улесняване на осигуряването на потребителите и отнемането им, проследяването и мониторинга. Той също така предлага мощен и лесен начин за управление и наблюдение на потребителското разрешение, за да се гарантира, че не се предоставят ненужни разрешения.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Мениджър за права на достъп
• Линк за изтегляне: https://www.solarwinds.com/access-rights-manager/registration

Една от най-големите сили на този продукт е неговото интуитивно табло за управление на потребителите, което вие може да се използва за създаване, промяна, изтриване, активиране и деактивиране на потребителски достъп до различни файлове и папки. Той има шаблони, специфични за ролите, които лесно могат да дадат на потребителите достъп до конкретни ресурси във вашата мрежа.

Също така много интересни и доста уникални са SolarWinds Мениджър за права на достъпФункции за отчитане. Софтуерът може да създава доклади, които могат да се използват като доказателство в случай на спорове или евентуални съдебни спорове. Налични са и подробни отчети за одитни цели и за съответствие със спецификациите, определени от регулаторните стандарти, приложими за вашия бизнес. Отчетите могат да бъдат създадени бързо и лесно само с няколко кликвания. Те могат да включват всяка информация, която може да ви се стори полезна. Например дейностите в журнала в Active Directory и достъпа до файлов сървър могат да бъдат включени в отчет. От потребителя зависи да ги направи максимално обобщени или подробни, колкото им е необходимо.

Атаки и / или течове на данни често се случват, когато папки и / или тяхното съдържание се осъществяват от потребители, които не са - или не трябва да бъде разрешено за достъп до тях, често срещана ситуация, когато на потребителите се предоставя широкообхватен достъп до папки или файлове. Най- SolarWinds Мениджър за права на достъп може да ви помогне да предотвратите тези видове течове и неоторизирани промени на поверителни данни и файлове. Той предлага на администраторите визуално представяне на разрешения за множество файлови сървъри и лесно и визуално ви позволява да видите кой има какво разрешение за какъв файл.

Цени за SolarWinds Мениджър за права на достъп се базира на броя активирани потребители в Active Directory. в SolarWinds Активиран потребител е активен потребителски акаунт или акаунт за услуга. Цените за продукта започват от $ 2 995 за до 100 активни потребители. За повече потребители (до 10 000), подробни цени могат да бъдат получени, като се свържете с продажбите на SolarWinds. Ако искате да изпробвате инструмента, преди да го закупите, може да се получи безплатна неограничена 30-дневна пробна версия.

Най- SolarWinds сървър и монитор на приложения е създаден, за да помогне на администраторите да наблюдават сървърите, техните експлоатационни параметри, техните процеси и приложенията, които работят върху тях. Това е един от най-добрите инструменти, които можете да използвате, за да наблюдавате вашите Active Directory контролери на домейни и критичните услуги, които те трябва да работят. Но инструментът също ще следи всеки или всичките ви сървъри. Той може лесно да мащабира от най-малките мрежи до големи със стотици сървъри - както физически, така и виртуални - разпространени в множество сайтове.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds сървър и монитор на приложения
• Линк за изтегляне: https://www.solarwinds.com/server-application-monitor/registration

Мониторингът на ефективността на Active Directory, предлаган от SolarWinds сървър и монитор на приложения ви дава информация за проблемите на Active Directory, свързани с потребителския акаунт, като например създаване на акаунт, опит за промяна на парола и нулиране, деактивирани и изтрити потребителски акаунти. Той също така ще предоставя информация за промените в политиката за домейни и системни политики и възстановяване на данни, точно както предоставя и вникване в настройките на защитната стена и други промени в системата и текущите услуги. Инструментът също така позволява мониторинг LDAP сесии. С броя на свързаните клиенти, влияещи върху натоварването на сървъра, инструментът ще следи NTDS броячите на обекти, за да предотврати претоварването на сървъра, свързано към конкретна сесия LDAP. В допълнение, софтуерът може да осигури поглед върху напредналата статистика, като LDAP активни нишки, време за обвързване, клиентски сесии, успешни връзки / сек и търсене / сек.

Първоначалната конфигурация на продукта се извършва бързо и лесно с помощта на двупроходен процес на автоматично откриване. Първият пропуск открива всеки сървър, а вторият ще намира приложения на всеки открит сървър. Въпреки че този процес може да отнеме време, той може да бъде ускорен, като предостави списък с конкретни приложения, които да търсите. След като инструментът е стартиран и работещ, удобният за потребителя графичен интерфейс го прави лесно. Таблото за управление на инструмента може да бъде персонализирано и то ще ви позволява да показвате информация или в таблица, или в графичен формат.

Цена за SolarWinds сървър и монитор на приложения започва от $ 2 995 и се базира на броя на наблюдаваните компоненти, възли и обеми. А безплатна 30-дневна пробна версия е достъпна за изтегляне, ако искате да опитате продукта, преди да го закупите.

3- Безплатни AD инструменти от ManageEngine

ManageEngine е друго добре познато име със системни и мрежови администратори. негов ManageEngine OpManager пакет е сред най-добрите инструменти за мониторинг на ИТ инфраструктурата. Подобно на някои от конкурентите си, ManageEngine прави страхотни безплатни инструменти. А що се отнася до Active Directory, компанията предлага не по-малко от петнадесет безплатни инструменти, които могат да помогнат при наблюдението и администрирането на вашата AD инфраструктура. Има комбинация от самостоятелни програми и командлети на Powershell. Повечето от инструментите са в комплект с едно изтегляне, така че получаването им не трябва да представлява голям проблем. Нека да видим какви са най-интересните от тези инструменти.

• AD Query Tool, както подсказва името му, ви позволява да четете всички данни за атрибути, които се нуждаете от Active Directory
• Последно търсене на вход се използва за изброяване на последното време за влизане на всички или на избрани потребители във всички избрани контролери на домейна в домейна. Обикновено се използва за одитни и почистващи дейности.
• Active Directory Replication Manager дава възможност на администраторите да репликират данни в даден домейн, както и предоставя изчерпателни отчети за последната репликация.
• Репортер на ролите на контролера на домейни изброява всички контролери на домейна и съответните им роли в домейна.
• Инструмент за мониторинг на домейн контролер е прост, но мощен инструмент. Той автоматично ще открива домейни и ще ги показва, показва важни параметри на контролерите на домейни като използване на процесора, използване на дискове и използване на паметта.

• Мениджър на политиките за пароли позволява на едно извличане и преглед и редактиране - при условие че има подходящи права - правилата за паролата на домейна.
• Active Directory Duplicate Finder е програма на Powershell, която позволява на администраторите да идентифицират дублиращи се записи за атрибути на Active Directory в даден домейн.
• Управление на акаунти за услуги е създаден да ви помогне лесно да създавате, редактирате и изтривате управлявани акаунти за услуги само с няколко кликвания.
• Доклад за слаби пароли потребители помага да намерите слаби пароли в Active Directory, като сравнява паролите на потребителите със списък от над 100 000 често използвани слаби пароли.

Това са само част от многото безплатни Инструменти за активен указател предоставени от ManageEngine. Въпреки че използването на отделни инструменти за всяка отделна задача вероятно не е толкова практично, колкото използването на интегриран инструмент с всички вградени функционалности, цената на тези инструменти е трудно да се преодолее и със сигурност може да ги направи опция си струва имайки в предвид.

4- Активен администратор

Последно в нашия списък е Активен администратор от Quest софтуер, сега част от долчинка. Това е цялостно и интегрирано софтуерно решение за управление на Active Directory. Той преодолява пропуските, които някои от инструментите на Microsoft оставят след себе си. Това е видът инструмент, който може да улесни и бързо да се изпълнят изискванията за сигурност и одит. Той има функции, адресиращи много от най-важните области на управление на AD.

Сред основните функции на инструмента, Активен администратор предлага интегрирана, проактивна администрация. Това също е много мощен инструмент за наблюдение, който има интуитивно отчитане и предупреждение, което ви позволява бързо открийте промените и докладвайте за тях, като филтрирате по тип събитие, потребител и дата, както и потребителско вход и блокиране дейност. Можете също да зададете сигнали за събития и автоматично да стартирате действия, базирани на предупреждения.

Цени за Активен администратор е на разрешен потребителски акаунт във вашия Active Directory и започва от $ 16.37 за постоянен лиценз с едногодишна поддръжка. Трябва да се закупи минимален лиценз за 20 потребителски акаунта. Може да се изтегли безплатна 30-дневна пробна версия.