Active Directory-domæner og skove Introduktion

Lige siden starten, næsten nøjagtigt for 20 år siden med introduktionen af ​​Windows 2000 Server Edition i februar 1999, Active Directory har været en nøglekomponent i Microsofts serverøkosystem. Dets primære formål er at holde information om netværksressourcer. Computernetværk kan være temmelig kompliceret. Derfor har Active Directory også en tendens til at være kompliceret, hvorfor vores vigtigste mål i dag er at give dig en introduktion til Active Directory-domæner og skove.

Vi har ikke til hensigt at gøre dig til Active Directory-eksperter, men vores håb er at kaste lys over dette komplicerede emne. I betragtning af teknologiens relativt høje kompleksitet er det ikke overraskende, at der er oprettet flere tredjepartsværktøjer til at overvåge og / eller styre forskellige aspekter af Active Directory. Så vi skal se på, hvad nogle af dem kan gøre for dig.

Sådan planlægger vi vores rejse ind i kernen i Active Directory: Vi starter med at løfte enhver forvirring, der måtte være med begrebet domæne. Det er et nøgleelement i AD, men også et nøgleelement på Internettet, og alligevel er de to helt forskellige typer domæner, som ikke bør forveksles. Vi introducerer derefter Active Directory, hvad det er, og hvor det kommer fra. Dernæst diskuterer vi AD-domæner og de træer, vi bruger til at repræsentere deres struktur. I naturen kaldes en gruppe træer en skov. Nå, det samme er tilfældet i Active Directory, som vi ser næste. Administrering og overvågning af Active Directory vil være vores næste forretningsorden, og endelig, mens vi handler om emnet, gennemgår vi nogle af de bedste Active Directory-overvågnings- og styringsværktøjer.

Undgå forvirring - Hvad er et domæne?

Et domæne kan være mange ting, afhængigt af hvilket felt du befinder dig i. Og selv inden for informationsteknologi bruges udtrykket domæne til to meget forskellige ting. Den første slags domæne, den mest computerbrugere - også dem, der ikke er computerforskere - er bekendt med, er internetdomænet. Det er en gruppe internetressourcer, der tilhører en bestemt organisation. Domænenavne bruges til at få adgang til forskellige ressourcer ved hjælp af brugervenlige (er) navne snarere end kryptiske IP-adresser. F.eks. Er addictivetips.com domænenavnet på dette websted. Microsoft.com er et andet velkendt domænenavn, og jeg er temmelig sikker på, at du nemt kan tænke på snesevis mere.

Det andet sted, hvor udtrykket domæne er vidt brugt, er relateret til Active Directory. Et Active Directory-domæne er en gruppe ressourcer (bemærk ligheden med de tidligere domæner?) Dækket af en enkelt godkendelsesdatabase. Vi vil snart beskrive AD-domæner i større detaljer. For øjeblikket er nøglen at forstå, at det samme udtryk bruges til at definere to totalt uafhængige begreber, og at det er vigtigt ikke at blande dem sammen, da de bestemt ikke er den samme ting.

Aktiv telefonbog i et nøddeskal

Det første spørgsmål, som folk normalt spørger om Active Directory, er: Hvad er det, nøjagtigt? Svaret er enkelt, det er Microsofts implementering af en LDAP-katalogtjeneste. Selvom dette svar er helt nøjagtigt, er det muligvis nytteløst, og det rejser flere spørgsmål, end det svarer.

Lad os grave os ned. For det første er en katalogtjeneste i forbindelse med computernetværk en database, der indeholder oplysninger om hver eneste komponent i et netværk. Med komponenter menes vi hver computer og server, men også hver bruger eller gruppe af brugere eller hvert bibliotek. Du kan tænke på det som et telefonkatalog. Enhver ressource, der skal finde en anden ressource, søger den op i biblioteket.

Hvad angår LDAP-delen af ​​vores oprindelige svar, er det et forkortelse for letvægtsvejledningsadgangsprotokol. Kort sagt definerer LDAP, hvordan information om ressourcer gemmes i databasen, og hvordan disse oplysninger kan fås. Det er en industristandardprotokol, der deles af flere leverandører, hvilket desværre ikke betyder, at forskellige implementeringer er interoperable.

En Active Directory-struktur er en hierarkisk organisering af objekter. Der er tre primære kategorier af objekter: ressourcer (f.eks. Computere eller printere), tjenester (som e-mail) og brugere (brugerkonti og brugergrupper). Active Directory giver oplysninger om objekterne, organiserer dem og kontrollerer deres adgang og sikkerhed. Det er til alt et formål en database med poster, hvor hver post har et navn og et sæt attributter. Hver attribut har et navn, en type og en eller mange værdier. Attributter er defineret i databasens skema.

Du kan tænke på den hierarkiske struktur i en Active Directory-database som strukturen i et filsystem. Og ligesom et filsystem har containere (kaldet mapper eller mapper), så har AD dem også. De kaldes organisationsenheder (OU) og hjælper dem med at gruppere ting sammen. Systemadministratorer er frie til at oprette OU'er, som de synes passende, og det er ikke ualmindeligt, for eksempel at se individuelle OU'er for hver afdeling i en organisation.

Active Directory-domæner

Nu hvor vi alle er på den samme side om, hvad Active Directory er, så lad os se på domæner. Interessant nok domæner foregår Active Directory i flere år. Selv før Microsoft frigav deres egen LDAP-katalogtjeneste i 1999, havde der eksisteret domæner siden de tidlige dage af Windows NT. I et typisk netværk af Windows-servere er mindst en af ​​dem - og ofte to eller flere - konfigureret som domænecontrollere. De er de servere, der er vært for domænedatabasen, og derved autentificerer brugere og kontrollerer adgangen til ressourcer. De oplysninger, de har, kopieres mellem dem. Og sidst men ikke mindst objekterne i et domæne er organiseret på en hierarkisk måde.

Træerne og skoven

En træanalogi bruges ofte til at beskrive hierarkiske strukturer såsom et domæne. Men med Active Directory har Microsoft besluttet at skubbe den analogi et skridt videre, og det kalder en hierarkisk struktur af domæner et træ. Husk, at et domæne er en gruppe ressourcer under kontrol af en database, men et træ, af forskellige grunde kan bestå af flere domæner. Dette er noget, som faktisk er ret almindeligt i større organisationer, og det er slet ikke ualmindeligt at se et domæne for hver afdeling i et stort firma. Og for endnu større organisationer kan træer grupperes i, du gætte det, skove. Dette er det øverste element i Active Directory, og alt andet stammer fra det.

Håndtering og overvågning af Active Directory

Overvågning er alt! Hvis du er et netværk eller systemadministratorer, har du sandsynligvis hørt den sætning utallige gange. Og ved du hvad? Det er alt! Overvågning er en af ​​de bedste måder at holde sig på toppen af ​​tingene. Der findes forskellige typer overvågningsværktøjer, der giver dig mulighed for at opnå nøjagtigt den type metrics, du følger efter. For eksempel, båndbreddeovervågning rapporterer om brugen af ​​forskellige segmenter i et netværk, CPU-overvågning viser dine serveres CPU-målere. De fleste operationelle målinger for systemer og netværk kan overvåges. Den største fordel ved at bruge overvågningsværktøjer er, at de for det meste er automatiske. Du behøver ikke konstant at se dem. Hver gang noget er usædvanligt, advarer dit overvågningsværktøj (er) dig.

I tilfælde af Active Directory kan flere parametre overvåges. For eksempel kunne domænecontrollere - de servere, hvor et domænes database er gemt - overvåges for respons og ydeevne. Ændringer i adgangsrettigheder kunne også overvåges til en vis fordel. Login - især mislykkede - er en anden parameter, der er værd at overvåge, da det kan være en indikation af ondsindet aktivitet.

Active Directory Management er noget andet. Flere værktøjer leveres af Microsoft til at hjælpe dig med at administrere Active Directory. De giver dig mulighed for at oprette objekter, tildele rettigheder og generelt udføre det meste af den daglige aktivitet relateret til AD-styring. Nogle af disse værktøjer kan dog vise sig at være temmelig besværlige eller upraktiske at bruge, og adskillige leverandører er trådt hen op til at tilbyde forskellige Active Directory Management-værktøjer, der kan gøre opgaven med at administrere Active Directory meget nemmere.

De bedste AD-værktøjer

Vi har skåret markedet for nogle af de bedste Active Directory-værktøjer. Det, vi har til dig i dag, er en blanding af overvågningsværktøjer - nogle AD-specifikke og nogle generiske - og styringsværktøjer. Alle af dem kan hjælpe dig - og dette var et af vores vigtigste inkluderingskriterier - med dine daglige opgaver, når de vedrører Active Directory. Nogle er sikkerhedsorienterede, mens andre er præstationsorienterede.

SolarWinds er en af ​​de bedste udgivere af netværks- og systemadministrationssoftware. Dets flagskibsprodukt kaldet the Network Performance Monitor konsekvent scorer blandt de øverste overvågningssystemer for båndbredde. Desuden er virksomheden også berømt for sin gratis software. Vi taler om mindre værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. To gode eksempler på disse gratis værktøjer er Avanceret undernetberegner og Kiwi Syslog Server.

På trods af et noget vildledende navn, der kan få dig til at tro, at det kun omhandler objekttilladelser, SolarWinds Access Rights Manager er primært rettet mod at gøre brugervenlig levering og unprovisioning, tracking og overvågning let. Det tilbyder også en kraftfuld og nem måde at styre og overvåge brugertilladelse for at sikre, at der ikke gives unødvendige tilladelser.

• GRATIS PRØVEVERSION: SolarWinds Access Rights Manager
• Download link: https://www.solarwinds.com/access-rights-manager/registration

En af de største styrker ved dette produkt er dets intuitive brugeradministrationspanel, som du kan bruges til at oprette, ændre, slette, aktivere og deaktivere brugeradgang til forskellige filer og mapper. Det indeholder rollespecifikke skabeloner, der let kan give brugerne adgang til specifikke ressourcer på dit netværk.

Også meget interessant og ganske unikt er SolarWinds Access Rights ManagerRapporteringsfunktioner. Softwaren kan oprette rapporter, der kan bruges som bevis i tilfælde af tvister eller eventuel retssag. Detaljerede rapporter til revisionsformål og til overholdelse af specifikationer, der er fastlagt i lovgivningsmæssige standarder, der gælder for din virksomhed, er også tilgængelige. Rapporter kan oprettes hurtigt og nemt med blot et par klik. De kan omfatte alle oplysninger, du måtte finde nyttige. For eksempel kan logaktiviteter i Active Directory- og filserveradganger inkluderes i en rapport. Det er op til brugeren at gøre dem så sammenfattede eller så detaljerede, som de har brug for.

Angreb og / eller datalækager sker ofte, når der er adgang til mapper og / eller deres indhold af brugere, der ikke er - eller bør ikke være autoriseret til at få adgang til dem, en almindelig situation, når brugere får bred adgang til mapper eller filer. Det SolarWinds Access Rights Manager kan hjælpe dig med at forhindre disse typer lækager og uautoriserede ændringer i fortrolige data og filer. Det tilbyder administratorer en visuel repræsentation af tilladelser til flere filservere, og det gør det nemt og visuelt, at man kan se, hvem der har tilladelse til, hvilken fil.

Priser for SolarWinds Access Rights Manager er baseret på antallet af aktiverede brugere i Active Directory. I SolarWinds parlance, er en aktiveret bruger enten en aktiv brugerkonto eller en servicekonto. Priserne for produktet starter ved $ 2 995 for op til 100 aktive brugere. For flere brugere (op til 10.000) kan detaljerede priser opnås ved at kontakte SolarWinds salg. Hvis du vil give værktøjet en testkørsel, før du køber det, en gratis ubegrænset 30-dages prøveversion kan fås.

Det SolarWinds Server og applikationsmonitor blev designet til at hjælpe administratorer med at overvåge servere, deres operationelle parametre, deres processer og de applikationer, der kører på dem. Det er et af de bedste værktøjer, du kan bruge til at overvåge dine Active Directory-domænekontrollere og de kritiske tjenester, som de har brug for at køre. Men værktøjet vil også overvåge en eller alle dine servere. Det kan nemt skaleres fra de mindste af netværk til store med hundreder af servere - både fysiske og virtuelle - spredt over flere websteder.

• GRATIS PRØVEVERSION: SolarWinds Server og applikationsmonitor
• Download link: https://www.solarwinds.com/server-application-monitor/registration

Active Directory-overvågning, der tilbydes af SolarWinds Server og applikationsmonitor giver dig indsigt i Active Directory-problemer relateret til brugerkonto som oprettelse af konto, ændring af adgangskode og nulstilling af forsøg, deaktiverede og slettede brugerkonti. Det vil også give oplysninger om domæne- og systempolitiske ændringer og datagendannelse, ligesom det også giver indsigt i firewallindstillinger og andre systemændringer og aktuelt kørende tjenester. Værktøjet tillader også overvågning af LDAP-sessioner. Med antallet af tilsluttede klienter, der påvirker serverbelastningen, overvåger værktøjet NTDS-objekttællere for at forhindre en serveroverbelastning, der er forbundet til en bestemt LDAP-session. Derudover kan softwaren give indsigt i avancerede statistikker, såsom LDAP aktive tråde, bindetid, klientsessioner, vellykkede bindinger / sek og søgninger / sek.

Produktets oprindelige konfiguration udføres hurtigt og nemt ved hjælp af en to-pass auto-opdagelsesproces. Den første passage opdager hver server, og den anden finder applikationer på hver opdaget server. Selvom denne proces kan tage tid, kan den fremskyndes ved at levere en liste over specifikke applikationer, du kan kigge efter. Når værktøjet er i gang, gør det brugervenlige GUI at bruge det til en leg. Værktøjets instrumentbræt kan tilpasses, og det giver dig mulighed for at få vist oplysninger i enten en tabel eller et grafisk format.

Pris for SolarWinds Server og applikationsmonitor starter ved $ 2 995 og er baseret på antallet af komponenter, knuder og volumen, der overvåges. EN gratis 30-dages prøveversion kan downloades, skal du prøve produktet, inden du køber det.

3- Gratis AD-værktøjer fra ManageEngine

ManageEngine er et andet velkendt navn med system- og netværksadministratorer. dens ManageEngine OpManager pakken er blandt de bedste overvågningsværktøjer til it-infrastruktur. Som nogle af sine konkurrenter laver ManageEngine nogle gode gratis værktøjer. Og når det kommer til Active Directory, tilbyder virksomheden ikke mindre end femten gratis værktøjer, der kan hjælpe med overvågning og administration af din AD-infrastruktur. Der er en kombination af uafhængige programmer og Powershell cmdlets. De fleste af værktøjerne er samlet i en enkelt download, så det bør ikke være meget problem at få dem. Lad os se, hvad nogle af de mest interessante af disse værktøjer er.

• AD Query Tool, som navnet antyder, giver dig mulighed for at læse de attributdata, du har brug for fra Active Directory
• Sidste login-søgning bruges til at liste den sidste logontid for alle eller for udvalgte brugere i alle de valgte domænestyrere i domænet. Det bruges typisk til revisions- og oprydningsaktiviteter.
• Active Directory Replication Manager muliggør administratorer replikering af data i et domæne samt leverer omfattende rapporter om den sidste replikering.
• Reporter for domænecontroller viser alle domænecontrollere og deres respektive roller i domænet.
• Domain Controller Monitoring Tool er et enkelt, men alligevel kraftigt værktøj. Det vil automatisk opdage domæner og vise dem ved at vise vigtige parametre for domænecontrollere såsom CPU Utilization, Disk Utilization og Memory Utilization.

• Password Policy Manager lader en hente og se og redigere - forudsat at han har de rette rettigheder - domænes adgangskodepolitik.
• Active Directory Duplicate Finder er et Powershell-værktøj, der lader administratorer identificere duplikatposter til Active Directory-attributter i et domæne.
• Styring af servicekonti er designet til at hjælpe dig med nemt at oprette, redigere og slette administrerede servicekonti med få klik.
• Rapport om brugere af svag adgangskode hjælper med at finde svage adgangskoder i Active Directory ved at sammenligne brugernes adgangskoder med en liste over over 100.000 ofte anvendte svage adgangskoder.

Dette er blot nogle af de mange gratis Active Directory-værktøjer leveret af ManageEngine. Mens brug af separate værktøjer til hver enkelt opgave er sandsynligvis ikke så praktisk som at bruge et integreret værktøj med alle Funktioner indbygget, prisen på disse værktøjer er svær at slå og kan bestemt gøre dem til en mulighed værd Overvejer.

4- Aktiv administrator

Sidste på vores liste er Aktiv administrator fra Quest software, nu en del af Dell. Dette er en komplet og integreret Active Directory-styringssoftwareløsning. Det broer de huller, som nogle af Microsofts værktøjer efterlader. Dette er den slags værktøj, der kan gøre det lettere og hurtigere at imødekomme både sikkerhed og revisionskrav. Det har funktioner, der adresserer mange af de vigtigste områder inden for AD-styring.

Blandt værktøjets vigtigste funktioner, Aktiv administrator tilbyder integreret, proaktiv administration. Dette er også et meget potent overvågningsværktøj, der har intuitiv rapportering og alarmering, så du hurtigt kan opdag ændringer og rapporter om dem ved at filtrere efter begivenhedstype, bruger og dato samt bruger login og lockout aktivitet. Du kan også indstille begivenhedsadvarsler og automatisk starte alarmbaserede handlinger.

Priser for Aktiv administrator er pr. aktiveret brugerkonto i din Active Directory, og den starter ved $ 16,37 for en evigvarende licens med et års support. Der skal købes en minimumslicens for 20 brugerkonti. En gratis 30-dages prøveversion kan downloades.