Active Directory-domäner och skogar Introduktion

Ända sedan starten för nästan exakt 20 år sedan med introduktionen av Windows 2000 Server Edition i februari 1999, Aktiv katalog har varit en viktig komponent i Microsofts serverekosystem. Det främsta syftet är att hålla information om nätverksresurser. Datornätverk kan vara ganska komplicerade. Följaktligen tenderar Active Directory också att vara komplicerat, varför vårt huvudsakliga mål idag är att ge dig en introduktion till Active Directory-domäner och skogar.

Vi tänker inte göra er Active Directory-experter men vårt hopp är att belysa detta komplicerade ämne. Med tanke på teknikens relativt höga komplexitet är det inte förvånande att flera tredjepartsverktyg har skapats för att övervaka och / eller hantera olika aspekter av Active Directory. Så vi ska titta på vad några av dem kan göra för dig.

Så här planerar vi vår resa till kärnan i Active Directory: Vi börjar lyfta upp förvirring med domänbegreppet. Det är ett nyckelelement i AD men också ett viktigt element på Internet och ändå är de två helt olika typer av domäner som inte bör förväxlas. Vi presenterar sedan Active Directory, vad det är och varifrån det kommer. Därefter diskuterar vi AD-domäner och träden vi använder för att representera deras struktur. I naturen kallas en grupp träd en skog. Samma sak gäller i Active Directory som vi kommer att se nästa. Att hantera och övervaka Active Directory kommer att vara vår nästa affärsordning och slutligen kommer vi att granska några av de bästa övervaknings- och hanteringsverktygen för Active Directory.

Undvika förvirring - Vad är en domän?

En domän kan vara många saker beroende på vilket fält du befinner dig i. Och även inom informationsteknologi används termen domän för två mycket olika saker. Den första typen av domän, den som mest datoranvändare - även de som inte är datavetare - känner till är Internetdomänen. Det är en grupp internetresurser som tillhör en specifik organisation. Domännamn används för att få tillgång till olika resurser med användarvänliga (er) namn snarare än kryptiska IP-adresser. Till exempel är addictivetips.com domännamnet på denna webbplats. Microsoft.com är ett annat välkänt domännamn och jag är ganska säker på att du enkelt kan tänka på dussintals till.

Den andra platsen där termen domän används i stor utsträckning är relaterad till Active Directory. En Active Directory-domän är en grupp resurser (märker likheten med de tidigare domänerna?) Som omfattas av en enda autentiseringsdatabas. Vi kommer snart att beskriva AD-domäner. För tillfället är nyckeln att förstå att samma benämning används för att definiera två helt orelaterade begrepp och att det är viktigt att inte blanda dem eftersom de definitivt inte är samma sak.

Aktiv katalog i ett nötskal

Den första frågan som folk vanligtvis ställer om Active Directory är: Vad är det, exakt? Svaret är enkelt, det är Microsofts implementering av en LDAP-katalogtjänst. Även om detta svar är helt exakt är det kanske värdelöst och det ställer fler frågor än det svarar.

Låt oss gräva. För det första är en katalogtjänst, i samband med datornätverk, en databas som innehåller information om varje komponent i ett nätverk. Med komponenter menar vi varje dator och server men också varje användare eller grupp av användare eller varje katalog. Du kan tänka på det som en telefonkatalog. Alla resurser som behöver hitta en annan resurs letar upp den i katalogen.

När det gäller LDAP-delen av vårt första svar är det en förkortning för Lightweight Directory Access Protocol. Enkelt uttryck definierar LDAP hur information om resurser lagras i databasen och hur denna information kan nås. Det är ett branschstandardprotokoll som delas av flera leverantörer vilket tyvärr inte betyder att olika implementationer är driftskompatibla.

En Active Directory-struktur är en hierarkisk organisation av objekt. Det finns tre primära kategorier av objekt: resurser (till exempel datorer eller skrivare), tjänster (som e-post) och användare (användarkonton och användargrupper). Active Directory ger information om föremålen, organiserar dem och kontrollerar deras åtkomst och säkerhet. Det är, för alla syften, ett syfte, en databas med poster där varje post har ett namn och en uppsättning attribut. Varje attribut har ett namn, en typ och ett eller många värden. Attribut definieras i databasens schema.

Du kan tänka på den hierarkiska strukturen i en Active Directory-databas som för ett filsystem. Och precis som ett filsystem har containrar (kallas kataloger eller mappar), så har AD dem också. De kallas organisationsenheter (OU) och hjälper till att gruppera relaterade saker tillsammans. Systemadministratörer är fria att skapa OU: er som de ser lämpligt och det är inte ovanligt, till exempel att se enskilda OU: er för varje avdelning i en organisation.

Active Directory-domäner

Nu när vi alla är på samma sida om vad Active Directory är, låt oss titta på domäner. Intressant nog dominerar domäner Active Directory under flera år. Redan innan Microsoft släppte sin egen LDAP-katalogtjänst 1999 hade domäner funnits sedan de första dagarna av Windows NT. I ett typiskt nätverk av Windows-servrar konfigureras minst en av dem - och ofta två eller flera - som domänkontroller. De är servrarna som är värd för domändatabasen och därigenom autentiserar användare och kontrollerar tillgången till resurser. Informationen som de har replikeras mellan dem. Och sist men inte minst, objekten i en domän är organiserat på ett hierarkiskt sätt.

Träden och skogen

En trädanalogi används ofta för att beskriva hierarkiska strukturer som en domän. Men med Active Directory har Microsoft beslutat att driva denna analogi ett steg längre och det kallar en hierarkisk struktur för domäner ett träd. Kom ihåg att en domän är en grupp resurser under kontroll av en databas men ett träd, av olika skäl kan bestå av flera domäner. Detta är något som faktiskt är ganska vanligt i större organisationer och det är inte alls ovanligt att se en domän för varje division i ett stort företag. Och för ännu större organisationer kan träd grupperas i, du gissade det, skogar. Detta är det högsta elementet i Active Directory och allt annat härstammar från det.

Hantera och övervaka Active Directory

Övervakning är allt! Om du är ett nätverk eller systemadministratörer har du antagligen hört den frasen otaliga gånger. Och vet du vad? Det är allt! Övervakning är ett av de bästa sätten att hålla koll på. Det finns olika typer av övervakningsverktyg som gör att du kan få exakt vilken typ av mätvärden du följer. Till exempel, bandbreddövervakning kommer att rapportera om användningen av olika segment i ett nätverk, CPU-övervakning kommer att visa dina servrar CPU-mätare. De flesta operativa mätvärden för system och nätverk kan övervakas. Den största fördelen med att använda övervakningsverktyg är att de mestadels är automatiska. Du behöver inte ständigt titta på dem. Närhelst något är ovanligt, kommer ditt övervakningsverktyg (er) att varna dig.

När det gäller Active Directory kan flera parametrar övervakas. Till exempel kan domänkontrollanter - servrarna där en domäns databas lagras - övervakas med avseende på svar och prestanda. Ändringar av tillgångsrättigheter kan också övervakas till viss fördel. Inloggningar - särskilt misslyckade - är en annan parameter som är värd att övervaka eftersom det kan vara en indikation på skadlig aktivitet.

Active Directory Management är något annat. Flera verktyg tillhandahålls av Microsoft för att hjälpa dig hantera Active Directory. De låter dig skapa objekt, tilldela rättigheter och i allmänhet utföra större delen av den dagliga dagen relaterade till AD-hantering. Vissa av dessa verktyg kan dock visa sig vara ganska besvärliga eller opraktiska att använda och flera leverantörer har gått upp för att erbjuda olika Active Directory Management-verktyg som kan göra uppgiften att administrera Active Directory mycket lättare.

De bästa AD-verktygen

Vi har sökt marknaden för några av de bästa Active Directory-verktygen. Det vi har för dig idag är en blandning av övervakningsverktyg - vissa AD-specifika och några generiska - och hanteringsverktyg. Alla av dem kan hjälpa dig - och detta var ett av våra viktigaste inkluderingskriterier - med dina dagliga uppgifter när de hänför sig till Active Directory. Vissa är säkerhetsinriktade medan andra är prestationsorienterade.

Solarwinds är en av de bästa utgivarna av programvara för nätverks- och systemadministration. Dess flaggskeppsprodukt kallas Network Performance Monitor konsekvent poäng bland de översta nätverksbandbreddövervakningssystemen. Dessutom är företaget också känt för sin gratis programvara. Vi pratar om mindre verktyg, var och en tar upp ett specifikt behov av nätverksadministratörer. Två fantastiska exempel på dessa gratisverktyg är Avancerad subnätkalkylator och den Kiwi Syslog Server.

Trots ett något vilseledande namn som kan leda till att du tror att det bara handlar om objekttillstånd, SolarWinds Access Rights Manager syftar främst till att göra det enkelt att tillhandahålla användare och avprovisionera, spåra och övervaka. Det erbjuder också ett kraftfullt och enkelt sätt att hantera och övervaka användartillstånd för att säkerställa att inga onödiga behörigheter beviljas.

• GRATIS PRÖVNING: SolarWinds Access Rights Manager
• Nedladdningslänk: https://www.solarwinds.com/access-rights-manager/registration

En av de största styrkorna med denna produkt är dess intuitiva användarhanteringspanel som du kan använda för att skapa, ändra, radera, aktivera och inaktivera användaråtkomst till olika filer och mappar. Den innehåller rollspecifika mallar som enkelt kan ge användare tillgång till specifika resurser i ditt nätverk.

Också mycket intressant och ganska unikt är SolarWinds Access Rights ManagerRapporteringsfunktioner. Programvaran kan skapa rapporter som kan användas som bevis vid tvister eller eventuella tvister. Detaljerade rapporter för revisionsändamål och för att uppfylla specifikationerna som fastställs i regleringsstandarder som gäller för ditt företag finns också tillgängliga. Rapporter kan skapas snabbt och enkelt med bara några få klick. De kan inkludera all information du kan hitta användbar. Loggaktiviteter i Active Directory och filserveråtkomst kan till exempel inkluderas i en rapport. Det är upp till användaren att göra dem så sammanfattade eller så detaljerade som de behöver.

Attacker och / eller dataläckage inträffar ofta när mappar och / eller deras innehåll nås av användare som inte är - eller borde inte ha tillstånd att få åtkomst till dem, en vanlig situation när användare ges bred tillgång till mappar eller filer. De SolarWinds Access Rights Manager kan hjälpa dig att förhindra dessa typer av läckor och obehöriga ändringar av konfidentiella data och filer. Det erbjuder administratörer en visuell representation av behörigheter för flera filserver och det kan enkelt och visuellt se vem som har vilken behörighet på vilken fil.

Prissättning för SolarWinds Access Rights Manager baseras på antalet aktiverade användare inom Active Directory. I Solarwinds parlance, är en aktiverad användare antingen ett aktivt användarkonto eller ett servicekonto. Priserna för produkten börjar på 2 995 USD för upp till 100 aktiva användare. För fler användare (upp till 10 000) kan detaljerad prissättning erhållas genom att kontakta SolarWinds försäljning. Om du vill ge verktyget en testkörning innan du köper det, en gratis obegränsad 30-dagars provversion kan erhållas.

De SolarWinds Server och Application Monitor var utformad för att hjälpa administratörer att övervaka servrar, deras operativa parametrar, deras processer och applikationer som körs på dem. Det är ett av de bästa verktygen du kan använda för att övervaka dina Active Directory-domänkontrollanter och de kritiska tjänster som de behöver för att köra. Men verktyget övervakar också någon eller alla dina servrar. Det kan enkelt skala från de minsta nätverken till stora med hundratals servrar - både fysiska och virtuella - spridda över flera webbplatser.

• GRATIS PRÖVNING: SolarWinds Server och Application Monitor
• Nedladdningslänk: https://www.solarwinds.com/server-application-monitor/registration

Prestationsövervakningen för Active Directory som erbjuds av SolarWinds Server och Application Monitor ger dig inblick i Active Directory-problem relaterade till användarkonto som konto skapande, lösenordsändring och återställningsförsök, inaktiverade och raderade användarkonton. Det kommer också att ge information om domän- och systempolicyändringar och dataåterställning precis som det också ger insikt i brandväggsinställningar och andra systemändringar och för närvarande kör tjänster. Verktyget tillåter också övervakning av LDAP-sessioner. Med antalet anslutna klienter som påverkar serverbelastningen kommer verktyget att övervaka NTDS-objekträknare för att förhindra att en serveröverbelastning är ansluten till en specifik LDAP-session. Dessutom kan programvaran ge inblick i avancerad statistik, såsom LDAP-aktiva trådar, bindningstid, klientsessioner, framgångsrika bindningar / sek och sökningar / sek.

Produktens ursprungliga konfiguration görs snabbt och enkelt med hjälp av en tvåpassers automatisk upptäcktsprocess. Det första passet upptäcker varje server och det andra kommer att hitta applikationer på varje upptäckt server. Även om denna process kan ta tid, kan den snabbas upp genom att tillhandahålla en lista med specifika applikationer att leta efter. När verktyget är igång gör det användarvänliga GUI att använda det till en bris. Verktygets instrumentpanel kan anpassas och det låter dig visa information i antingen en tabell eller ett grafiskt format.

Pris för SolarWinds Server och Application Monitor börjar på 2 995 $ och baseras på antalet komponenter, noder och volymer som övervakas. EN gratis 30-dagars provversion är tillgänglig för nedladdning, om du vill prova produkten innan du köper den.

3- Gratis AD-verktyg från ManageEngine

ManageEngine är ett annat välkänt namn med system- och nätverksadministratörer. Dess ManageEngine OpManager paketet är bland de bästa övervakningsverktygen för IT-infrastruktur. Liksom några av sina konkurrenter gör ManageEngine några fantastiska gratisverktyg. Och när det gäller Active Directory erbjuder företaget inte mindre än femton gratis verktyg som kan hjälpa till med att övervaka och administrera din AD-infrastruktur. Det finns en kombination av fristående program och Powershell cmdlets. De flesta av verktygen ingår i en enda nedladdning så att det inte borde vara mycket problem att få dem. Låt oss se vad de mest intressanta av dessa verktyg är.

• AD Query Tool, som namnet antyder, låter dig läsa alla attributdata som du behöver från Active Directory
• Senaste inloggningssökaren används för att lista den sista inloggningstiden för alla eller utvalda användare i alla de valda domänstyrenheterna i domänen. Det används vanligtvis för revisions- och saneringsaktiviteter.
• Active Directory Replication Manager möjliggör administratörers replikering av data i en domän samt ger omfattande rapporter om den senaste replikationen.
• Domänkontroller Roll Reporter listar alla domänkontrollanter och deras respektive roller i domänen.
• Domain Controller Monitoring Tool är ett enkelt men ändå kraftfullt verktyg. Det kommer automatiskt att upptäcka domäner och visa dem, och visa viktiga parametrar för domänkontroller som CPU-utnyttjande, skivanvändning och minnesanvändning.

• Lösenordspolishanterare låter en hämta och visa och redigera - förutsatt att han har rätt rättigheter - domänens lösenordspolicy.
• Active Directory Duplicate Finder är ett Powershell-verktyg som låter administratörer identifiera duplicerade poster för Active Directory-attribut i en domän.
• Service Accounts Management är utformad för att hjälpa dig enkelt skapa, redigera och ta bort hanterade servicekonton med bara några klick.
• Rapport om användare med svaga lösenord hjälper till att hitta svaga lösenord i Active Directory genom att jämföra användares lösenord med en lista med över 100 000 vanliga svaga lösenord.

Dessa är bara några av de många gratis Active Directory-verktyg tillhandahålls av ManageEngine. Att använda separata verktyg för varje enskild uppgift är förmodligen inte så praktiskt som att använda ett integrerat verktyg med alla inbyggda funktioner, priset på dessa verktyg är svårt att slå och kan säkert göra dem till ett värde värt med tanke på.

4- Aktiv administratör

Senast på vår lista är Aktiv administratör från Quest-programvara, nu en del av Dell. Detta är en komplett och integrerad Active Directory-programvarulösning. Det överbryggar luckorna som vissa av Microsofts verktyg lämnar efter sig. Detta är den typ av verktyg som kan göra det lättare och snabbare att uppfylla både säkerhets- och revisionskrav. Den har funktioner som adresserar många av de viktigaste områdena för AD-hantering.

Bland verktygets huvudfunktioner, Aktiv administratör erbjuder integrerad, proaktiv administration. Detta är också ett mycket kraftfullt övervakningsverktyg som har intuitiv rapportering och varning, så att du kan snabbt upptäcka ändringar och rapportera om dem genom att filtrera efter händelsetyp, användare och datum, samt användarinloggning och lockout aktivitet. Du kan också ställa in händelselarm och automatiskt starta varningsbaserade åtgärder.

Prissättning för Aktiv administratör är per aktiverat användarkonto i ditt Active Directory och det börjar på $ 16,37 för en evig licens med ett års stöd. En minimilicens för 20 användarkonton måste köpas. En gratis 30-dagars provversion kan laddas ner.