5 Beste Active Directory-verktøy og styringsprogramvare

Active Directory, eller AD som det ofte blir referert til, er Microsofts egen versjon av en LDAP-katalogtjeneste. Det har eksistert siden Windows server 2000 og erstattet de daværende aldringsdomeneadministrasjonsfunksjonene til Windows-servere. Det er en enormt sammensatt tjeneste som tar seg av autentisering av brukere og utstyr, kartlegger deres beliggenhet og administrerer tilgangsrettigheter. Å være så kompleks, det er ingen overraskelse at flere utviklere har prøvd å lage verktøy som letter smerten ved å administrere Active Directory. I dag bringer vi deg noen av de beste Active Directory-verktøyene som er å finne på Internett.

Vi vil først ha en generell diskusjon om katalogtjenester, hva de er, deres formål og verktøy, og gi deg noen eksempler på dem. Deretter snakker vi om LDAP og X.500, to standardiserte protokoller relatert til katalogtjenester. Deretter snakker vi kort om utviklingen av Microsoft-katalogtjenester. Dette vil bringe oss til kjernen i saken vår, de beste Active Directory-verktøyene vi kunne finne. Vi vil gi deg en kort gjennomgang av hver enkelt.

Katalogtjenester, hva de er

Wikipedia definerer en katalogtjeneste som "en kartlegging mellom navnene på ressursene i et nettverk og deres respektive nettverksadresser.”Og i sin enkleste form er dette virkelig alt det er. Så da, kan du spørre, er Domain Name System (DNS) en katalogtjeneste? Svaret er et rungende JA! Men hvis det er så enkelt, hvorfor er Active Directory så kompleks?

Active Directory, akkurat som de fleste moderne katalogtjenester, implementerer mye mer funksjonalitet enn bare å kartlegge navn til adresser. De er kjernen i nettverkets sikkerhet og vil inneholde detaljert informasjon om brukere (brukerkontoer) og ressurser og er også i sentrum for tilgangskontrollmekanismene til de fleste nettverk. Den moderne katalogtjenesten er en database der mesteparten av informasjonen om et nettverk, dets ressurser og brukere er lagret.

En katalogtjeneste er en hierarkisk database med objekter, som hver representerer en annen enhet. Noen objekter representerer brukere, andre representerer datamaskiner eller andre tilgjengelige ressurser som nettverksandeler. Andre gjenstander er containere for gjenstander. Den hierarkiske strukturen gjør det enklere å finne et enkelt objekt og gjør det enkelt å administrere tillatelser der objekter kan arve tillatelser fra foreldrene.

Målet vårt er imidlertid ikke å gjøre deg til katalogtjenesteekspert, men snarere å gi deg nok bakgrunnsinformasjon til å bedre forstå hva Active Directory er og hvor den kommer fra. La oss se på noen eksempler fra det virkelige liv på katalogtjenester du har møtt tidligere.

Noen eksempler

DNS er en av de aller første katalogtjenestene. Det går tilbake til begynnelsen av åttitallet. Det hadde - og har fremdeles - ett hovedformål: å oversette vertsnavn til IP-adresser. Det er fremdeles i utbredt bruk i dag, og det er et av grunnleggende på Internett.

De Nettverksinformasjonstjeneste, eller NIS, var Sun Microsystems 'egen implementering av en navnetjeneste som ligner på DNS ​​for Unix-økosystemet.

Novell Directory Services—Latt ringte eDirectory—Var katalogtjenesten til Novell Netware-nettverk. Noe som det som Active Directory er i dag, det var et altomfattende system som ikke bare brukes til navneløsning, men også for autentisering og tilgangskontroll.

NetInfo ble utviklet av NEXT, og da Apple kjøpte selskapet, ble Mac OS sin katalogtjeneste før den ble erstattet av OpenDirectory.

Til slutt, NT-domener er et annet eksempel på en katalogtjeneste. De er stamfar til Active Directory. NT-domener ble primært brukt for tilgangskontroll og autentiseringsformål.

X.500 og LDAP, to katalogtjenestestandarder

I informasjonsalderen er interoperabilitet viktigere enn noen gang, noe som fører til at standarder dukker opp på alle felt. Katalogtjenester er ikke forskjellige to primære standarder eksisterer, LDAP og X.500

X.500-standarden, eller mer presist X.500-serien av standarder, er en gruppe spesifikasjoner fra ITU-T som dekker flere aspekter ved elektroniske katalogtjenester. De første iterasjonene går tilbake til 1988, men X.500 er fremdeles i utbredt bruk i dag.

Et av målene med et sett med standardprotokoller som foreslått av X.500 er å sikre interoperabilitet og la systemer fra forskjellige leverandører samhandle. X.500 er faktisk et sett med ni individuelle protokoller

Lightweight Directory Access Protocol, eller LDAP, er en åpen, produsentnøytral industristandard applikasjonsprotokoll for tilgang til og vedlikehold av distribuert kataloginformasjonstjenester over en IP Nettverk. I dag er de fleste implementeringer av katalogtjenester, inkludert Microsofts Active Directory, LDAP-kompatible.

LDAP var opprinnelig ment som en lett alternativ protokoll for tilgang til X.500-katalogtjenester gjennom den enklere TCP / IP-protokollstabelen. Som sådan er X.500 og LDAP ikke gjensidig utelukkende og er i stedet komplementære. For eksempel angir LDAP-spesifikasjonen at strukturen i katalogtjenestedatabasen må være X.500-kompatibel.

LDAP-klienter kan ikke bare lese attributtene til objekter i en katalogtjenestedatabase, de kan også endre dem. Dette betyr selvfølgelig at LDAP er sikker og tilbyr en autentiseringsmekanisme for å beskytte mot uautoriserte modifikasjoner.

Fra NT-domene til Active Directory

Som tidligere nevnt, Windows NT-domener var den første formen for katalogtjeneste i Microsoft-økosystemet. Som du kunne ha gjettet, dukket de først opp med Windows NT, allerede i 1993. De hadde en sentralisert database som var lokalisert på en domenekontroller som primært var ansvarlig for brukerautentisering. Databasen kan kopieres på flere domenekontrollere for redundans og for å sikre at store nettsteder med flere nettsteder kan autentisere brukere lokalt.

Med Windows 2000 ga Microsoft ut Active Directory. Det var en sårt tiltrengt forbedring i forhold til de tradisjonelle domenene som hadde blitt brukt i årevis. Active Directory tilbyr flere forskjellige tjenester. Først og fremst er domenetjenestene. Dette er hjørnesteinen i Windows-nettverk. De lagrer informasjon om medlemmer av domenet, inkludert enheter og brukere, verifiserer legitimasjon, autentiserer dem og definerer deres tilgangsrettigheter.

Andre viktige tjenester i Active Directory inkluderer Certificate Services som gir en lokal infrastruktur for offentlig nøkkel. De kan opprette, validere og tilbakekalle offentlige nøkkelsertifikater for intern bruk i en organisasjon. Slike sertifikater kan brukes til å kryptere filer, e-postmeldinger og nettverkstrafikk. Andre tjenester levert av Active Directory inkluderer føderasjonstjenester, en type enkeltpåloggingsmekanisme og rettighetsadministrasjonstjenester.

De beste Active Directory-verktøyene

Hovedtrekket ved Active Directory er at det er stort og sammensatt. Og med denne kompleksiteten kommer administrasjonshodepine. Heldigvis er det utviklet mange verktøy av tredjeparter for å håndtere noen av AD-administrasjonens byrder. Dette er verktøyene vi har undersøkt, og vi presenterer noe av det beste vi kan finne. Denne listen er langt fra omfattende, da det ganske enkelt er altfor mange verktøy der ute.

SolarWinds er kjent for å lage noen av de aller beste nettverks- og systemadministrasjonsverktøyene. Vi har omtalt SolarWinds-produkt utallige ganger da vi for eksempel vurderte beste SNMP-overvåkingsverktøy eller beste NetFlow samlere og analysatorer. SolarWinds er også kjent for sine gratis verktøy, oppgavespesifikke verktøy rettet mot administratorer.

Det er ingen overraskelse at SolarWinds Server & Søknad Monitor er på listen vår. Og selv om det upretensiøse navnet kanskje ikke får en til å tro at dette er et Active Directory-verktøy, gjør det brede spekteret av funksjonaliteter det til et flott verktøy for å overvåke og administrere Active Directory.

La oss begynne med å se på hvordan SolarWinds Server & Application Monitor kan hjelpe med AD-behandling. Først har verktøyet overvåkning av domenekontroller som overvåker flere driftsparametere. Det vil fortelle deg når CPU-bruken blir for høy, når en brukerkonto er låst ute eller når det er et innloggingsproblem.

Programvaren vil også overvåke NTDS-objekttellere, og bidra til å redusere overbelastning av serveren. Videre SolarWinds Server og applikasjonsmonitor gir deg innsikt i flere LDAP-statistikker inkludert LDAP-aktive tråder, bindetid, klientøkter og vellykkede bindinger og søk per sekund.

De Solarwinds Server & Application Monitor kan sende varsler når katalogservere ikke klarer å kopiere, en hendelse som kan forhindre brukere i å få tilgang til mapper og filer. Den gir også detaljert ytelsesstatistikk relatert til katalogtjenester som distribuert filsystem, DFS-replikering, mellomliggende meldinger, DNS-klient, Windows-tid, RPC, server- og arbeidsstasjonstjenester og Active Directory-domenetjenester, bare for å nevne noen av de viktigste.

Men som navnet tilsier, vil dette verktøyet ikke bare overvåke Active Directory-tjenester, men også serverne selv og applikasjonene som kjører på dem. Denne komplette pakken kan skalere fra de minste nettverkene til store nettsteder med flere nettsteder med hundrevis av fysiske og virtuelle servere. Og den kan overvåke servere i skymiljøer som de fra Amazon Web Services og Microsoft Azure like bra.

De SolarWinds Server & Application monitor vil opprinnelig automatisk oppdage verter og enheter i nettverket ditt. Deretter vil en andre funnskanning registrere applikasjoner som kjører på hver server. Når det er i gang, kan det vanskelig å bruke dette verktøyet takket være det intuitive brukergrensesnittet. Hvis du for eksempel klikker på Nodedetalj, vises nodens ytelse og helseinformasjon.

Priser for SolarWinds Server og applikasjonsmonitor starter på rett under $ 2 995 og a gratis 30-dagers prøveversjon er tilgjengelig for nedlasting.

2. ManageEngine Active Directory Free Tools

ManageEngine er et annet vanlig navn blant system- og nettverksadministratorer. Det gjør OpManager, uten tvil en av de beste Verktøy for overvåking av IT-infrastruktur. Og som SolarWinds, lager ManageEngine også noen gode gratis verktøy. De har faktisk mer enn femten gratis Active Directory-verktøysom kan hjelpe med å overvåke og administrere AD-infrastrukturen din. Noen er frittstående programmer mens andre er Powershell cmdlets. En flott ting med dette verktøysettet er at de fleste verktøyene er samlet i en enkelt nedlasting. La oss se hva de mest interessante av disse verktøyene er.

De AD Query Tool lar deg lese alle attributtdata du trenger fra Active Directory, for eksempel et brukernavn-fornavn, etternavnstelefon, adresse og så videre. Verktøyet kan også hjelpe med å spørre Active Directory Group og Computer-objekter.

De CSV Generator Tool vil generere en CSV-fil (hvem ville trodd?) som inneholder et tilpasset utvalg av brukerspesifiserte Active Directory-attributter og tilhørende verdier. Den resulterende filen kan brukes til Active Directory-styring.

De Siste påloggingsfinner brukes til å liste opp den siste påloggingstiden for alle eller valgte brukere i alle de valgte domenekontrollere i domenet. Det brukes vanligvis til revisjon og opprydding.

De Terminal Session Manager er en Powershell cmdlet du kan bruke til å identifisere og administrere flere terminalsesjoner i et domene fra et enkelt punkt. Med det kan terminalsesjoner for flere brukere på tvers av et domene administreres, kobles fra eller logges av.

De Active Directory Replication Manager gjør det mulig for administratorer å tvinge replikering av data i et domene eller hele skogen. Den tillater også replikering av data mellom to domenekontrollere, og den vil vise omfattende rapporter om den siste replikasjonen.

De DMZ Port Analyzer lar administratorer sjekke statusen til porter som kreves av en tredjeparts applikasjon for å jobbe med Active Directory. Den kan brukes til å åpne passende porter på brannmurer.

De Reporter for domenekontroller lister opp alle domenekontrollere og deres respektive roller i domenet. Det kan hjelpe administratorer med å identifisere hvilken som helst tilknyttet rolle som en domenekontroller.

De Lokal brukerbehandling hjelper administratorer med å administrere brukerkontoer innenfor domenet. Den gir informasjon om lokale brukerkontoer og lar deg også administrere disse kontoene ved hjelp av et praktisk brukergrensesnitt.

De Domenekontrollerovervåkningsverktøy er et enkelt verktøy som automatisk oppdager domenene og viser dem. Den vil vise forskjellige parametere for domenekontrollere som CPU-utnyttelse, diskverktøy og minneutnyttelse. Du kan også se andre parametere som sidelesninger per sekund, sideskriv per sekund, fillesing, filskriving osv.

De Password Policy Manager lar enhver bruker hente og se på domenets passordpolicy. Det lar også brukere med administratorrettigheter redigere passordreglene for domenet.

Som navnet tilsier, Tomt passord brukererapportverktøy brukes til å finne brukerkontoer med passordfelt satt til null, og hjelper administratorer med å unngå sikkerhetsrelaterte problemer.

De Active Directory Duplicate Finder er et Powershell-verktøy som lar administratorer identifisere dupliserte oppføringer for Active Directory-attributter i et domene. Dupliserte oppføringer er praktisk oppført, og hjelper administratorer med å sikre en duplikatfri Active Directory.

De DNS Reporter hjelper deg med å skaffe informasjon relatert til nettverkets DNS-infrastruktur. Den kan vise detaljene for tilgjengelige DNS-poster, deres tilhørende posttyper, IP-adresser og serviceopplysningene bare ved å oppgi et domenenavn.

De Styring av tjenestekontoer er designet for å hjelpe deg enkelt å opprette, redigere og slette administrerte tjenestekontoer med bare noen få klikk. Dette verktøyet krever ingen kunnskap om PowerShell, det vanlige verktøyet som brukes for å utføre disse oppgavene.

De Rapport om svake passordbrukere hjelper deg med å finne svake passord i Active Directory ved å sammenligne brukernes passord med en liste over over 100 000 ofte brukte svake passord. Du kan deretter tvinge brukerne med svake passord til å endre passordet neste gang de logger seg på.

3. Tillat kompass

Kompass fra ENow Software hjelper deg med å identifisere skjulte problemer i miljøet ditt før det blir kompromittert. Det tillater sanntids nettverksovervåking av Active Directory og alle domenekontrollere. Kompass kan sikre at Active Directory er sunt ved å overvåke DFS / FRS-replikering. Det vil også finne DNS-navn løsningsproblemer og hjelper deg med å feilsøke problematiske applikasjoner for å hjelpe deg med å holde annonsen din i gang problemfritt.

Kompass har over 50 rapporter som inkluderer revisjon av Domain Admins Group, identifisering og fjerning av inaktive brukerkontoer og identifisering av FSMO-roller. Verktøyet er raskt å installere og enkelt å bruke. Det har et intuitivt og brukervennlig dashbord som hjelper deg med å identifisere problemer tidlig før de blir strømbrudd.

Detaljert prisinformasjon for Kompasskan fås ved å kontakte Enow-salg, og en gratis 14-dagers prøveversjon kan fås.

4. Anturis Active Directory Monitor

Halvparten av arbeidet med å administrere Active Directory er å sikre at alle tjenestene kjører problemfritt, og det er akkurat dette Active Directory Monitor fra Anturis handler om. Dette verktøyet kan varsle deg om unormale situasjoner via e-post, SMS eller taleanropvarsler. Du kan også bruke Active Directory Monitor for å etablere ytelsesgrunnlag for Active Directory-serverne og replikasjonsstrukturen slik at du kan gjøre det gjenkjenne resultattrender og bidra til å redusere risikoen for flaskehalser før de har en negativ innvirkning på AD opptreden.

De Active Directory Monitor vil vise deg server- og LDAP-økter og angi varslingsterskler. Den vil også vise Kerberos- og NTLM-godkjenninger per sekund, og gi deg en ide om den generelle serverbelastningen. Og med replikering som et av de viktigste aspektene ved Active Directory, er replikasjonsytelsesmålinger slike som replikasjonsstatus, er også DRA i påvente av replikasjonssynkroniseringer og DRA i påvente av replikeringsoperasjoner overvåkes.

Active Directory Monitor er en skybasert tjeneste, og flere abonnementsplaner er tilgjengelige til priser fra $ 10 / måned for 10 skjermer til $ 650 / måned for 1000 skjermer. En gratis versjon er også tilgjengelig, men den er begrenset til 5 skjermer. Imidlertid har alle betalte planer en gratis 30-dagers prøveperiode.

5. Quest Active Administrator

Las på vår liste er Oppdrag Aktiv administrator. Dette er en komplett og integrert Active Directory-programvareløsning. Det bygger bro mellom Microsofts verktøy som etterlater seg. Verktøyene vil gjøre det enklere og raskere å oppfylle revisjonskrav og sikkerhetsbehov. Den har funksjoner som tar for seg mange av de viktigste områdene innen AD-behandling.

Blant verktøyets viktigste funksjoner tilbyr Active Administrator integrert, proaktiv administrasjon. Det har også intuitiv rapportering og varsling, slik at du raskt kan overvåke og rapportere om endringer ved å filtrere hendelsestype, bruker og dato, samt brukerpålogging og sperreaktivitet. Du kan også angi hendelsesvarsler og automatisere varselbaserte handlinger.

Prisene for aktiv administrator er per aktivert brukerkonto i annonsen din og starter på $ 16,37 for en evigvarende lisens med ett års støtte. Det må kjøpes en minstelisens for 20 brukerkontoer. En gratis 30-dagers prøveversjon kan lastes ned.