Active Directory, sau AD, așa cum este adesea menționat, este versiunea proprie a Microsoft a unui serviciu de director LDAP. A existat încă de la Windows Server 2000 și a înlocuit caracteristicile de gestionare a domeniilor vechi ale serverelor Windows. Este un serviciu extrem de complex care se ocupă de autentificarea utilizatorilor și echipamentelor, de a le identifica locația și de a gestiona drepturile de acces. Fiind atât de complex, nu este surprinzător faptul că mai mulți dezvoltatori au încercat să creeze instrumente care ușurează durerea de a gestiona Active Directory. Astăzi, vă prezentăm unele dintre cele mai bune instrumente Active Directory care pot fi găsite pe Internet.
Vom avea mai întâi o discuție generală despre serviciile de directoare, care sunt acestea, scopul și utilitatea lor și vă vom oferi câteva exemple ale acestora. În continuare, vom vorbi despre LDAP și X.500, două protocoale standardizate legate de serviciile de directoare. Apoi, vom vorbi pe scurt despre evoluția serviciilor de directoare Microsoft. Acest lucru ne va aduce la miezul problemei noastre, cele mai bune instrumente Active Directory pe care le-am putut găsi. Vă vom face o scurtă trecere în revistă a fiecăruia.
Cuprins
Serviciile de director, ce sunt
Wikipedia definește un serviciu de director ca „o mapare între numele resurselor dintr-o rețea și adresele lor de rețea respective”. Și în cea mai simplă formă, asta este cu adevărat tot ce este. Deci, vă puteți întreba, este sistemul de nume de domeniu (DNS) un serviciu de directoare? Răspunsul este un DA răsunător! Dar dacă este atât de simplu, de ce este Active Directory atât de complex?
Active Directory, la fel ca majoritatea serviciilor de directoare moderne, implementează mult mai multe funcționalități decât maparea numelor cu adrese. Acestea se află în centrul securității rețelei și vor conține informații detaliate despre utilizatori (conturi de utilizator) și resurse și sunt, de asemenea, în centrul mecanismelor de control al accesului din majoritatea rețelelor. Serviciul modern de directoare este o bază de date în care sunt stocate majoritatea informațiilor despre o rețea, resursele și utilizatorii acesteia.
Un serviciu de director este o bază de date ierarhică de obiecte, fiecare reprezentând o entitate diferită. Unele obiecte reprezintă utilizatori, unele reprezintă computere sau alte resurse disponibile, cum ar fi partajările de rețea. Alte obiecte sunt containere pentru obiecte. Structura ierarhică facilitează găsirea oricărui obiect unic și permite gestionarea ușoară a permisiunilor, unde obiectele pot moșteni permisiunile de la părintele lor.
Totuși, scopul nostru nu este să vă facem un expert în servicii de directoare, ci mai degrabă să vă oferim suficiente informații de fundal pentru a înțelege mai bine ce este Active Directory și de unde provine. Să aruncăm o privire la câteva exemple din viața reală de servicii de directoare trecute și prezente pe care este posibil să le fi întâlnit.
Cateva exemple
DNS este unul dintre primele servicii de directoare. Datează de la începutul anilor optzeci. A avut – și are încă – un singur scop principal: traducerea numelor de gazdă în adrese IP. Este încă în utilizare pe scară largă astăzi și este unul dintre fundamentele Internetului.
The Serviciul de informare în rețeasau NISa fost implementarea proprie de către Sun Microsystems a unui serviciu de nume similar cu DNS pentru ecosistemul său Unix.
Novell Directorie Sservicii— sunat mai târziu eDirectory— a fost serviciul de director al rețelelor Novell Netware. Oarecum asemănător cu ceea ce este Active Directory astăzi, a fost un sistem atotcuprinzător folosit nu numai pentru rezoluția numelui, ci și pentru autentificare și controlul accesului.
NetInfo a fost dezvoltat de NEXT și, când Apple a achiziționat compania, a devenit serviciul de director al Mac OS înainte de a fi înlocuit de OpenDirectory.
In cele din urma, Domenii NT sunt un alt exemplu de serviciu de directoare. Ei sunt strămoșii Active Directory. Domeniile NT au fost utilizate în principal pentru controlul accesului și scopuri de autentificare.
X.500 și LDAP, două standarde de servicii de director
În era informațională, interoperabilitatea este mai importantă ca niciodată, ceea ce face ca standardele să apară în fiecare domeniu. Serviciile de director nu sunt diferite. Există două standarde principale, LDAP și X.500
Standardul X.500, sau mai precis seria de standarde X.500 sunt un grup de specificații din ITU-T care acoperă mai multe aspecte ale serviciilor de directoare electronice. Primele iterații datează din 1988, dar X.500 este încă utilizat pe scară largă astăzi.
Unul dintre obiectivele unui set de protocoale standard, așa cum este propus de X.500, este de a asigura interoperabilitatea și de a permite sistemelor de la diferiți furnizori să interacționeze. X.500 este de fapt un set de nouă protocoale individuale
Protocolul ușor de acces la director, sau LDAP, este un protocol de aplicație standard, deschis, neutru pentru furnizori, pentru accesarea și menținerea serviciilor de informații despre directoare distribuite printr-o rețea IP. Astăzi, majoritatea implementărilor de servicii de director, inclusiv Active Directory Microsoft sunt compatibile cu LDAP.
LDAP a fost inițial conceput ca un protocol alternativ ușor pentru accesarea serviciilor de directoare X.500 prin stiva mai simplă de protocoale TCP/IP. Ca atare, X.500 și LDAP nu se exclud reciproc și sunt în schimb complementare. De exemplu, specificația LDAP afirmă că structura bazei de date a serviciilor de director trebuie să fie compatibilă cu X.500.
Clienții LDAP nu numai că pot citi atributele obiectelor dintr-o bază de date de servicii de director, ci le pot și modifica. Acest lucru, desigur, înseamnă că LDAP este sigur și oferă un mecanism de autentificare pentru a proteja împotriva modificărilor neautorizate.
De la domeniul NT la Active Directory
După cum sa menționat mai devreme, domeniile Windows NT au fost prima formă de serviciu de directoare din ecosistemul Microsoft. După cum ați fi putut ghici, au apărut pentru prima dată cu Windows NT, în 1993. Aveau o bază de date centralizată care era localizată pe un controler de domeniu care era în primul rând responsabil pentru autentificarea utilizatorilor. Baza de date ar putea fi replicată pe mai multe controlere de domeniu pentru redundanță și pentru a se asigura că rețelele mari, cu mai multe site-uri ar putea autentifica utilizatorii local.
Cu Windows 2000, Microsoft a lansat Active Directory. A fost o îmbunătățire foarte necesară față de domeniile tradiționale care au fost folosite de ani de zile. Active Directory oferă mai multe servicii diferite. În primul rând sunt serviciile de domeniu. Acestea sunt piatra de temelie a rețelelor Windows. Ei stochează informații despre membrii domeniului, inclusiv dispozitive și utilizatori, le verifică acreditările, le autentifică și le definesc drepturile de acces.
Alte servicii importante ale Active Directory includ Serviciile de certificate care oferă o infrastructură locală a cheii publice. Aceștia pot crea, valida și revoca certificate de cheie publică pentru uz intern într-o organizație. Astfel de certificate pot fi folosite pentru a cripta fișiere, e-mailuri și trafic de rețea. Alte servicii furnizate de Active Directory includ servicii de federație, un tip de mecanism de conectare unică și servicii de gestionare a drepturilor.
Cele mai bune instrumente Active Directory
Principala caracteristică a Active Directory este că este mare și complex. Și odată cu această complexitate vin și bătăi de cap în administrație. Din fericire, multe instrumente au fost dezvoltate de terți pentru a aborda unele dintre sarcinile administrației AD. Acestea sunt instrumentele pe care le-am cercetat și vă prezentăm unele dintre cele mai bune pe care le-am putut găsi. Această listă este departe de a fi extinsă, deoarece există pur și simplu prea multe instrumente.
1. SolarWinds Server & Application Monitor (PROCĂ GRATUITĂ)
SolarWinds este cunoscut pentru a face unele dintre cele mai bune instrumente de administrare a rețelelor și a sistemelor. Am prezentat produsul SolarWinds de nenumărate ori când, de exemplu, am analizat cele mai bune instrumente de monitorizare SNMP sau cele mai bune colectoare și analizoare NetFlow. SolarWinds este, de asemenea, renumit pentru instrumentele sale gratuite, instrumente specifice sarcinilor destinate administratorilor.
Nu e nicio surpriză, atunci, că Server SolarWinds & Monitorul aplicației este pe lista noastră. Și în timp ce numele său modest ar putea să nu creeze că acesta este un instrument Active Directory, gama sa largă de funcționalități îl fac un instrument excelent pentru monitorizarea și gestionarea Active Directory.
Să începem prin a arunca o privire la modul în care Server SolarWinds și Monitor de aplicații poate ajuta cu gestionarea AD. În primul rând, instrumentul oferă monitorizarea controlerului de domeniu care monitorizează mai mulți parametri operaționali. Vă va spune când utilizarea procesorului devine prea mare, când un cont de utilizator este blocat sau când există o problemă de conectare.
Software-ul va monitoriza și contoarele de obiecte NTDS, contribuind la reducerea supraîncărcării serverului. În plus, SolarWinds Server și Application Monitor vă oferă o perspectivă asupra mai multor statistici LDAP, inclusiv firele active LDAP, timpul de legare, sesiunile client și legăturile și căutările de succes pe secundă.
The SolarWinds Monitor de server și aplicație poate trimite notificări atunci când serverele de directoare nu se pot replica, un eveniment care poate împiedica utilizatorii să acceseze foldere și fișiere. De asemenea, oferă statistici detaliate de performanță legate de serviciile de director, cum ar fi sistemul de fișiere distribuit, replicarea DFS, mesageria intersite, client DNS, ora Windows, RPC, servicii de server și stație de lucru și servicii de domeniu Active Directory, doar pentru a numi câteva dintre cele mai semnificative. cele.
Dar, după cum sugerează și numele, acest instrument nu va monitoriza doar serviciile Active Directory, ci și serverele în sine și aplicațiile care rulează pe acestea. Acest pachet complet poate scala de la cele mai mici rețele la rețele mari, cu mai multe site-uri, cu sute de servere fizice și virtuale. Și poate monitoriza serverele în medii cloud, cum ar fi cele de la Amazon Web Services și Microsoft Azure, la fel de bine.
The Monitor pentru server și aplicație SolarWinds va descoperi inițial automat gazdele și dispozitivele din rețeaua dvs. Apoi, o a doua scanare de descoperire va detecta aplicațiile care rulează pe fiecare server. Odată ce este pus în funcțiune, utilizarea acestui instrument nu poate fi cu greu mai ușoară, datorită interfeței sale intuitive. Făcând clic pe Node Detail, de exemplu, afișează informațiile despre performanța și sănătatea nodului.
Prețuri pentru Server SolarWinds și Monitor de aplicații începe de la puțin sub 2 995 USD și o versiune de încercare gratuită de 30 de zile este disponibilă pentru descărcare.
2. Instrumente gratuite ManageEngine Active Directory
ManageEngine este un alt nume comun printre administratorii de sistem și de rețea. Face ca OpManager să fie unul dintre cele mai bune instrumente de monitorizare a infrastructurii IT. Și la fel ca SolarWinds, ManageEngine face și câteva instrumente gratuite excelente. De fapt, au mai mult de cincisprezece instrumente gratuite Active Directory care vă poate ajuta la monitorizarea și administrarea infrastructurii dvs. AD. Unele sunt programe de sine stătătoare, în timp ce altele sunt cmdlet-uri Powershell. Un lucru grozav despre acest set de instrumente este că majoritatea instrumentelor sunt incluse într-un descărcare unică. Să vedem care sunt cele mai interesante dintre aceste instrumente.
The Instrumentul de interogare AD vă permite să citiți orice date de atribut de care aveți nevoie din Active Directory, cum ar fi prenumele unui obiect de utilizator, numele de telefon, adresa și așa mai departe. Utilitarul poate ajuta, de asemenea, la interogarea obiectelor Active Directory Group și Computer.
The Instrumentul generator CSV va genera un fișier CSV (cine ar fi crezut?) care conține o matrice personalizată de atribute Active Directory specificate de utilizator și valorile corespunzătoare. Fișierul rezultat poate fi utilizat pentru gestionarea în bloc Active Directory.
The Finder ultima conectare este utilizat pentru a enumera ultima oră de conectare a tuturor utilizatorilor sau selectați din toate controlerele de domeniu selectate din domeniu. Este folosit de obicei pentru activități de audit și curățare.
The Manager de sesiune terminal este un cmdlet Powershell pe care îl puteți utiliza pentru a identifica și gestiona mai multe sesiuni de terminal într-un domeniu dintr-un singur punct. Cu acesta, sesiunile de terminal pentru mai mulți utilizatori dintr-un domeniu pot fi gestionate, deconectate sau deconectate.
The Manager de replicare Active Directory permite administratorilor să forțeze replicarea datelor într-un domeniu sau în întreaga pădure. De asemenea, permite replicarea datelor între două controlere de domeniu și va lista rapoarte cuprinzătoare despre ultima replicare.
The Analizor de porturi DMZ permite administratorilor să verifice starea porturilor cerute de orice aplicație terță pentru a lucra cu Active Directory. Poate fi folosit pentru a deschide porturi adecvate pe firewall-uri.
The Reporter roluri controler de domeniu listează toți controlorii de domeniu și rolurile lor respective în domeniu. Poate ajuta administratorii să identifice orice rol asociat al unui controler de domeniu.
The Manager local de utilizatori ajută administratorii să gestioneze conturile de utilizator din domeniu. Oferă informații despre conturile de utilizator locale și, de asemenea, permite gestionarea acestor conturi folosind o interfață de utilizator convenabilă.
The Instrument de monitorizare a controlerului de domeniu este un instrument simplu care descoperă automat domeniile și le afișează. Va afișa diferiți parametri ai controlerelor de domeniu, cum ar fi Utilizarea CPU, Utilizarea discului și Utilizarea memoriei. De asemenea, puteți vizualiza alți parametri, cum ar fi Citirile paginilor pe secundă, Scrierii paginilor pe secundă, Citirile fișierelor, Scrierii fișierelor etc.
The Manager politici de parole permite oricărui utilizator să preia și să vadă politica de parole a domeniului. De asemenea, permite utilizatorilor cu drepturi administrative să editeze politica privind parola de domeniu.
După cum sugerează și numele, Instrumentul de raportare a utilizatorilor de parolă goală este folosit pentru a găsi conturile de utilizator cu câmpurile de parolă setate la nul, ajutând administratorii să evite orice probleme legate de securitate.
The Active Directory Duplicate Finder este un utilitar Powershell care le permite administratorilor să identifice intrările duplicate pentru atributele Active Directory dintr-un domeniu. Intrările duplicate sunt listate convenabil, ajutând administratorii să asigure un Active Directory fără duplicate.
The DNS Reporter vă ajută să obțineți informații legate de infrastructura DNS a rețelei dvs. Poate afișa detaliile înregistrărilor DNS disponibile, tipurile de înregistrări corespunzătoare ale acestora, adresele IP și detaliile serviciului prin simpla introducere a unui nume de domeniu.
The Managementul conturilor de servicii este conceput pentru a vă ajuta să creați, editați și ștergeți cu ușurință conturi de servicii gestionate în doar câteva clicuri. Acest instrument nu necesită cunoștințe despre PowerShell, instrumentul obișnuit folosit pentru a îndeplini aceste sarcini.
The Raportul utilizatorilor de parolă slabă ajută la găsirea parolelor slabe în Active Directory, comparând parolele utilizatorilor cu o listă de peste 100.000 de parole slabe utilizate în mod obișnuit. Apoi, puteți forța utilizatorii cu parole slabe să-și schimbe parolele data viitoare când se conectează.
3. Enow Compass
Busolă de la ENow Software vă ajută să identificați problemele ascunse din mediul dumneavoastră înainte ca acesta să fie compromis. Permite monitorizarea rețelei în timp real a Active Directory și a tuturor controlerelor de domeniu. Busolă vă poate asigura că Active Directory este sănătos prin monitorizarea replicării DFS/FRS. De asemenea, va găsi probleme de rezoluție a numelor DNS și va ajuta la depanarea aplicațiilor problematice pentru a vă ajuta să vă mențineți AD să funcționeze fără probleme.
Busolă are peste 50 de rapoarte care includ auditul Grupului de administratori de domeniu, identificarea și eliminarea conturilor de utilizator inactive și identificarea rolurilor FSMO. Instrumentul este rapid de instalat și ușor de utilizat. Dispune de un tablou de bord intuitiv și ușor de utilizat, care ajută la identificarea problemelor devreme înainte ca acestea să devină întreruperi.
Informații detaliate despre prețuri pentru Busolă poate fi obținut contactând vânzările Enow și se poate obține o probă gratuită de 14 zile.
4. Anturis Active Directory Monitor
Jumătate din munca de gestionare a Active Directory este să se asigure că toate serviciile funcționează fără probleme și exact asta Active Directory Monitor de la Anturis este totul despre. Acest instrument vă poate avertiza cu privire la situații anormale prin e-mail, SMS sau notificări de apel vocal. De asemenea, puteți utiliza Active Directory Monitor pentru a stabili linii de bază de performanță pentru serverele dvs. Active Directory și structura de replicare, permițându-vă să recunoașteți tendințele de performanță și să contribuiți la reducerea riscului de blocaje înainte ca acestea să aibă un impact negativ asupra performanței AD.
The Active Directory Monitor vă va afișa sesiunile de server și LDAP și va seta praguri de alertă. De asemenea, vă va afișa autentificări Kerberos și NTLM pe secundă, oferindu-vă o idee despre încărcarea generală a serverului. Iar replicarea fiind unul dintre cele mai importante aspecte ale Active Directory, sunt monitorizate și parametrii de performanță a replicării, cum ar fi starea replicării, sincronizările de replicare în așteptare ale DRA și operațiunile de replicare în așteptare ale DRA.
Active Directory Monitor este un serviciu bazat pe cloud și sunt disponibile mai multe planuri de abonament la prețuri cuprinse între 10 USD/lună pentru 10 monitoare și 650 USD/lună pentru 1000 de monitoare. Este disponibilă și o versiune gratuită, dar este limitată la 5 monitoare. Cu toate acestea, toate planurile plătite au o perioadă de încercare gratuită de 30 de zile.
5. Quest Active Administrator
Las pe lista noastră este Căutare Administrator activ. Aceasta este o soluție software completă și integrată de management Active Directory. Reduce golurile pe care instrumentele Microsoft le lasă în urmă. Instrumentele vor face mai ușor și mai rapid îndeplinirea cerințelor de audit și a nevoilor de securitate. Are caracteristici care abordează multe dintre cele mai importante domenii ale managementului AD.
Printre principalele caracteristici ale instrumentului, Active Administrator oferă administrare integrată, proactivă. De asemenea, are raportare și alerte intuitive, permițându-vă să monitorizați și să raportați rapid modificările prin filtrarea tipului de eveniment, a utilizatorului și a datei, precum și a activității de conectare și blocare a utilizatorului. De asemenea, puteți seta alerte de evenimente și automatiza acțiunile bazate pe alerte.
Prețul pentru Active Administrator este pentru fiecare cont de utilizator activat în AD și începe de la 16,37 USD pentru o licență perpetuă cu suport de un an. Trebuie achiziționată o licență minimă pentru 20 de conturi de utilizator. O versiune de încercare gratuită de 30 de zile poate fi descărcată.