Active Directory -verkkotunnukset ja metsät Johdanto

Alusta lähtien, melkein tarkalleen 20 vuotta sitten, kun Windows 2000 Server Edition otettiin käyttöön helmikuussa 1999, Active Directory on ollut avaintekijä Microsoftin palvelinekosysteemissä. Sen päätarkoitus on pitää tietoa verkottuneista resursseista. Tietoverkot voivat olla melko monimutkaisia. Tämän seurauksena myös Active Directory on yleensä monimutkainen, minkä vuoksi päätavoitteemme on tänään tarjota sinulle johdanto Active Directory -alueisiin ja metsiin.

Emme aio tehdä teistä Active Directory -asiantuntijoita, mutta toivomme valaisevan tätä monimutkaista aihetta. Kun otetaan huomioon tekniikan suhteellisen korkea monimutkaisuus, ei ole yllättävää, että useita kolmansien osapuolien työkaluja on luotu seuraamaan ja / tai hallitsemaan Active Directoryn eri näkökohtia. Joten katsotaan, mitä jotkut heistä voivat tehdä sinulle.

Suunnittelemme matkamme Active Directoryn ytimeen seuraavasti: Aloitamme poistamalla mahdolliset sekaannukset verkkotunnuksen käsitteestä. Se on avaintoiminto AD: stä, mutta myös Internetin avaintekijä, ja silti ne ovat kaksi täysin erityyppistä verkkotunnusta, joita ei pidä sekoittaa. Esittelemme sitten Active Directoryn, mistä se on ja mistä se tulee. Seuraavaksi keskustelemme AD-verkkotunnuksista ja puista, joita käytämme edustamaan niiden rakennetta. Luonnossa puuryhmää kutsutaan metsäksi. No, sama asia on totta Active Directoryssa, kuten näemme seuraavaksi. Active Directoryn hallinta ja seuranta on seuraava työjärjestys, ja lopuksi tarkastelemme aiheesta joitain parhaista Active Directory -seuranta- ja hallintatyökaluista.

Sekaannuksen välttäminen - mikä on verkkotunnus?

Verkkotunnus voi olla monia asioita sen mukaan, missä kentässä olet. Ja jopa tietotekniikassa termiä domain käytetään kahta hyvin erilaista asiaa. Ensimmäinen verkkotunnus, jota useimmat tietokoneen käyttäjät - jopa ne, jotka eivät ole tietotekniikan tutkijoita - tuntevat, on Internet-verkkotunnus. Se on tiettyyn organisaatioon kuuluva Internet-resurssien ryhmä. Verkkotunnuksia käytetään pääsyyn erilaisiin resursseihin käyttämällä käyttäjäystävällisiä (er) nimiä salaisten IP-osoitteiden sijasta. Esimerkiksi addictivetips.com on tämän verkkosivuston verkkotunnus. Microsoft.com on toinen hyvin tunnettu verkkotunnus ja olen melko varma, että voit helposti ajatella kymmeniä muita.

Toinen paikka, jossa termiä domain käytetään laajalti, liittyy Active Directoryan. Active Directory -toimialue on ryhmä resursseja (huomaa samankaltaisuutta aiempien verkkotunnusten kanssa?), Jotka on katettu yhdellä ainoalla todennustietokannalla. Kuvailemme AD-verkkotunnuksia yksityiskohtaisemmin pian. Nyt on tärkeätä ymmärtää, että samaa termiä käytetään kahden täysin toisiinsa liittymättömän käsitteen määrittelemiseen ja että on tärkeää olla sekoittamatta niitä, koska ne eivät todellakaan ole sama asia.

Active Directory lyhyesti

Ensimmäinen kysymys, jota ihmiset yleensä kysyvät Active Directorysta, on: Mikä se on? Vastaus on yksinkertainen, se on Microsoftin toteuttama LDAP-hakemistopalvelu. Vaikka tämä vastaus on täysin tarkka, se on mahdollisesti turha ja se herättää enemmän kysymyksiä kuin vastaa.

Kaivataan alas. Ensinnäkin hakemistopalvelu on tietoverkkojen yhteydessä tietokanta, joka sisältää tietoja jokaisesta verkon komponentista. Komponenteilla tarkoitamme jokaista tietokonetta ja palvelinta, mutta myös kutakin käyttäjää tai käyttäjäryhmää tai kutakin hakemistoa. Voit ajatella sitä puhelinluettelona. Mikä tahansa resurssi, joka tarvitsee löytää toinen resurssi, etsii sen hakemistosta.

Alkuperäisen vastauksen LDAP-osan suhteen se on lyhenne sanoista Lightweight Directory Access Protocol. Yksinkertaisesti sanottuna LDAP määrittelee kuinka resursseja koskevat tiedot tallennetaan tietokantaan ja miten näitä tietoja voidaan käyttää. Se on useiden toimittajien yhteinen teollisuusstandardiprotokolla, joka ei valitettavasti tarkoita, että erilaiset toteutukset ovat yhteentoimivia.

Active Directory -rakenne on hierarkkinen objektien organisaatio. Objekteja on kolme pääluokkaa: resurssit (kuten esimerkiksi tietokoneet tai tulostimet), palvelut (kuten sähköposti) ja käyttäjät (käyttäjätilit ja käyttäjäryhmät). Active Directory tarjoaa tietoja objekteista, järjestää ne ja hallitsee niiden pääsyä ja suojausta. Se on kaikkia tarkoituksia varten tietokanta merkinnöistä, jokaisella merkinnällä on nimi ja määrittelyjoukko. Jokaisella määritteellä on nimi, tyyppi ja yksi tai useita arvoja. Attribuutit määritetään tietokannan skeemassa.

Voit ajatella Active Directory -tietokannan hierarkkista rakennetta tiedostojärjestelmän hierarkkisena rakenteena. Ja aivan kuten tiedostojärjestelmässä on säilöjä (kutsutaan hakemistoiksi tai kansioiksi), myös AD: llä on ne. Niitä kutsutaan organisaation yksiköiksi (OU) ja ne auttavat ryhmittelemään liittyviä asioita yhdessä. Järjestelmänvalvojat voivat vapaasti luoda OU: eita haluamallaan tavalla, ja ei ole harvinaista esimerkiksi nähdä yksittäisiä OU: ta jokaiselle organisaation osastolle.

Active Directory -verkkotunnukset

Nyt kun olemme kaikki samalla sivulla Active Directoryn kanssa, katsotaanpa verkkotunnuksia. Mielenkiintoista on, että verkkotunnukset edeltävät Active Directorya useita vuosia. Jo ennen kuin Microsoft julkaisi oman LDAP-hakemistopalvelunsa vuonna 1999, verkkotunnukset olivat olleet olemassa Windows NT: n alusta lähtien. Tyypillisessä Windows-palvelimien verkossa ainakin yksi niistä - ja usein kaksi tai useampi - on määritetty verkkotunnuksen ohjaimiksi. Ne ovat verkkotunnustietokantaa ylläpitäviä palvelimia, autentikoivat siten käyttäjiä ja hallitsevat resurssien saatavuutta. Heidän hallussaan olevat tiedot toistetaan heidän välillä. Ja viimeisenä mutta ei vähäisimpänä, verkkotunnuksen objektit olemme järjestetty hierarkkisesti.

Puut ja metsä

Puun analogiaa käytetään usein kuvaamaan hierarkkisia rakenteita, kuten toimialue. Mutta Active Directoryn kanssa Microsoft on päättänyt viedä tätä analogiaa askeleen pidemmälle ja se kutsuu domainien hierarkkista rakennetta puuksi. Muista, että verkkotunnus on resurssien ryhmä, jota hallitaan yksi tietokanta, mutta puu, joka voi useista syistä koostua useista verkkotunnuksista. Tämä on jotain, joka on oikeastaan ​​melko yleinen suurissa organisaatioissa, ja ei ole lainkaan harvinaista nähdä yksi verkkotunnus jokaiselle suuren yrityksen jokaiselle jaolle. Ja jopa suuremmille organisaatioille puut voidaan ryhmitellä, arvasit sen, metsiin. Tämä on Active Directoryn ylin elementti ja kaikki muu laskeutuu siitä.

Active Directoryn hallinta ja seuranta

Seuranta on kaikkea! Jos olet verkon tai järjestelmänvalvoja, olet todennäköisesti kuullut tämän lauseen lukemattomia kertoja. Ja tiedätkö mitä? Se on kaikki! Seuranta on yksi parhaista tavoista pysyä asioiden päällä. On olemassa erityyppisiä seurantatyökaluja, joiden avulla voit saada tarkalleen mittarityypit, joita olet seurannut. Esimerkiksi, kaistanleveyden seuranta raportoi verkon eri segmenttien käytöstä, Prosessorin seuranta näyttää palvelimiesi CPU-mittarit. Suurinta osaa järjestelmien ja verkkojen toiminnallisista mittareista voidaan seurata. Valvontatyökalujen käytön tärkein etu on, että ne ovat enimmäkseen automaattisia. Sinun ei tarvitse olla jatkuvasti tarkkailemassa niitä. Aina kun jotain on epätavallista, seurantatyökalustasi / varoittimiinne ilmoitetaan.

Active Directoryn tapauksessa useita parametreja voidaan tarkkailla. Esimerkiksi verkkotunnuksen ohjaimia - palvelimia, joihin verkkotunnuksen tietokanta tallennetaan - voitaisiin seurata vasteen ja suorituskyvyn suhteen. Käyttöoikeuksien muutoksia voitaisiin myös valvoa jonkin verran etua. Kirjautumiset - etenkin epäonnistuneet - on toinen seurannan arvoinen parametri, koska se voi olla merkki haitallisesta toiminnasta.

Active Directory -hallinta on jotain muuta. Microsoft tarjoaa useita työkaluja Active Directoryn hallintaan. Niiden avulla voit luoda esineitä, antaa oikeuksia ja suorittaa yleensä suurimman osan päivittäisistä toimista, jotka liittyvät AD-hallintaan. Jotkut näistä työkaluista voivat kuitenkin osoittautua melko hankaliksi tai epäkäytännöllisiksi käytettäviksi, ja useat myyjät ovat asettaneet jopa tarjota erilaisia ​​Active Directory -hallintatyökaluja, jotka voivat tehdä Active Directoryn hallinnasta paljon helpompaa.

Paras AD-työkalut

Olemme hankkineet markkinoita parhaille Active Directory -työkaluille. Mitä meillä on sinulle tänään, on sekoitus seurantavälineitä - joitain AD-erityisiä ja joitain yleisiä - sekä hallintatyökaluja. Ne kaikki voivat auttaa sinua - ja tämä oli yksi tärkeimmistä osallistamiskriteereistä - päivittäisissä tehtävissäsi, koska ne liittyvät Active Directoryan. Jotkut ovat turvallisuuteen suuntautuneita, kun taas toiset ovat suoritussuuntautuneita.

SolarWinds on yksi parhaista verkko- ja järjestelmänhallintaohjelmistojen kustantajista. Sen lippulaivatuote nimeltään Verkon suorituskyvyn näyttö tulokset jatkuvasti parhaiden verkon kaistanleveyden valvontajärjestelmien joukossa. Lisäksi yritys on kuuluisa myös ilmaisista ohjelmistoistaan. Puhumme pienemmistä työkaluista, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kaksi hienoa esimerkkiä ilmaisista työkaluista ovat Advanced Subnet Laskin ja Kiwi Syslog -palvelin.

Huolimatta jonkin verran harhaanjohtavasta nimestä, joka voi johtaa sinut uskomaan, että se käsittelee vain esineiden käyttöoikeuksia, SolarWinds käyttöoikeuksien hallintaohjelma on ensisijaisesti tarkoitettu helpottamaan käyttäjien järjestämistä ja ennakoimista, seurantaa ja seurantaa. Se tarjoaa myös tehokkaan ja helpon tavan hallita ja seurata käyttöoikeuksia varmistaakseen, ettei turhia oikeuksia myönnetä.

• ILMAINEN KOKEILU: SolarWinds käyttöoikeuksien hallintaohjelma
• Lataa linkki: https://www.solarwinds.com/access-rights-manager/registration

Yksi tämän tuotteen suurimmista vahvuuksista on intuitiivinen käyttäjän hallinnan kojetaulu voi luoda, muokata, poistaa, aktivoida ja deaktivoida eri tiedostojen ja kansioita. Siinä on roolikohtaiset mallit, jotka voivat antaa käyttäjille helposti pääsyn tiettyihin verkon resursseihin.

Myös erittäin mielenkiintoisia ja varsin ainutlaatuisia ovat SolarWinds käyttöoikeuksien hallintaohjelmaRaportointiominaisuudet. Ohjelmisto voi luoda raportteja, joita voidaan käyttää todisteina riitatilanteissa tai mahdollisissa riita-asioissa. Tarkat raportit auditointitarkoituksiin ja yritykseesi sovellettavien sääntelystandardien asettamien eritelmien noudattamiseen ovat myös saatavilla. Raportit voidaan luoda nopeasti ja helposti muutamalla napsautuksella. Ne voivat sisältää mitä tahansa hyödyllisiä tietoja. Esimerkiksi Active Directoryn lokitoiminnot ja tiedostopalvelimen käyttöoikeudet voitaisiin sisällyttää raporttiin. Käyttäjän tehtävänä on tehdä niistä yhteenveto tai yksityiskohdat, joita he tarvitsevat.

Hyökkäyksiä ja / tai tietovuotoja tapahtuu usein, kun käyttäjät, jotka eivät ole, käyttävät kansioita ja / tai niiden sisältöä ei pitäisi olla - lupa käyttää niitä, yleinen tilanne, kun käyttäjille annetaan laaja-alainen pääsy kansioihin tai tiedostot. SolarWinds käyttöoikeuksien hallintaohjelma voi auttaa sinua estämään tämän tyyppiset vuodot ja luvattomat muutokset luottamuksellisiin tietoihin ja tiedostoihin. Se tarjoaa järjestelmänvalvojille visuaalisen esityksen useiden tiedostopalvelimien käyttöoikeuksista ja antaa helposti ja visuaalisesti nähdä, kenellä on mikä lupa mihin tiedostoon.

Hinnoittelu SolarWinds käyttöoikeuksien hallintaohjelma perustuu aktivoitujen käyttäjien määrään Active Directoryssa. Sisään SolarWinds Parlance, aktivoitu käyttäjä on joko aktiivinen käyttäjätili tai palvelutili. Tuotteen hinnat alkavat 2 995 dollarista enintään 100 aktiiviselle käyttäjälle. Enemmän käyttäjiä (enintään 10 000) yksityiskohtainen hinnoittelu saadaan ottamalla yhteyttä SolarWindsin myyntiin. Jos haluat antaa työkalulle koeajon ennen sen ostamista, Voit hankkia ilmaisen rajoittamattoman 30 päivän kokeiluversion.

SolarWinds-palvelin ja sovellusmonitori on suunniteltu auttamaan järjestelmänvalvojaa seuraamaan palvelimia, niiden toimintaparametreja, prosesseja ja niillä toimivia sovelluksia. Se on yksi parhaista työkaluista, joita voit käyttää Active Directory -alueohjaimien ja tärkeiden palveluiden tarkkailemiseen. Mutta työkalu tarkkailee myös kaikkia tai kaikkia palvelimiasi. Se voi helposti skaalata pienimmistä verkoista suuriin, joissa on satoja palvelimia - sekä fyysisiä että virtuaalisia -, jotka sijaitsevat useissa sivustoissa.

• ILMAINEN KOKEILU: SolarWinds-palvelin ja sovellusmonitori
• Lataa linkki: https://www.solarwinds.com/server-application-monitor/registration

Active Directoryn tarjoama suorituskyvyn seuranta SolarWinds-palvelin ja sovellusmonitori antaa sinulle käsityksen käyttäjän hakemistoon liittyvistä Active Directory -kysymyksistä, kuten tilin luomisesta, salasanan vaihtamis- ja palautusyrityksistä, käytöstä poistetuista ja poistetuista käyttäjätileistä. Se tarjoaa myös tietoja toimialue- ja järjestelmäkäytäntöjen muutoksista ja tietojen palautuksesta aivan kuten se tarjoaa myös tietoa palomuurin asetuksista ja muista järjestelmän muutoksista ja parhaillaan käynnissä olevista palveluista. Työkalu mahdollistaa myös LDAP-istuntojen seurannan. Kun kytkettyjen asiakkaiden määrä vaikuttaa palvelimen kuormitukseen, työkalu tarkkailee NTDS-objektien laskuria estääksesi tiettyyn LDAP-istuntoon kytketyn palvelimen ylikuormituksen. Lisäksi ohjelmisto voi tarjota näkemyksen edistyneistä tilastoista, kuten LDAP-aktiivisista ketjuista, sitomisajasta, asiakasistunnoista, onnistuneista sitomisista / sekunteista ja hauista / sek.

Tuotteen alkuperäiset määritykset tehdään nopeasti ja helposti kaksipuolisen automaattisen etsinnän avulla. Ensimmäinen läpäisee jokaisen palvelimen ja toinen löytää sovelluksia jokaisesta löydetystä palvelimesta. Vaikka tämä prosessi voi viedä aikaa, sitä voidaan nopeuttaa toimittamalla luettelo erityisistä sovelluksista, joita etsit. Kun työkalu on valmis ja käynti, käyttäjäystävällinen käyttöliittymä tekee sen käytöstä helppoa. Työkalun kojetaulu voidaan räätälöidä, ja sen avulla voit näyttää tietoja joko taulukossa tai graafisessa muodossa.

Hinta SolarWinds-palvelin ja sovellusmonitori alkaa 2 995 dollarista ja perustuu tarkkailtujen komponenttien, solmujen ja määrien määrään. ilmainen 30 päivän kokeiluversio on ladattavissa, jos haluat kokeilla tuotetta ennen sen ostamista.

3- Ilmaiset mainostyökalut ManageEngineltä

ManageEngine on toinen tunnettu nimi järjestelmän ja verkon järjestelmänvalvojien kanssa. Sen ManageEngine OpManager -paketti on yksi IT-infrastruktuurin seurannan tärkeimmistä työkaluista. Kuten jotkut kilpailijoista, ManageEngine tekee hienoja ilmaisia ​​työkaluja. Ja kun kyse on Active Directorysta, yritys tarjoaa vähintään viisitoista ilmaista työkalua, jotka voivat auttaa AD-infrastruktuurin seurannassa ja hallinnassa. Siellä on yhdistelmä erillisiä ohjelmia ja Powershell-pienoisnäkymiä. Suurin osa työkaluista on pakattu yhdeksi lataukseksi, joten niiden hankkiminen ei saisi olla suuri ongelma. Katsotaanpa, mitkä mielenkiintoisimmat näistä työkaluista ovat.

• AD-kyselytyökalu, kuten nimensä osoittaa, antaa sinun lukea kaikki ominaisuustiedot, joita vaadit Active Directorysta
• Viimeisen kirjautumisen haku käytetään luettelemaan kaikkien tai valittujen käyttäjien viimeinen sisäänkirjautumisaika kaikissa valituissa verkkotunnuksen ohjaimissa. Sitä käytetään tyypillisesti tarkastus- ja siivoustoimintoihin.
• Active Directory -replikaation hallinta mahdollistaa järjestelmänvalvojien toisinnuksen datassa verkkotunnuksessa ja tarjoaa kattavat raportit viimeisestä replikoinnista.
• Verkkotunnuksen ohjaimen tehtävien toimittaja luettelee kaikki verkkotunnuksen ohjaimet ja niiden vastaavat roolit verkkotunnuksessa.
• Verkkotunnuksen ohjaimen seurantatyökalu on yksinkertainen mutta tehokas työkalu. Se etsii verkkotunnukset automaattisesti ja näyttää ne, ja näyttää tärkeät verkkotunnuksen ohjainten parametrit, kuten suorittimen käyttö, levyn käyttö ja muistin käyttö.

• Salasanakäytäntöjen hallinta antaa yhden noutaa, katsella ja muokata - edellyttäen että hänellä on oikeat oikeudet - verkkotunnuksen salasanakäytäntöä.
• Active Directory -kopiointi on Powershell-apuohjelma, jonka avulla järjestelmänvalvojat voivat tunnistaa toimialueen Active Directory -määritteiden kaksoiskappaleet.
• Palveluntilien hallinta on suunniteltu auttamaan sinua helposti luomaan, muokkaamaan ja poistamaan hallittuja palvelutilejä vain muutamalla napsautuksella.
• Heikko salasanan käyttäjien raportti auttaa löytämään heikkoja salasanoja Active Directoryssa vertaamalla käyttäjien salasanoja luetteloon, jossa on yli 100 000 yleisesti käytettyä heikkoa salasanaa.

Nämä ovat vain joitain monista ilmaisista Active Directory -työkalut toimittanut ManageEngine. Vaikka erillisten työkalujen käyttö jokaisessa yksittäisessä tehtävässä ei todennäköisesti ole yhtä käytännöllistä kuin integroidun työkalun käyttäminen kaikilla Sisäänrakennettujen toimintojen avulla näiden työkalujen hintaa on vaikea lyödä, ja se voisi varmasti tehdä niistä vaihtoehdon arvoisia harkitsee.

4- Aktiivinen järjestelmänvalvoja

Viimeinen luettelossamme on Aktiivinen järjestelmänvalvoja alkaen Quest-ohjelmisto, nyt osa notko. Tämä on kattava ja integroitu Active Directory -hallintaohjelmistoratkaisu. Se siltaa aukot, jotka eräät Microsoftin työkalut jättävät taakse. Tällainen työkalu voi helpottaa ja nopeuttaa sekä turvallisuus- että tarkastusvaatimusten täyttämistä. Sillä on ominaisuuksia, jotka koskevat monia tärkeimpiä AD-hallinnan aloja.

Työkalun pääominaisuuksista Aktiivinen järjestelmänvalvoja tarjoaa integroidun, ennakoivan hallinnon. Tämä on myös erittäin tehokas seurantatyökalu, jolla on intuitiivinen raportointi ja hälytys, jonka avulla pääset nopeasti löydä muutokset ja ilmoita niistä suodattamalla tapahtuman tyypin, käyttäjän ja päivämäärän sekä käyttäjän kirjautumisen ja lukituksen perusteella toiminta. Voit myös asettaa tapahtumahälytykset ja käynnistää hälytyspohjaiset toiminnot automaattisesti.

Hinnoittelu Aktiivinen järjestelmänvalvoja on käytössä olevaa käyttäjätiliä Active Directory -sivustossasi ja se alkaa 16,37 dollarista jatkuvalta lisenssiltä yhden vuoden tuella. Vähimmäislisenssi 20 käyttäjätilille on ostettava. Voit ladata ilmaisen 30 päivän kokeiluversion.