Active Directory-Domänen und Wälder Einführung

Seit seiner Einführung vor fast genau 20 Jahren mit der Einführung der Windows 2000 Server Edition im Februar 1999 Active Directory war eine Schlüsselkomponente des Microsoft Server-Ökosystems. Der Hauptzweck besteht darin, Informationen über vernetzte Ressourcen zu speichern. Computernetzwerke können ziemlich kompliziert sein. Infolgedessen ist Active Directory in der Regel auch kompliziert, weshalb unser heutiges Hauptziel darin besteht, Ihnen eine Einführung in Active Directory-Domänen und Gesamtstrukturen zu bieten.

Wir möchten Sie nicht zu Active Directory-Experten machen, hoffen jedoch, dieses komplizierte Thema zu beleuchten. Angesichts der relativ hohen Komplexität der Technologie ist es nicht verwunderlich, dass mehrere Tools von Drittanbietern erstellt wurden, um verschiedene Aspekte von Active Directory zu überwachen und / oder zu verwalten. Wir werden uns also ansehen, was einige von ihnen für Sie tun können.

So planen wir unsere Reise in den Kern von Active Directory: Wir werden zunächst alle Verwechslungen mit dem Konzept der Domäne beseitigen. Es ist ein Schlüsselelement von AD, aber auch ein Schlüsselelement des Internets, und dennoch handelt es sich um zwei völlig unterschiedliche Arten von Domänen, die nicht verwechselt werden sollten. Anschließend stellen wir Active Directory vor, was es ist und woher es kommt. Als Nächstes werden wir AD-Domänen und die Bäume diskutieren, mit denen wir ihre Struktur darstellen. In der Natur wird eine Baumgruppe Wald genannt. Nun, in Active Directory gilt dasselbe wie im Folgenden. Das Verwalten und Überwachen von Active Directory wird unsere nächste Aufgabe sein. Abschließend werden wir einige der besten Überwachungs- und Verwaltungstools für Active Directory prüfen.

Vermeidung von Verwirrung - Was ist eine Domain?

Eine Domain kann viele Dinge umfassen, je nachdem, in welchem ​​Bereich Sie sich befinden. Und selbst innerhalb der Informationstechnologie wird der Begriff Domäne für zwei sehr unterschiedliche Dinge verwendet. Die erste Art von Domäne, mit der die meisten Computerbenutzer - auch diejenigen, die keine Informatiker sind - vertraut sind, ist die Internetdomäne. Es handelt sich um eine Gruppe von Internetressourcen, die zu einer bestimmten Organisation gehören. Domänennamen werden verwendet, um auf verschiedene Ressourcen zuzugreifen, indem benutzerfreundliche (er) Namen anstelle von kryptischen IP-Adressen verwendet werden. Beispielsweise ist addictivetips.com der Domainname dieser Website. Microsoft.com ist ein weiterer bekannter Domainname, und ich bin mir ziemlich sicher, dass Sie leicht an Dutzende weitere denken können.

Der andere Ort, an dem der Begriff Domäne weit verbreitet ist, bezieht sich auf Active Directory. Eine Active Directory-Domäne ist eine Gruppe von Ressourcen (beachten Sie die Ähnlichkeit mit den vorherigen Domänen?), Die von einer einzigen Authentifizierungsdatenbank abgedeckt werden. Wir werden AD-Domains in Kürze ausführlicher beschreiben. Im Moment ist der Schlüssel zu verstehen, dass der gleiche Begriff verwendet wird, um zwei völlig unabhängige Konzepte zu definieren, und dass es wichtig ist, sie nicht zu verwechseln, da sie definitiv nicht dasselbe sind.

Active Directory auf den Punkt gebracht

Die erste Frage, die allgemein zu Active Directory gestellt wird, lautet: Was genau ist das? Die Antwort ist einfach: Es handelt sich um die Implementierung eines LDAP-Verzeichnisdienstes durch Microsoft. Diese Antwort ist zwar absolut genau, aber möglicherweise nutzlos und wirft mehr Fragen auf als sie beantwortet.

Lass uns graben. Erstens ist ein Verzeichnisdienst im Kontext von Computernetzwerken eine Datenbank, die Informationen zu jeder einzelnen Komponente eines Netzwerks enthält. Unter Komponenten verstehen wir jeden Computer und Server, aber auch jeden Benutzer oder jede Benutzergruppe oder jedes Verzeichnis. Sie können sich das als Telefonverzeichnis vorstellen. Jede Ressource, die eine andere Ressource suchen muss, sucht sie im Verzeichnis.

Der LDAP-Teil unserer ersten Antwort ist eine Abkürzung für Lightweight Directory Access Protocol. In einfachen Worten definiert LDAP, wie Informationen über Ressourcen in der Datenbank gespeichert werden und wie auf diese Informationen zugegriffen werden kann. Es handelt sich um ein branchenübliches Protokoll, das von mehreren Anbietern gemeinsam genutzt wird. Dies bedeutet leider nicht, dass verschiedene Implementierungen interoperabel sind.

Eine Active Directory-Struktur ist eine hierarchische Organisation von Objekten. Es gibt drei Hauptkategorien von Objekten: Ressourcen (z. B. Computer oder Drucker), Dienste (z. B. E-Mail) und Benutzer (Benutzerkonten und Benutzergruppen). Active Directory bietet Informationen zu den Objekten, organisiert sie und steuert deren Zugriff und Sicherheit. Es ist in jeder Hinsicht eine Datenbank von Einträgen, wobei jeder Eintrag einen Namen und eine Reihe von Attributen hat. Jedes Attribut hat einen Namen, einen Typ und einen oder mehrere Werte. Attribute werden im Schema der Datenbank definiert.

Sie können sich die hierarchische Struktur einer Active Directory-Datenbank als die eines Dateisystems vorstellen. Und genau wie ein Dateisystem Container hat (Verzeichnisse oder Ordner genannt), hat AD diese auch. Sie werden als Organisationseinheiten (OU) bezeichnet und helfen dabei, verwandte Dinge zu gruppieren. Systemadministratoren können nach eigenem Ermessen Organisationseinheiten erstellen, und es ist beispielsweise nicht ungewöhnlich, dass einzelne Organisationseinheiten für jede Abteilung einer Organisation angezeigt werden.

Active Directory-Domänen

Nachdem wir uns alle auf derselben Seite befinden, was Active Directory ist, werfen wir einen Blick auf die Domänen. Interessanterweise liegen Domänen mehrere Jahre vor Active Directory. Noch bevor Microsoft 1999 einen eigenen LDAP-Verzeichnisdienst veröffentlichte, gab es Domains seit den Anfängen von Windows NT. In einem typischen Netzwerk von Windows-Servern ist mindestens einer von ihnen - und häufig zwei oder mehr - als Domänencontroller konfiguriert. Sie sind die Server, auf denen die Domänendatenbank gehostet wird, wodurch Benutzer authentifiziert und der Zugriff auf Ressourcen gesteuert werden. Die Informationen, die sie enthalten, werden zwischen ihnen repliziert. Und zu guter Letzt die Objekte in einer Domain sind hierarchisch organisiert.

Die Bäume und der Wald

Eine Baumanalogie wird häufig verwendet, um hierarchische Strukturen wie eine Domäne zu beschreiben. Mit Active Directory hat Microsoft beschlossen, diese Analogie noch weiter voranzutreiben, und nennt eine hierarchische Struktur von Domänen einen Baum. Denken Sie daran, dass eine Domäne eine Gruppe von Ressourcen ist, die von einer Datenbank gesteuert werden. Ein Baum kann jedoch aus verschiedenen Gründen aus mehreren Domänen bestehen. Dies ist in größeren Organisationen durchaus üblich, und es ist keineswegs ungewöhnlich, dass für jeden Geschäftsbereich eines großen Unternehmens eine Domäne angezeigt wird. Und für noch größere Organisationen können Bäume in Wälder gruppiert werden. Dies ist das oberste Element in Active Directory und alles andere stammt davon ab.

Verwalten und Überwachen von Active Directory

Überwachung ist alles! Wenn Sie ein Netzwerk- oder Systemadministrator sind, haben Sie diesen Satz wahrscheinlich unzählige Male gehört. Und weisst du was? Es ist alles! Überwachung ist eine der besten Möglichkeiten, um den Überblick zu behalten. Es gibt verschiedene Arten von Überwachungstools, mit denen Sie genau die Art von Metriken ermitteln können, nach denen Sie suchen. Zum Beispiel, Bandbreitenüberwachung wird über die Verwendung verschiedener Segmente eines Netzwerks berichten, CPU-Überwachung zeigt die CPU-Anzeigen Ihrer Server an. Die meisten Betriebsmetriken von Systemen und Netzwerken können überwacht werden. Der Hauptvorteil der Verwendung von Überwachungstools besteht darin, dass sie größtenteils automatisch erfolgen. Sie müssen sie nicht ständig beobachten. Immer wenn etwas ungewöhnlich ist, werden Sie von Ihren Überwachungstools benachrichtigt.

Bei Active Directory können mehrere Parameter überwacht werden. Beispielsweise könnten Domänencontroller - die Server, auf denen die Datenbank einer Domäne gespeichert ist - auf Antwort und Leistung überwacht werden. Änderungen der Zugriffsrechte könnten ebenfalls zu einem gewissen Vorteil überwacht werden. Anmeldungen - insbesondere fehlgeschlagene - sind ein weiterer Parameter, der überwacht werden sollte, da dies ein Hinweis auf böswillige Aktivitäten sein kann.

Active Directory Management ist etwas anderes. Microsoft stellt verschiedene Tools zur Verfügung, mit denen Sie Active Directory verwalten können. Mit ihnen können Sie Objekte erstellen, Rechte zuweisen und im Allgemeinen die meisten täglichen Aktivitäten im Zusammenhang mit der AD-Verwaltung ausführen. Einige dieser Tools können sich jedoch als ziemlich umständlich oder unpraktisch herausstellen, und mehrere Anbieter haben Schritte unternommen bis zu verschiedenen Active Directory-Verwaltungstools, die die Verwaltung von Active Directory erheblich vereinfachen können einfacher.

Die besten AD-Tools

Wir haben den Markt nach einigen der besten Active Directory-Tools durchsucht. Was wir heute für Sie haben, ist eine Mischung aus Überwachungstools - einige AD-spezifisch und einige generisch - und Verwaltungstools. Alle können Ihnen bei Ihren täglichen Aufgaben in Bezug auf Active Directory helfen - und dies war eines unserer wichtigsten Einschlusskriterien. Einige sind sicherheitsorientiert, während andere leistungsorientiert sind.

SolarWinds ist einer der besten Herausgeber von Netzwerk- und Systemverwaltungssoftware. Sein Flaggschiff namens Netzwerkleistungsmonitor Gleichbleibend unter den Top-Netzwerkbandbreitenüberwachungssystemen. Darüber hinaus ist das Unternehmen auch für seine freie Software bekannt. Es handelt sich um kleinere Tools, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren zugeschnitten sind. Zwei gute Beispiele für diese kostenlosen Tools sind die Erweiterter Subnetzrechner und der Kiwi Syslog Server.

Trotz eines etwas irreführenden Namens, der Sie glauben lassen könnte, dass es sich nur um Objektberechtigungen handelt, ist die SolarWinds Access Rights Manager zielt in erster Linie darauf ab, die Bereitstellung und Aufhebung, Bereitstellung und Überwachung von Benutzern zu vereinfachen. Es bietet auch eine leistungsstarke und einfache Möglichkeit zum Verwalten und Überwachen von Benutzerberechtigungen, um sicherzustellen, dass keine unnötigen Berechtigungen erteilt werden.

• KOSTENLOSE TESTPHASE: SolarWinds Access Rights Manager
• Download-Link: https://www.solarwinds.com/access-rights-manager/registration

Eine der größten Stärken dieses Produkts ist das intuitive Benutzerverwaltungs-Dashboard, das Sie verwenden kann zum Erstellen, Ändern, Löschen, Aktivieren und Deaktivieren von Benutzerzugriffen auf verschiedene Dateien und verwendet werden Ordner. Es enthält rollenspezifische Vorlagen, mit denen Benutzer problemlos auf bestimmte Ressourcen in Ihrem Netzwerk zugreifen können.

Sehr interessant und einzigartig sind auch die SolarWinds Access Rights ManagerBerichtsfunktionen. Die Software kann Berichte erstellen, die bei Streitigkeiten oder eventuellen Rechtsstreitigkeiten als Beweismittel dienen können. Detaillierte Berichte zu Prüfungszwecken und zur Einhaltung von Spezifikationen, die durch für Ihr Unternehmen geltende gesetzliche Standards festgelegt wurden, sind ebenfalls verfügbar. Berichte können mit nur wenigen Klicks schnell und einfach erstellt werden. Sie können alle Informationen enthalten, die Sie möglicherweise nützlich finden. Beispielsweise können Protokollaktivitäten in Active Directory- und Dateiserverzugriffen in einen Bericht aufgenommen werden. Es ist Sache des Benutzers, sie so zusammenfassend oder detailliert wie nötig zu gestalten.

Angriffe und / oder Datenlecks treten häufig auf, wenn Benutzer auf Ordner und / oder deren Inhalt zugreifen, die dies nicht tun - oder sollte nicht autorisiert sein, auf sie zuzugreifen, eine häufige Situation, in der Benutzern weitreichender Zugriff auf Ordner oder Ordner gewährt wird Dateien. Das SolarWinds Access Rights Manager kann Ihnen helfen, diese Art von Lecks und nicht autorisierten Änderungen an vertraulichen Daten und Dateien zu verhindern. Es bietet Administratoren eine visuelle Darstellung der Berechtigungen für mehrere Dateiserver und lässt auf einfache und visuelle Weise erkennen, wer welche Berechtigung für welche Datei hat.

Preisgestaltung für die SolarWinds Access Rights Manager basiert auf der Anzahl der aktivierten Benutzer in Active Directory. Im SolarWinds Ein aktivierter Benutzer ist entweder ein aktives Benutzerkonto oder ein Dienstkonto. Die Preise für das Produkt beginnen bei 2 995 USD für bis zu 100 aktive Benutzer. Für mehr Benutzer (bis zu 10 000) erhalten Sie detaillierte Preise, indem Sie sich an den SolarWinds-Vertrieb wenden. Wenn Sie das Tool vor dem Kauf testen möchten, Eine kostenlose, unbegrenzte 30-Tage-Testversion ist erhältlich.

Das SolarWinds Server und Anwendungsmonitor wurde entwickelt, um Administratoren bei der Überwachung von Servern, ihren Betriebsparametern, ihren Prozessen und den auf ihnen ausgeführten Anwendungen zu unterstützen. Es ist eines der besten Tools, mit denen Sie Ihre Active Directory-Domänencontroller und die kritischen Dienste überwachen können, die sie ausführen müssen. Das Tool überwacht jedoch auch einige oder alle Ihrer Server. Mit Hunderten von physischen und virtuellen Servern, die auf mehrere Standorte verteilt sind, kann es problemlos vom kleinsten zum großen Netzwerk skaliert werden.

• KOSTENLOSE TESTPHASE: SolarWinds Server und Anwendungsmonitor
• Download-Link: https://www.solarwinds.com/server-application-monitor/registration

Die Active Directory-Leistungsüberwachung, die von der SolarWinds Server und Anwendungsmonitor gibt Ihnen Einblick in Active Directory-Probleme im Zusammenhang mit Benutzerkonten wie Kontoerstellung, Kennwortänderung und Zurücksetzen, deaktivierte und gelöschte Benutzerkonten. Es bietet auch Informationen zu Änderungen der Domänen- und Systemrichtlinien und zur Datenwiederherstellung sowie Einblicke in Firewall-Einstellungen und andere Systemänderungen und aktuell ausgeführte Dienste. Das Tool ermöglicht auch die Überwachung von LDAP-Sitzungen. Da sich die Anzahl der verbundenen Clients auf die Serverlast auswirkt, überwacht das Tool die NTDS-Objektzähler, um eine Serverüberlastung zu verhindern, die mit einer bestimmten LDAP-Sitzung verbunden ist. Darüber hinaus bietet die Software Einblicke in erweiterte Statistiken wie aktive LDAP-Threads, Bindungszeit, Client-Sitzungen, erfolgreiche Bindungen / Sek. Und Suchen / Sek.

Die Erstkonfiguration des Produkts erfolgt schnell und einfach mithilfe eines automatischen Erkennungsprozesses in zwei Durchgängen. Der erste Durchgang erkennt jeden Server und der zweite Durchgang findet Anwendungen auf jedem erkannten Server. Obwohl dieser Prozess einige Zeit in Anspruch nehmen kann, kann er beschleunigt werden, indem eine Liste spezifischer Anwendungen bereitgestellt wird, nach denen gesucht werden soll. Sobald das Tool betriebsbereit ist, macht die benutzerfreundliche Benutzeroberfläche die Verwendung zum Kinderspiel. Das Dashboard des Tools kann personalisiert werden und ermöglicht es Ihnen, Informationen entweder in einer Tabelle oder in einem Grafikformat anzuzeigen.

Preis für die SolarWinds Server und Anwendungsmonitor beginnt bei 2 995 US-Dollar und basiert auf der Anzahl der überwachten Komponenten, Knoten und Volumes. EIN Die kostenlose 30-Tage-Testversion steht zum Download zur Verfügung, sollten Sie das Produkt vor dem Kauf ausprobieren möchten.

3- Kostenlose AD-Tools von ManageEngine

ManageEngine ist ein weiterer bekannter Name bei System- und Netzwerkadministratoren. Es ist ManageEngine OpManager Das Paket gehört zu den Top-Tools zur Überwachung der IT-Infrastruktur. Wie einige seiner Konkurrenten stellt ManageEngine einige großartige kostenlose Tools her. Und wenn es um Active Directory geht, bietet das Unternehmen nicht weniger als fünfzehn kostenlose Tools an, mit denen Sie Ihre AD-Infrastruktur überwachen und verwalten können. Es gibt eine Kombination aus eigenständigen Programmen und Powershell-Cmdlets. Die meisten Tools werden in einem einzigen Download gebündelt, sodass das Erhalten dieser Tools kein großes Problem darstellen sollte. Lassen Sie uns sehen, welche der interessantesten dieser Tools sind.

• AD-AbfragetoolWie der Name schon sagt, können Sie alle erforderlichen Attributdaten aus dem Active Directory lesen
• Letzter Anmeldesucher wird verwendet, um die letzte Anmeldezeit aller oder ausgewählter Benutzer in allen ausgewählten Domänencontrollern in der Domäne aufzulisten. Es wird normalerweise für Prüf- und Bereinigungsaktivitäten verwendet.
• Active Directory-Replikationsmanager Aktiviert die Replikation von Daten in einer Domäne durch Administratoren und bietet umfassende Berichte zur letzten Replikation.
• Domänencontroller-Rollenreporter listet alle Domänencontroller und ihre jeweiligen Rollen in der Domäne auf.
• Domänencontroller-Überwachungstool ist ein einfaches und doch mächtiges Werkzeug. Domänen werden automatisch erkannt und angezeigt, wobei wichtige Parameter von Domänencontrollern wie CPU-Auslastung, Festplattenauslastung und Speicherauslastung angezeigt werden.

• Kennwortrichtlinien-Manager Ermöglicht das Abrufen, Anzeigen und Bearbeiten der Kennwortrichtlinie der Domain, sofern diese über die entsprechenden Rechte verfügt.
• Active Directory Duplicate Finder ist ein Powershell-Dienstprogramm, mit dem Administratoren doppelte Einträge für Active Directory-Attribute in einer Domäne identifizieren können.
• Service Accounts Management Mit dieser Funktion können Sie verwaltete Dienstkonten mit nur wenigen Klicks erstellen, bearbeiten und löschen.
• Schwacher Kennwortbenutzerbericht hilft beim Auffinden schwacher Kennwörter in Active Directory, indem die Kennwörter der Benutzer mit einer Liste von über 100.000 häufig verwendeten schwachen Kennwörtern verglichen werden.

Dies sind nur einige der vielen kostenlosen Active Directory-Tools bereitgestellt von ManageEngine. Die Verwendung separater Tools für jede einzelne Aufgabe ist wahrscheinlich nicht so praktisch wie die Verwendung eines integrierten Tools mit allen Durch die eingebauten Funktionen ist der Preis dieser Tools kaum zu übertreffen und könnte sie sicherlich zu einer wertvollen Option machen in Anbetracht.

4- Aktiver Administrator

Letzter auf unserer Liste ist Aktiver Administrator von Quest-Software, jetzt ein Teil von Dell. Dies ist eine vollständige und integrierte Active Directory-Verwaltungssoftwarelösung. Es schließt die Lücken, die einige Microsoft-Tools hinterlassen. Diese Art von Tool kann es einfacher und schneller machen, sowohl Sicherheits- als auch Überwachungsanforderungen zu erfüllen. Es verfügt über Funktionen, die viele der wichtigsten Bereiche des AD-Managements abdecken.

Zu den Hauptfunktionen des Tools gehören: Aktiver Administrator bietet integrierte, proaktive Verwaltung. Dies ist auch ein sehr leistungsfähiges Überwachungstool mit intuitiver Berichterstellung und Alarmierung, mit dem Sie schnell arbeiten können Ermitteln Sie Änderungen und melden Sie sie, indem Sie nach Ereignistyp, Benutzer und Datum sowie nach Benutzeranmeldung und -sperrung filtern Aktivität. Sie können auch Ereigniswarnungen festlegen und automatisch alarmbasierte Aktionen starten.

Preise für Aktiver Administrator ist pro aktiviertem Benutzerkonto in Ihrem Active Directory und beginnt bei 16,37 USD für eine unbefristete Lizenz mit einjähriger Unterstützung. Es muss eine Mindestlizenz für 20 Benutzerkonten erworben werden. Eine kostenlose 30-Tage-Testversion kann heruntergeladen werden.