Active Directory или AD, както често се нарича, е собствената версия на Microsoft на услуга за директории LDAP. Той съществува от Windows сървър 2000 и замени остарялите тогава функции за управление на домейни на сървърите на Windows. Това е изключително сложна услуга, която се грижи за удостоверяване на потребители и оборудване, определяне на тяхното местоположение и управление на правата за достъп. Тъй като е толкова сложна, не е изненада, че няколко разработчици са се опитали да направят инструменти, които облекчават болката от управлението на Active Directory. Днес ви представяме някои от най-добрите инструменти за Active Directory, които можете да намерите в Интернет.
Първо ще проведем обща дискусия за услугите на директории, какво представляват, тяхната цел и полезност и ще ви дадем някои примери за тях. След това ще говорим за LDAP и X.500, два стандартизирани протокола, свързани с услугите на директории. След това ще поговорим накратко за еволюцията на услугите за директории на Microsoft. Това ще ни доведе до същината на нашия въпрос, най-добрите инструменти за Active Directory, които можем да намерим. Ще ви дадем кратък преглед на всеки един от тях.
Съдържание
Услуги за справочници, какво представляват
Уикипедия дефинира услугата директория като „съпоставяне между имената на ресурси в мрежата и съответните им мрежови адреси“. И в най-простата си форма това наистина е всичко. Така че тогава, може да попитате, системата за имена на домейни (DNS) е услуга за директории? Отговорът е категорично ДА! Но ако е толкова просто, защо Active Directory е толкова сложна?
Active Directory, подобно на повечето съвременни услуги за директории, реализира много повече функционалност от просто съпоставяне на имена с адреси. Те са в основата на сигурността на мрежата и ще съдържат подробна информация за потребители (потребителски акаунти) и ресурси, а също така са в центъра на механизмите за контрол на достъпа на повечето мрежи. Съвременната услуга за справочници е база данни, в която се съхранява по-голямата част от информацията за мрежата, нейните ресурси и потребители.
Услугата на директории е йерархична база данни от обекти, всеки от които представлява различен обект. Някои обекти представляват потребители, други представляват компютри или други налични ресурси, като мрежови споделени ресурси. Други обекти са контейнери за обекти. Йерархичната структура прави намирането на всеки един обект по-лесно и позволява лесно управление на разрешенията, при което обектите могат да наследяват разрешения от своя родител.
Нашата цел обаче не е да ви направим експерт по обслужване на директории, а по-скоро да ви предоставим достатъчно основна информация, за да разберете по-добре какво представлява Active Directory и откъде идва. Нека да разгледаме някои примери от реалния живот за минали и настоящи директорийни услуги, които може да сте срещали.
Няколко примера
DNS е една от първите справочни услуги. Датира от началото на осемдесетте. Той имаше – и все още има – една единствена основна цел: превежда имената на хостове в IP адреси. Той все още се използва широко днес и е една от основите на Интернет.
В Мрежова информационна услугаили NISбеше собствена реализация на Sun Microsystems на услуга за имена, подобна на DNS за нейната Unix екосистема.
нoverll директория Суслуги— по-късно се обади eDirectory— беше услугата за справочници на мрежите Novell Netware. Донякъде подобна на това, което Active Directory е днес, това беше всеобхватна система, използвана не само за разделяне на имена, но и за удостоверяване и контрол на достъпа.
NetInfo беше разработена от NEXT и когато Apple придоби компанията, стана услуга за справочници на Mac OS, преди да бъде заменена от OpenDirectory.
накрая, NT домейни са друг пример за услуга за справочници. Те са прародител на Active Directory. NT домейните се използват основно за целите на контрола на достъпа и удостоверяването.
X.500 и LDAP, два стандарта за услуги на директории
В информационната ера оперативната съвместимост е по-важна от всякога, което води до появата на стандарти във всяка област. Услугите за справочници не се различават, съществуват два основни стандарта, LDAP и X.500
Стандартът X.500 или по-точно серията стандарти X.500 са група спецификации от ITU-T, обхващащи няколко аспекта на услугите за електронни указатели. Първите итерации датират от 1988 г., но X.500 все още се използва широко днес.
Една от целите на набор от стандартни протоколи, предложени от X.500, е да осигури оперативна съвместимост и да позволи на системи от различни доставчици да взаимодействат. X.500 всъщност е набор от девет индивидуални протокола
Олекотният протокол за достъп до директория, или LDAP, е отворен, неутрален към доставчика, индустриален стандартен протокол за приложение за достъп и поддържане на разпределени информационни услуги на директория през IP мрежа. Днес повечето реализации на директорийни услуги, включително Active Directory на Microsoft, са съвместими с LDAP.
Първоначално LDAP беше замислен като олекотен алтернативен протокол за достъп до услугите на директории X.500 чрез по-простия стек от протоколи TCP/IP. Като такива, X.500 и LDAP не се изключват взаимно и вместо това се допълват. Например, спецификацията на LDAP гласи, че структурата на базата данни на услугите на директории трябва да е съвместима с X.500.
LDAP клиентите могат не само да четат атрибутите на обекти в база данни на услугите на директории, но и да ги променят. Това, разбира се, означава, че LDAP е защитен и предлага механизъм за удостоверяване за защита срещу неоторизирани модификации.
От NT домейн към Active Directory
Както беше посочено по-рано, домейните на Windows NT бяха първата форма на директорийна услуга в екосистемата на Microsoft. Както можеше да се досетите, те се появиха за първи път с Windows NT през 1993 г. Те имаха централизирана база данни, която се намираше на домейн контролер, който беше основно отговорен за удостоверяването на потребителя. Базата данни може да бъде репликирана на няколко контролера на домейни за резервиране и за да се гарантира, че големи мрежи с множество сайтове могат да удостоверяват потребители локално.
С Windows 2000 Microsoft пусна Active Directory. Това беше много необходимо подобрение спрямо традиционните домейни, които бяха използвани от години. Active Directory предоставя няколко различни услуги. На първо място са домейн услугите. Това са крайъгълният камък на Windows мрежите. Те съхраняват информация за членове на домейна, включително устройства и потребители, проверяват техните идентификационни данни, удостоверяват ги и дефинират техните права за достъп.
Други важни услуги на Active Directory включват Сертификационни услуги, които осигуряват инфраструктура за локален публичен ключ. Те могат да създават, валидират и отменят сертификати за публичен ключ за вътрешна употреба в организация. Такива сертификати могат да се използват за криптиране на файлове, имейли и мрежов трафик. Други услуги, предоставяни от Active Directory, включват услуги за федерация, един вид механизъм за еднократно влизане и услуги за управление на права.
Най-добрите инструменти за Active Directory
Основната характеристика на Active Directory е, че е голяма и сложна. И с тази сложност идва главоболието на администрацията. За щастие, много инструменти са разработени от трети страни за справяне с някои от административните тежести на AD. Това са инструментите, които проучихме и ви представяме някои от най-добрите, които можем да намерим. Този списък далеч не е обширен, тъй като просто има твърде много инструменти.
1. Сървър и монитор на приложения SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
Известно е, че SolarWinds прави едни от най-добрите инструменти за мрежово и системно администриране. Представяхме продукта SolarWinds безброй пъти, когато, например, прегледахме най-добрите инструменти за наблюдение на SNMP или най-добрите NetFlow колектори и анализатори. SolarWinds е известен и със своите безплатни инструменти, специфични за задачи инструменти, насочени към администраторите.
Тогава не е изненада, че Сървър SolarWinds & Монитор на приложения е в нашия списък. И докато скромното му име може да не накара човек да мисли, че това е инструмент за Active Directory, широкият му набор от функционалности го прави чудесен инструмент за наблюдение и управление на Active Directory.
Нека започнем, като разгледаме как SolarWinds сървър и монитор на приложения може да помогне с управлението на AD. Първо, инструментът разполага с мониторинг на контролера на домейн, който следи няколко оперативни параметъра. Той ще ви каже кога използването на процесора става твърде високо, когато потребителски акаунт е заключен или когато има проблем с влизането.
Софтуерът също така ще наблюдава броячите на NTDS обекти, като помага за намаляване на претоварването на сървъра. Освен това, сървърът и мониторът на приложенията SolarWinds ви дават представа за няколко LDAP статистики, включително активни нишки на LDAP, време за свързване, клиентски сесии и успешни обвързвания и търсения в секунда.
В SolarWinds Монитор на сървъри и приложения може да изпраща известия, когато сървърите на директории не успеят да се репликират, събитие, което може да попречи на потребителите да имат достъп до папки и файлове. Той също така предоставя подробни статистически данни за производителността, свързани с услуги на директории, като разпределена файлова система, репликация на DFS, съобщения между сайтове, DNS клиент, време на Windows, RPC, услуги за сървър и работна станция и услуги за домейн на Active Directory, само за да назовем някои от най-значимите нечий.
Но както подсказва името му, този инструмент не само ще наблюдава услугите на Active Directory, но и самите сървъри и приложенията, работещи на тях. Този пълен пакет може да се мащабира от най-малките мрежи до големи, многосайтови мрежи със стотици физически и виртуални сървъри. Също така може да наблюдава сървъри в облачни среди като тези от Amazon Web Services и Microsoft Azure.
В Монитор на сървър и приложения на SolarWinds първоначално автоматично ще открива хостове и устройства във вашата мрежа. След това, второ сканиране за откриване ще открие приложения, работещи на всеки сървър. След като се стартира и работи, използването на този инструмент едва ли може да бъде по-лесно, благодарение на интуитивния му потребителски интерфейс. Щракването върху Подробности за възела, например, показва информация за производителността и здравето на възела.
Ценообразуване за SolarWinds сървър и монитор на приложения започва от малко под $2 995 и е достъпна за изтегляне безплатна 30-дневна пробна версия.
2. Безплатни инструменти на ManageEngine Active Directory
ManageEngine е друго често срещано име сред системните и мрежовите администратори. Това прави OpManager, може би един от най-добрите инструменти за наблюдение на ИТ инфраструктурата. И подобно на SolarWinds, ManageEngine също прави някои страхотни безплатни инструменти. Всъщност те имат повече от петнадесет безплатни инструменти на Active Directory които могат да помогнат при наблюдението и администрирането на вашата AD инфраструктура. Някои са самостоятелни програми, докато други са командлети на Powershell. Едно страхотно нещо за този инструментариум е, че повечето от инструментите са пакетирани в a еднократно изтегляне. Нека да видим кои са най-интересните от тези инструменти.
В Инструмент за заявки за реклами ви позволява да четете всякакви атрибутни данни, които ви трябват от Active Directory, като собствено име, фамилия, телефон, адрес и т.н. Помощната програма може също да помогне за заявка за Active Directory Group и Компютърни обекти.
В Инструмент за генериране на CSV ще генерира CSV файл (кой би си помислил?), който съдържа персонализиран масив от зададени от потребителя атрибути на Active Directory и съответните им стойности. Полученият файл може да се използва за групово управление на Active Directory.
В Finder за последно влизане се използва за изброяване на времето за последно влизане на всички или избрани потребители във всички избрани домейн контролери в домейна. Обикновено се използва за дейности по одит и почистване.
В Мениджър на терминални сесии е командлет на Powershell, който можете да използвате за идентифициране и управление на множество терминални сесии в домейн от една точка. С него терминалните сесии за множество потребители в един домейн могат да бъдат управлявани, прекъснати или излезли.
В Active Directory Replication Manager позволява на администраторите да принудят репликация на данни в домейн или цялата гора. Той също така позволява репликация на данни между два домейн контролера и ще изброява изчерпателни отчети за последната репликация.
В Анализатор на DMZ портове позволява на администраторите да проверяват състоянието на портовете, изисквани от всяко приложение на трета страна за работа с Active Directory. Може да се използва за отваряне на подходящи портове на защитни стени.
В Докладчик за роли на домейн контролер изброява всички домейн контролери и съответните им роли в домейна. Може да помогне на администраторите да идентифицират всяка свързана роля на домейн контролер.
В Локален потребителски мениджър помага на администраторите да управляват потребителски акаунти в рамките на домейна. Той предоставя информация за локални потребителски акаунти и също така позволява управление на тези акаунти с помощта на удобен потребителски интерфейс.
В Инструмент за наблюдение на домейн контролер е прост инструмент, който автоматично открива домейните и ги показва. Той ще покаже различни параметри на домейн контролери като използване на процесора, използване на диск и използване на паметта. Можете също да видите други параметри като четене на страница в секунда, запис на страница в секунда, четене на файл, запис на файл и др.
В Мениджър на правилата за пароли позволява на всеки потребител да извлече и прегледа правилата за пароли на домейна. Той също така позволява на потребителите с административни права да редактират правилата за парола на домейна.
Както подсказва името му, Инструмент за докладване на потребители за празни пароли се използва за намиране на потребителски акаунти с полета за парола, зададени на null, като помага на администраторите да избегнат проблеми, свързани със сигурността.
В Търсач на дубликати в Active Directory е помощна програма Powershell, която позволява на администраторите да идентифицират дублиращи се записи за атрибути на Active Directory в домейн. Дублиращите се записи са удобно изброени, което помага на администраторите да осигурят без дублиране Active Directory.
В DNS репортер ви помага да получите информация, свързана с DNS инфраструктурата на вашата мрежа. Той може да показва подробностите за наличните DNS записи, съответните им типове записи, IP адреси и подробностите за услугата просто чрез въвеждане на име на домейн.
В Управление на сервизни сметки е предназначена да ви помогне лесно да създавате, редактирате и изтривате акаунти за управлявани услуги само с няколко щраквания. Този инструмент не изисква познания за PowerShell, обичайният инструмент, използван за изпълнение на тези задачи.
В Доклад за потребители със слаба парола помага за намирането на слаби пароли в Active Directory, като сравнява паролите на потребителите със списък от над 100 000 често използвани слаби пароли. След това можете да принудите потребителите със слаби пароли да променят паролите си следващия път, когато влязат.
3. Enow Compass
компас от ENow Software ви помага да идентифицирате скрити проблеми във вашата среда, преди тя да бъде компрометирана. Той позволява мрежов мониторинг в реално време на вашата Active Directory и всички контролери на домейни. компас може да гарантира, че вашата Active Directory е здрава, като наблюдава репликацията на DFS/FRS. Тя също така ще открие проблеми с разрешаването на DNS имена и ще помогне за отстраняване на проблемни приложения, за да ви помогне да поддържате вашата реклама да работи гладко.
компас има над 50 отчета, които включват одит на групата администратори на домейн, идентифициране и премахване на неактивни потребителски акаунти и идентифициране на роли на FSMO. Инструментът е бърз за инсталиране и лесен за използване. Той разполага с интуитивно и лесно за използване табло за управление, което помага да се идентифицират проблемите рано, преди те да станат прекъсвания.
Подробна информация за цените за компас можете да получите, като се свържете с Enow sales и можете да получите безплатна 14-дневна пробна версия.
4. Anturis Active Directory Monitor
Половината от работата по управлението на Active Directory е да се гарантира, че всички услуги работят гладко и това е точно това Монитор на Active Directory от Anturis е всичко за. Този инструмент може да ви предупреди за необичайни ситуации чрез имейл, SMS или гласови известия. Можете също да използвате Монитор на Active Directory за да установите базови нива на производителност за вашите сървъри на Active Directory и структура на репликация, която ви позволява да разпознавате тенденциите в производителността и да помогнете за намаляване на риска от тесни места, преди те да имат отрицателно въздействие върху ефективността на вашата реклама.
В Монитор на Active Directory ще ви покаже сървърни и LDAP сесии и ще зададе прагове за предупреждение. Той също така ще ви показва удостоверения за Kerberos и NTLM в секунда, като ви дава представа за общото натоварване на сървъра. И тъй като репликацията е един от най-важните аспекти на Active Directory, се наблюдават и показатели за ефективност на репликацията, като състояние на репликация, синхронизации на предстояща репликация на DRA и операции на чакаща репликация на DRA.
Монитор на Active Directory е облачна услуга и са налични няколко абонаментни плана на цени, вариращи от $10/месец за 10 монитора до $650/месец за 1000 монитора. Налична е и безплатна версия, но е ограничена до 5 монитора. Всички платени планове обаче имат безплатна 30-дневна пробна версия.
5. Quest Active Administrator
Las в нашия списък е Мисия Активен администратор. Това е цялостно и интегрирано софтуерно решение за управление на Active Directory. Той преодолява пропуските, които инструментите на Microsoft оставят след себе си. Инструментите ще направят по-лесно и по-бързо отговарянето на изискванията за одит и нуждите от сигурност. Той има функции, насочени към много от най-важните области на управлението на AD.
Сред основните функции на инструмента Active Administrator предлага интегрирана, проактивна администрация. Той също така има интуитивно отчитане и предупреждение, което ви позволява бързо да наблюдавате и отчитате промените чрез филтриране на тип събитие, потребител и дата, както и активността на потребителя за влизане и блокиране. Можете също да зададете сигнали за събития и да автоматизирате действия, базирани на сигнали.
Цената за активен администратор е за активиран потребителски акаунт във вашата реклама и започва от $16,37 за постоянен лиценз с едногодишна поддръжка. Трябва да се закупи минимален лиценз за 20 потребителски акаунта. Може да се изтегли безплатна 30-дневна пробна версия.