5 najlepších nástrojov a softvéru na správu služby Active Directory

Active Directory alebo AD, ako sa často uvádza, je vlastnou verziou adresárovej služby LDAP od spoločnosti Microsoft. Je už okolo systému Windows Server 2000 a nahradil staršie funkcie správy domén serverov Windows. Je to nesmierne komplexná služba, ktorá sa stará o autentifikáciu používateľov a zariadení, určenie ich polohy a správu prístupových práv. Keďže je to tak zložité, nie je žiadnym prekvapením, že niekoľko vývojárov sa pokúsilo vytvoriť nástroje, ktoré zmierňujú bolesť pri správe služby Active Directory. Dnes vám prinášame niektoré z najlepších nástrojov služby Active Directory, ktoré nájdete na internete.

Najprv sa uskutoční všeobecná diskusia o adresárových službách, o tom, čo sú, ich účele a utilite, a uvedieme ich príklad. Ďalej budeme hovoriť o LDAP a X.500, dvoch štandardizovaných protokoloch týkajúcich sa adresárových služieb. Potom sa krátko porozprávame o vývoji adresárových služieb spoločnosti Microsoft. Toto nás privedie k jadru našej záležitosti, najlepším nástrojom Active Directory, ktoré sme našli. Každú z nich stručne preskúmame.

Adresárové služby, čo sú

Wikipedia definuje adresárovú službu ako „mapovanie medzi názvami zdrojov v sieti a ich príslušnými sieťovými adresami.„A vo svojej najjednoduchšej podobe je to skutočne všetko, čo je. Takže sa môžete opýtať, či je systém DNS (Domain Name System) adresárovou službou? Odpoveď znie jednoznačne ÁNO! Ale ak je to také jednoduché, prečo je služba Active Directory tak zložitá?

Služba Active Directory, rovnako ako väčšina moderných adresárových služieb, implementuje omnoho viac funkcií ako iba mapovanie mien na adresy. Sú jadrom bezpečnosti siete a budú obsahovať podrobné informácie o používateľoch (používateľské účty) a zdroje a tiež sú stredobodom mechanizmov kontroly vstupu väčšiny siete. Moderná adresárová služba je databáza, v ktorej je uložená väčšina informácií o sieti, jej zdrojoch a používateľoch.

Adresárová služba je hierarchická databáza objektov, z ktorých každý predstavuje inú entitu. Niektoré objekty predstavujú používateľov, iné predstavujú počítače alebo iné dostupné prostriedky, ako napríklad sieťové zdieľané položky. Ďalšími predmetmi sú nádoby na predmety. Hierarchická štruktúra uľahčuje nájdenie každého jednotlivého objektu a umožňuje jednoduchú správu povolení, kde objekty môžu dediť povolenia od svojho rodiča.

Naším cieľom však nie je, aby ste sa stali odborníkmi na adresárové služby, ale aby sme vám poskytli dostatok informácií o pozadí, aby ste lepšie porozumeli tomu, čo je služba Active Directory a odkiaľ pochádza. Pozrime sa na niekoľko príkladov minulých a súčasných adresárových služieb, s ktorými ste sa možno stretli, v reálnom živote.

Niekoľko príkladov

DNS je jednou z prvých adresárových služieb. Pochádza zo začiatku 80. rokov. Mal - a stále má - primárny účel: preklad názvov hostiteľov na adresy IP. Dnes sa stále bežne používa a je jedným zo základov internetu.

Sieťová informačná službaalebo NIS, bola vlastnou implementáciou názvu služby Sun Microsystems podobnej službe DNS pre ekosystém Unix.

Novell Directory Sých služieb- volajúci eDirectory- bola adresárová služba sietí Novell Netware. Trochu podobné tomu, čo je v súčasnosti v Active Directory, išlo o všestranný systém, ktorý sa používa nielen na rozlišovanie mien, ale aj na overovanie a kontrolu prístupu.

NetInfo bola vyvinutá spoločnosťou NEXT a keď spoločnosť Apple získala spoločnosť, stala sa adresárovou službou Mac OS a potom ju nahradila Apple Open Directory.

A konečne, NT domény sú ďalším príkladom adresárovej služby. Sú predchodcami služby Active Directory. Domény NT boli primárne používané na účely riadenia prístupu a autentifikácie.

X.500 a LDAP, dva štandardy adresárových služieb

V informačnom veku je interoperabilita dôležitejšia ako kedykoľvek predtým, čo spôsobuje, že sa normy objavujú vo všetkých oblastiach. Adresárové služby nie sú odlišné. Existujú dva primárne štandardy, LDAP a X.500

Norma X.500 alebo presnejšie séria štandardov X.500 je skupina špecifikácií ITU-T, ktorá sa týka niekoľkých aspektov služieb elektronických telefónnych zoznamov. Prvé iterácie sa datujú do roku 1988, ale X.500 sa v súčasnosti stále bežne používa.

Jedným z cieľov súboru štandardných protokolov, ako navrhuje X.500, je zabezpečiť interoperabilitu a umožniť interakciu systémov od rôznych dodávateľov. X.500 je v skutočnosti sada deviatich samostatných protokolov

Protokol ľahkého adresárového prístupu (LDAP) je otvorený priemyselný štandard nezávislý od dodávateľa aplikačný protokol na prístup a údržbu distribuovaných adresárových informačných služieb cez IP siete. Dnes je väčšina implementácií adresárových služieb vrátane Active Directory od spoločnosti Microsoft kompatibilná s protokolom LDAP.

LDAP bol pôvodne určený ako ľahký alternatívny protokol na prístup k adresárovým službám X.500 prostredníctvom jednoduchšieho protokolu protokolov TCP / IP. X.500 a LDAP sa preto vzájomne nevylučujú a namiesto toho sa vzájomne dopĺňajú. Napríklad špecifikácia LDAP uvádza, že štruktúra databázy adresárových služieb musí byť kompatibilná s X.500.

Klienti LDAP môžu nielen čítať atribúty objektov v databáze adresárových služieb, ale môžu ich tiež upravovať. To samozrejme znamená, že LDAP je bezpečný a ponúka autentifikačný mechanizmus na ochranu pred neoprávnenými úpravami.

Z domény NT na Active Directory

Ako už bolo uvedené, domény Windows NT boli prvou formou adresárovej služby v ekosystéme spoločnosti Microsoft. Ako ste si mohli myslieť, prvýkrát sa objavili v systéme Windows NT už v roku 1993. Mali centralizovanú databázu, ktorá bola umiestnená na radiči domény, ktorý bol primárne zodpovedný za autentifikáciu používateľov. Databáza by sa mohla replikovať na niekoľko radičov domén kvôli redundancii a zabezpečiť, aby veľké siete s viacerými lokalitami mohli používateľov autentifikovať lokálne.

V systéme Windows 2000 spoločnosť Microsoft vydala službu Active Directory. Bolo to veľmi potrebné zlepšenie v porovnaní s tradičnými doménami používanými roky. Služba Active Directory poskytuje niekoľko rôznych služieb. V prvom rade sú to doménové služby. Toto je základný kameň sietí Windows. Ukladajú informácie o členoch domény vrátane zariadení a používateľov, overujú ich poverenia, autentifikujú ich a definujú ich prístupové práva.

Medzi ďalšie dôležité služby Active Directory patria Certifikačné služby, ktoré poskytujú infraštruktúru miestneho verejného kľúča. Môžu vytvárať, overovať a rušiť certifikáty verejného kľúča pre interné použitie v organizácii. Takéto certifikáty sa dajú použiť na šifrovanie súborov, e-mailov a sieťového prenosu. Medzi ďalšie služby poskytované službou Active Directory patria federačné služby, typ mechanizmu jednotného prihlásenia a služby správy práv.

Najlepšie nástroje služby Active Directory

Hlavnou charakteristikou služby Active Directory je, že je veľká a komplexná. A s touto zložitosťou prichádzajú administratívne bolesti hlavy. Tretie strany našťastie vyvinuli veľa nástrojov na riešenie niektorých administratívnych záťaží AD. Toto sú nástroje, ktoré sme preskúmali, a my vám predstavujeme niektoré z najlepších, ktoré sme našli. Tento zoznam nie je ani zďaleka rozsiahly, pretože existuje jednoducho príliš veľa nástrojov.

SolarWinds je známy tým, že vyrába niektoré z najlepších nástrojov na správu siete a systému. Produkt SolarWinds sme predstavili nespočetne krát, keď sme napríklad preskúmali najlepšie monitorovacie nástroje SNMP alebo najlepšie zberače a analyzátory NetFlow. SolarWinds je tiež známy svojimi bezplatnými nástrojmi, nástrojmi špecifickými pre danú úlohu zameranými na správcov.

Nie je preto žiadnym prekvapením, že Server SolarWinds & Monitor aplikácií je na našom zozname. A hoci jeho nenáročné meno nemusí viesť k tomu, aby si myslel, že ide o nástroj Active Directory, vďaka jeho širokej škále funkcií je výborným nástrojom na monitorovanie a správu služby Active Directory.

Začnime tým, ako sa Monitor serverov a aplikácií SolarWinds môže pomôcť so správou AD. Po prvé, nástroj obsahuje monitorovanie radiča domény, ktorý monitoruje niekoľko prevádzkových parametrov. Povie vám, kedy je využitie CPU príliš vysoké, keď je užívateľský účet zablokovaný alebo keď nastane problém s prihlásením.

Softvér bude tiež monitorovať počítadlá objektov NTDS, čo pomáha znižovať zaťaženie servera. Okrem toho Monitor serverov a aplikácií SolarWinds vám poskytuje prehľad o niekoľkých štatistikách LDAP vrátane aktívnych vlákien LDAP, času viazania, relácií klienta a úspešných väzieb a vyhľadávaní za sekundu.

SolarWinds Monitor serverov a aplikácií môže odosielať upozornenia v prípade, že sa adresárové servery nekopírujú, čo môže zabrániť používateľom v prístupe k priečinkom a súborom. Poskytuje tiež podrobné štatistiky výkonnosti týkajúce sa adresárových služieb, ako sú distribuovaný systém súborov, replikácia DFS, zasielanie správ medzi servermi, Klient DNS, čas Windows, RPC, služby serverov a pracovných staníc a doménové služby Active Directory, aby sme vymenovali len niektoré z najvýznamnejších.

Ako však naznačuje jeho názov, tento nástroj bude monitorovať nielen služby Active Directory, ale aj samotné servery a aplikácie, ktoré na nich bežia. Tento kompletný balík môže škálovať od najmenších sietí po veľké siete s viacerými lokalitami so stovkami fyzických a virtuálnych serverov. Môže tiež monitorovať servery v cloudových prostrediach, ako sú servery Amazon Web Services a Microsoft Azure.

Monitor serverov a aplikácií SolarWinds bude automaticky zisťovať hostiteľov a zariadenia vo vašej sieti. Potom druhá detekčná kontrola zistí aplikácie bežiace na každom serveri. Keď bude tento nástroj funkčný, jeho intuitívne používateľské rozhranie bude sotva jednoduchšie. Napríklad kliknutím na Detail uzla zobrazíte informácie o výkone a zdravotnom stave uzla.

Ceny za Monitor serverov a aplikácií SolarWinds začína tesne pod 2 995 dolárov a bezplatná 30-dňová skúšobná verzia je k dispozícii na stiahnutie.

2. Spravujte bezplatné nástroje služby Active Directory

ManageEngine je ďalší všeobecný názov medzi správcami systémov a sietí. Vďaka tomu je OpManager pravdepodobne jedným z najlepších Nástroje na monitorovanie IT infraštruktúry. A podobne ako SolarWinds, aj ManageEngine vyrába niekoľko skvelých bezplatných nástrojov. V skutočnosti majú viac ako pätnásť bezplatné nástroje služby Active Directoryktoré môžu pomôcť s monitorovaním a správou vašej infraštruktúry AD. Niektoré sú samostatné programy, zatiaľ čo iné sú Powershell cmdlets. Jedna skvelá vec na tejto súprave nástrojov je, že väčšina nástrojov je zoskupená do jedného balíka jedno stiahnutie. Pozrime sa, aké sú tieto nástroje najzaujímavejšie.

AD Query Tool umožňuje prečítať všetky údaje atribútov, ktoré požadujete z adresára Active Directory, napríklad meno používateľa, telefónne meno, adresa atď. Pomôcka môže tiež pomôcť pri vyhľadávaní objektov Active Directory Group a Computer.

Nástroj na generovanie CSV vygeneruje súbor CSV (kto by si myslel?), ktorý obsahuje vlastné pole atribútov služby Active Directory špecifikovaných používateľom a ich zodpovedajúce hodnoty. Výsledný súbor sa môže použiť na hromadnú správu služby Active Directory.

Posledné prihlásenie sa používa na uvedenie posledného času prihlásenia všetkých alebo vybratých používateľov vo všetkých vybratých radičoch domény v doméne. Zvyčajne sa používa na audítorské a čistiace činnosti.

Správca relácií terminálu je rutina Powershell, ktorú môžete použiť na identifikáciu a správu viacerých terminálových relácií v doméne z jedného bodu. Vďaka tomu je možné spravovať, odpojovať alebo odhlasovať terminálové relácie pre viacerých používateľov v rámci domény.

Správca replikácie služby Active Directory umožňuje správcom vynútiť replikáciu údajov v doméne alebo v celej doménovej štruktúre. Umožňuje tiež replikáciu údajov medzi dvoma radičmi domény a uvádza komplexné správy o poslednej replikácii.

Analyzátor portov DMZ umožňuje správcom skontrolovať stav portov požadovaných akoukoľvek aplikáciou tretej strany, aby mohli pracovať s Active Directory. Môže byť použitý na otvorenie príslušných portov na firewalloch.

Reportér úloh radiča domény uvádza všetky radiče domény a ich príslušné úlohy v doméne. Môže pomôcť správcom identifikovať akúkoľvek pridruženú úlohu radiča domény.

Miestny správca používateľov pomáha správcom spravovať používateľské účty v doméne. Poskytuje informácie o miestnych používateľských kontách a tiež umožňuje správu týchto účtov pomocou pohodlného používateľského rozhrania.

Nástroj na sledovanie radiča domény je jednoduchý nástroj, ktorý automaticky zisťuje domény a zobrazuje ich. Ukáže rôzne parametre radičov domény, ako je využitie CPU, využitie disku a využitie pamäte. Môžete tiež zobraziť ďalšie parametre, ako napríklad Čítanie stránok za sekundu, Zápisy stránok za sekundu, Čítanie súborov, Zápisy súborov atď.

Správca politiky hesiel umožňuje každému používateľovi načítať a zobraziť pravidlá pre heslá v doméne. Umožňuje tiež používateľom s právami správcu upravovať politiku hesla domény.

Ako už názov napovedá, Prázdny nástroj na správu používateľov hesiel sa používa na nájdenie používateľských účtov s poliami s heslom nastavenými na null, čo pomáha správcom vyhnúť sa problémom súvisiacim s bezpečnosťou.

Vyhľadávač duplikátov služby Active Directory je obslužný program Powershell, ktorý umožňuje správcom identifikovať duplicitné položky pre atribúty služby Active Directory v doméne. Duplicitné záznamy sú vhodne uvedené, čo pomáha správcom zabezpečiť duplikátnu službu Active Directory.

Reporter DNS vám pomôže získať informácie súvisiace s infraštruktúrou DNS vašej siete. Jednoducho zadaním názvu domény môže zobraziť podrobnosti o dostupných DNS záznamoch, ich zodpovedajúcich typoch záznamov, IP adresách a podrobnostiach služby.

Správa účtov služieb je navrhnutý tak, aby vám pomohol ľahko vytvoriť, upraviť a odstrániť účty spravovaných služieb iba niekoľkými kliknutiami. Tento nástroj nevyžaduje žiadne znalosti PowerShell, zvyčajného nástroja používaného na splnenie týchto úloh.

Správa o slabých heslách pomáha nájsť slabé heslá v službe Active Directory porovnaním hesiel používateľov so zoznamom viac ako 100 000 bežne používaných slabých hesiel. Potom môžete prinútiť používateľov so slabými heslami, aby si pri najbližšom prihlásení zmenili svoje heslo.

3. Enow Compass

kompas od spoločnosti ENow Software vám pomôže identifikovať skryté problémy vo vašom prostredí skôr, ako bude ohrozené. Umožňuje sledovanie siete Active Directory a všetkých radičov domén v reálnom čase. kompas môžete zabezpečiť, aby bola vaša služba Active Directory zdravá monitorovaním replikácie DFS / FRS. Nájdete tiež názov DNS problémy s riešením a pomoc pri riešení problémov s problematickými aplikáciami, ktoré vám pomôžu udržať váš počítač v prevádzke hladko.

kompas má vyše 50 správ, ktoré zahŕňajú audit skupiny Domain Admins Group, identifikáciu a odstránenie neaktívnych používateľských účtov a identifikáciu úloh FSMO. Tento nástroj sa rýchlo inštaluje a ľahko sa používa. Obsahuje intuitívny a ľahko použiteľný informačný panel, ktorý pomáha identifikovať problémy skôr, ako sa stanú výpadkami.

Podrobné informácie o cenách pre kompasje možné získať kontaktovaním predaja spoločnosti Enow a získať bezplatnú 14-dňovú skúšobnú verziu.

4. Anturis Active Directory Monitor

Polovica práce so správou služby Active Directory spočíva v zabezpečení hladkého fungovania všetkých služieb Monitor Active Directory od Anturis je všetko o. Tento nástroj vás môže upozorniť na neobvyklé situácie prostredníctvom e-mailov, správ SMS alebo upozornení na hlasové hovory. Môžete tiež použiť Monitor Active Directory vytvoriť základné výkonnostné parametre pre servery Active Directory a štruktúru replikácie, ktorá vám umožní spoznať trendy výkonnosti a pomôcť znížiť riziko prekážok skôr, ako budú mať negatívny vplyv na vaše reklamy výkon.

Monitor Active Directory zobrazí relácie servera a LDAP a nastaví výstražné limity. Ukáže vám tiež autentifikácie Kerberos a NTLM za sekundu, čo vám poskytne predstavu o všeobecnom zaťažení servera. A keďže replikácia je jedným z najdôležitejších aspektov služby Active Directory, metriky výkonnosti replikácie sú také ako stav replikácie sú tiež DRA čakajúce synchronizácie replikácie a DRA čakajúce operácie replikácie monitorované.

Monitor Active Directory je cloudová služba a niekoľko predplatných programov je dostupných za ceny v rozmedzí od 10 dolárov / mesiac pre 10 monitorov do 650 dolárov / mesiac pre 1 000 monitorov. K dispozícii je aj bezplatná verzia, ale je obmedzená na 5 monitorov. Všetky platené programy však majú 30-dňovú bezplatnú skúšobnú verziu.

5. Quest Active Administrator

Las na našom zozname je pátranie Aktívny správca. Toto je kompletné a integrované softvérové ​​riešenie pre správu Active Directory. Prekonáva medzery, ktoré zanechávajú nástroje spoločnosti Microsoft. Tieto nástroje uľahčia a zrýchlia splnenie požiadaviek auditu a bezpečnostných potrieb. Má vlastnosti, ktoré sa zaoberajú mnohými najdôležitejšími oblasťami správy AD.

Medzi hlavné funkcie nástroja ponúka aktívny správca integrovanú proaktívnu správu. Má tiež intuitívne hlásenie a varovanie, ktoré vám umožňuje rýchlo monitorovať a vykazovať zmeny pomocou filtrovania typu udalosti, používateľa a dátumu, ako aj aktivity prihlásenia a blokovania používateľov. Môžete tiež nastaviť upozornenia na udalosti a automatizovať akcie založené na upozorneniach.

Cena pre aktívneho administrátora je za povolený užívateľský účet vo vašom AD a začína na 16,37 dolárov za trvalú licenciu s ročnou podporou. Musí sa zakúpiť minimálna licencia pre 20 používateľských účtov. Môžete si stiahnuť bezplatnú 30-dňovú skúšobnú verziu.