Active Directory nebo AD, jak je často nazýváno, je vlastní verzí adresářové služby LDAP společnosti Microsoft. Existuje již od Windows serveru 2000 a nahradila tehdy stárnoucí funkce správy domén serverů Windows. Jde o nesmírně komplexní službu, která se stará o autentizaci uživatelů a zařízení, přesné určení jejich polohy a správu přístupových práv. Vzhledem k tomu, že je tak komplexní, není žádným překvapením, že se několik vývojářů pokusilo vytvořit nástroje, které zmírňují bolest při správě Active Directory. Dnes vám přinášíme některé z nejlepších nástrojů Active Directory, které lze nalézt na internetu.
Nejprve si projdeme obecnou diskuzi o adresářových službách, o tom, co jsou, o jejich účelu a užitečnosti, a uvedeme vám jejich příklady. Dále budeme hovořit o LDAP a X.500, dvou standardizovaných protokolech souvisejících s adresářovými službami. Poté si krátce povíme o vývoji adresářových služeb společnosti Microsoft. To nás přivede k jádru naší záležitosti, k nejlepším nástrojům Active Directory, které jsme mohli najít. Ke každé vám poskytneme stručnou recenzi.
Table of Contents
Adresářové služby, jaké jsou
Wikipedia definuje adresářovou službu jako „mapování mezi názvy zdrojů v síti a jejich příslušnými síťovými adresami“. A ve své nejjednodušší podobě je to opravdu všechno. Můžete se tedy zeptat, zda je systém DNS (Domain Name System) adresářová služba? Odpověď je jednoznačné ANO! Ale pokud je to tak jednoduché, proč je služba Active Directory tak složitá?
Active Directory, stejně jako většina moderních adresářových služeb, implementuje mnohem více funkcí než jen mapování jmen na adresy. Jsou jádrem zabezpečení sítě a budou obsahovat podrobné informace o uživatelích (uživatelských účtech) a zdrojích a jsou také středem mechanismů řízení přístupu většiny sítí. Moderní adresářová služba je databáze, kde je uložena většina informací o síti, jejích zdrojích a uživatelích.
Adresářová služba je hierarchická databáze objektů, z nichž každý představuje jinou entitu. Některé objekty představují uživatele, některé počítače nebo jiné dostupné zdroje, jako jsou síťové sdílené položky. Ostatní předměty jsou kontejnery na předměty. Hierarchická struktura usnadňuje nalezení jakéhokoli jednotlivého objektu a umožňuje snadnou správu oprávnění, kdy objekty mohou dědit oprávnění od svého rodiče.
Naším cílem však není udělat z vás odborníka na adresářové služby, ale spíše vám poskytnout dostatek základních informací, abyste lépe porozuměli tomu, co Active Directory je a odkud pochází. Pojďme se podívat na některé reálné příklady minulých a současných adresářových služeb, se kterými jste se mohli setkat.
Nějaké příklady
DNS je jednou z prvních adresářových služeb. Pochází z počátku osmdesátých let. Měl – a stále má – jediný primární účel: překlad názvů hostitelů na adresy IP. Dnes je stále široce používán a je jedním ze základů internetu.
The Síťová informační službanebo NISbyla vlastní implementace názvové služby podobné DNS pro její unixový ekosystém společnosti Sun Microsystems.
Novell Dsborník Sslužby— později volal eDirectory—byla adresářová služba sítí Novell Netware. Poněkud podobný tomu, co je dnes Active Directory, byl to všezahrnující systém používaný nejen pro překlad názvů, ale také pro ověřování a řízení přístupu.
NetInfo byla vyvinuta společností NEXT a když Apple koupil společnost, stala se adresářovou službou Mac OS, než byla nahrazena OpenDirectory.
Konečně, NT domény jsou dalším příkladem adresářové služby. Jsou předchůdcem Active Directory. Domény NT byly primárně používány pro účely řízení přístupu a ověřování.
X.500 a LDAP, dva standardy adresářových služeb
V informačním věku je interoperabilita důležitější než kdy jindy, což způsobuje, že se standardy objevují ve všech oblastech. Adresářové služby se nijak neliší. Existují dva primární standardy, LDAP a X.500
Standard X.500, nebo přesněji řada standardů X.500, je skupina specifikací ITU-T pokrývající několik aspektů elektronických adresářových služeb. První iterace se datují do roku 1988, ale X.500 je dodnes široce používán.
Jedním z cílů sady standardních protokolů navržených X.500 je zajistit interoperabilitu a umožnit interakci systémů od různých výrobců. X.500 je ve skutečnosti sada devíti jednotlivých protokolů
Lightweight Directory Access Protocol neboli LDAP je otevřený, na dodavatele neutrální, průmyslový standardní aplikační protokol pro přístup a údržbu distribuovaných adresářových informačních služeb přes IP síť. Dnes je většina implementací adresářových služeb, včetně Microsoft Active Directory, kompatibilní s LDAP.
LDAP byl původně zamýšlen jako lehký alternativní protokol pro přístup k adresářovým službám X.500 prostřednictvím jednoduššího zásobníku protokolů TCP/IP. X.500 a LDAP se jako takové vzájemně nevylučují a místo toho se doplňují. Specifikace LDAP například uvádí, že struktura databáze adresářových služeb musí odpovídat standardu X.500.
Klienti LDAP mohou atributy objektů v databázi adresářových služeb nejen číst, ale také je upravovat. To samozřejmě znamená, že LDAP je bezpečný a nabízí ověřovací mechanismus na ochranu před neoprávněnými úpravami.
Z domény NT do Active Directory
Jak bylo uvedeno dříve, domény Windows NT byly první formou adresářové služby v ekosystému společnosti Microsoft. Jak jste mohli uhodnout, poprvé se objevily s Windows NT v roce 1993. Měly centralizovanou databázi, která byla umístěna na řadiči domény, který byl primárně zodpovědný za ověřování uživatelů. Databázi lze replikovat na několik doménových řadičů kvůli redundanci a zajistit, aby velké sítě s více místy mohly ověřovat uživatele lokálně.
V systému Windows 2000 společnost Microsoft vydala službu Active Directory. Bylo to velmi potřebné vylepšení oproti tradičním doménám, které se používaly léta. Služba Active Directory poskytuje několik různých služeb. Na prvním místě jsou doménové služby. Ty jsou základním kamenem sítí Windows. Ukládají informace o členech domény, včetně zařízení a uživatelů, ověřují jejich přihlašovací údaje, ověřují je a definují jejich přístupová práva.
Mezi další důležité služby Active Directory patří Certifikační služby, které poskytují infrastrukturu místních veřejných klíčů. Mohou vytvářet, ověřovat a rušit certifikáty veřejného klíče pro interní použití v organizaci. Tyto certifikáty lze použít k šifrování souborů, e-mailů a síťového provozu. Mezi další služby poskytované službou Active Directory patří federační služby, typ mechanismu jednotného přihlašování a služby správy práv.
Nejlepší nástroje Active Directory
Hlavní charakteristikou Active Directory je, že je velký a komplexní. A s touto složitostí přichází bolesti hlavy s administrací. Naštěstí bylo třetími stranami vyvinuto mnoho nástrojů, které řeší některé administrativní zátěže AD. Toto jsou nástroje, které jsme prozkoumali, a představujeme vám některé z nejlepších, které jsme mohli najít. Tento seznam není zdaleka obsáhlý, protože nástrojů je prostě příliš mnoho.
1. Monitor serveru a aplikací SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds je známý tím, že vyrábí jedny z nejlepších nástrojů pro správu sítě a systému. Produkt SolarWinds jsme představili nesčetněkrát, když jsme například recenzovali nejlepší nástroje pro monitorování SNMP nebo nejlepší kolektory a analyzátory NetFlow. SolarWinds je také známý pro své bezplatné nástroje, nástroje specifické pro úkoly zaměřené na administrátory.
Není tedy žádným překvapením, že Server SolarWinds & Monitor aplikací je na našem seznamu. A i když jeho nenápadný název nemusí vést k domněnce, že se jedná o nástroj Active Directory, jeho široká škála funkcí z něj dělá skvělý nástroj pro monitorování a správu Active Directory.
Začněme tím, že se podíváme na to, jak Monitor serverů a aplikací SolarWinds může pomoci se správou AD. Za prvé, nástroj obsahuje monitorování řadiče domény, které sleduje několik provozních parametrů. Řekne vám, když je využití procesoru příliš vysoké, když je uživatelský účet uzamčen nebo když dojde k problému s přihlášením.
Software bude také monitorovat počítadla objektů NTDS, což pomáhá snížit přetížení serveru. Kromě toho vám SolarWinds Server and Application Monitor poskytuje přehled o několika statistikách LDAP včetně aktivních vláken LDAP, doby vazby, klientských relací a úspěšných vazeb a vyhledávání za sekundu.
The SolarWinds Server & Application Monitor může odesílat upozornění, když se adresářové servery nepodaří replikovat, což je událost, která může uživatelům zabránit v přístupu ke složkám a souborům. Poskytuje také podrobné statistiky výkonu související s adresářovými službami, jako je distribuovaný systém souborů, replikace DFS, zasílání zpráv mezi lokalitami, klient DNS, systém Windows, RPC, služby serveru a pracovní stanice a služby domény Active Directory, abychom jmenovali alespoň některé z nejvýznamnějších. jedničky.
Jak již název napovídá, tento nástroj nebude monitorovat pouze služby Active Directory, ale také samotné servery a aplikace na nich běžící. Tento kompletní balíček lze škálovat od nejmenších sítí až po velké sítě s více pobočkami se stovkami fyzických a virtuálních serverů. A stejně dobře dokáže monitorovat servery v cloudových prostředích, jako jsou ty od Amazon Web Services a Microsoft Azure.
The Monitor serveru a aplikací SolarWinds zpočátku automaticky objeví hostitele a zařízení ve vaší síti. Poté druhá kontrola zjišťování zjistí aplikace běžící na každém serveru. Jakmile je tento nástroj v provozu, jeho používání může být jen stěží jednodušší díky jeho intuitivnímu uživatelskému rozhraní. Kliknutím na Detail uzlu například zobrazíte informace o výkonu a stavu uzlu.
Ceny za Monitor serveru a aplikací SolarWinds začíná těsně pod 2 995 dolary a ke stažení je k dispozici bezplatná 30denní zkušební verze.
2. ManageEngine Active Directory Free Tools
ManageEngine je další běžný název mezi správci systému a sítě. To dělá OpManager, pravděpodobně jeden z nejlepších nástrojů pro monitorování IT infrastruktury. A stejně jako SolarWinds, ManageEngine také vytváří skvělé bezplatné nástroje. Ve skutečnosti jich je více než patnáct bezplatné nástroje Active Directory které mohou pomoci s monitorováním a správou vaší AD infrastruktury. Některé jsou samostatné programy, zatímco jiné jsou rutiny Powershell. Jedna skvělá věc na této sadě nástrojů je, že většina nástrojů je zabalena v a jediné stažení. Podívejme se, jaké jsou nejzajímavější z těchto nástrojů.
The AD Query Tool umožňuje číst jakákoli atributová data, která požadujete z Active Directory, jako je jméno objektu uživatele, příjmení telefon, adresa atd. Nástroj může také pomoci dotazovat se na objekty skupiny Active Directory a počítače.
The Nástroj pro generátor CSV vygeneruje soubor CSV (koho by to napadlo?), který obsahuje vlastní pole uživatelem zadaných atributů Active Directory a jejich odpovídající hodnoty. Výsledný soubor lze použít pro hromadnou správu Active Directory.
The Vyhledávač posledního přihlášení se používá k výpisu času posledního přihlášení všech nebo vybraných uživatelů ve všech vybraných řadičích domény v doméně. Obvykle se používá pro činnosti auditu a čištění.
The Správce terminálových relací je rutina Powershell, kterou můžete použít k identifikaci a správě více terminálových relací v doméně z jednoho bodu. S ním lze spravovat, odpojovat nebo odhlašovat terminálové relace pro více uživatelů v celé doméně.
The Správce replikací služby Active Directory umožňuje správcům vynutit replikaci dat v doméně nebo celé doménové struktuře. Umožňuje také replikaci dat mezi dvěma doménovými řadiči a vypíše komplexní zprávy o poslední replikaci.
The DMZ Port Analyzer umožňuje správcům kontrolovat stav portů požadovaných jakoukoli aplikací třetí strany pro práci se službou Active Directory. Lze jej použít k otevření příslušných portů na firewallech.
The Reportér rolí řadiče domény uvádí všechny řadiče domény a jejich příslušné role v doméně. Může pomoci správcům identifikovat jakoukoli přidruženou roli řadiče domény.
The Místní správce uživatelů pomáhá správcům spravovat uživatelské účty v rámci domény. Poskytuje informace o místních uživatelských účtech a také umožňuje správu těchto účtů pomocí pohodlného uživatelského rozhraní.
The Nástroj pro monitorování řadiče domény je jednoduchý nástroj, který automaticky vyhledá domény a zobrazí je. Zobrazí různé parametry řadičů domény, jako je využití CPU, využití disku a využití paměti. Můžete také zobrazit další parametry, jako je čtení stránek za sekundu, zápisy stránek za sekundu, čtení souboru, zápisy souboru atd.
The Správce zásad hesel umožňuje každému uživateli načíst a zobrazit zásady hesel domény. Umožňuje také uživatelům s právy správce upravovat zásady hesla domény.
Jak jeho název napovídá, Nástroj pro hlášení uživatelů pro prázdné heslo se používá k nalezení uživatelských účtů s hesly nastavenými na hodnotu null, což pomáhá správcům vyhnout se jakýmkoli problémům souvisejícím se zabezpečením.
The Active Directory Duplicate Finder je nástroj Powershell, který správcům umožňuje identifikovat duplicitní položky pro atributy Active Directory v doméně. Duplicitní položky jsou pohodlně uvedeny, což správcům pomáhá zajistit Active Directory bez duplicit.
The DNS Reporter vám pomůže získat informace související s infrastrukturou DNS vaší sítě. Může zobrazit podrobnosti o dostupných DNS záznamech, jejich odpovídající typy záznamů, IP adresy a podrobnosti o službě pouhým zadáním názvu domény.
The Správa servisních účtů je navržen tak, aby vám pomohl snadno vytvářet, upravovat a mazat účty spravovaných služeb pomocí několika kliknutí. Tento nástroj nevyžaduje žádnou znalost prostředí PowerShell, obvyklého nástroje používaného k provádění těchto úkolů.
The Hlášení uživatelů se slabým heslem pomáhá najít slabá hesla ve službě Active Directory porovnáním hesel uživatelů se seznamem více než 100 000 běžně používaných slabých hesel. Uživatele se slabým heslem pak můžete přinutit, aby si hesla změnili při příštím přihlášení.
3. Enow Compass
Kompas od ENow Software vám pomůže identifikovat skryté problémy ve vašem prostředí dříve, než bude kompromitováno. Umožňuje monitorování sítě Active Directory a všech řadičů domény v reálném čase. Kompas může zajistit, že vaše služba Active Directory bude v pořádku, a to sledováním replikace DFS/FRS. Najde také problémy s překladem názvů DNS a pomůže s odstraňováním problémů s problémovými aplikacemi, což vám pomůže zajistit hladký chod vaší AD.
Kompas má více než 50 zpráv, které zahrnují audit skupiny Domain Admins Group, identifikaci a odstranění neaktivních uživatelských účtů a identifikaci rolí FSMO. Nástroj se rychle instaluje a snadno se používá. Vyznačuje se intuitivním a snadno použitelným řídicím panelem, který pomáhá identifikovat problémy dříve, než dojde k výpadkům.
Podrobné informace o cenách pro Kompas lze získat kontaktováním prodeje společnosti Enow a získat bezplatnou 14denní zkušební verzi.
4. Anturis Active Directory Monitor
Polovina práce na správě Active Directory spočívá v zajištění hladkého chodu všech služeb, a to je přesně to Active Directory Monitor od Anturis je vše o. Tento nástroj vás může upozornit na neobvyklé situace prostřednictvím e-mailu, SMS nebo upozornění na hlasové hovory. Můžete také použít Active Directory Monitor k vytvoření základních linií výkonu pro vaše servery Active Directory a replikační struktury, což vám umožní rozpoznat trendy výkonu a pomůže snížit riziko úzkých míst dříve, než budou mít negativní dopad na výkon vaší AD.
The Active Directory Monitor vám zobrazí relace serveru a LDAP a nastaví prahové hodnoty upozornění. Také vám ukáže autentizace Kerberos a NTLM za sekundu, což vám poskytne představu o obecném zatížení serveru. A protože replikace je jedním z nejdůležitějších aspektů služby Active Directory, monitorují se také metriky výkonu replikace, jako je stav replikace, DRA čekající synchronizace replikace a DRA čekající operace replikace.
Active Directory Monitor je cloudová služba a je k dispozici několik plánů předplatného za ceny od 10 USD/měsíc za 10 monitorů do 650 USD/měsíc za 1000 monitorů. K dispozici je také bezplatná verze, která je však omezena na 5 monitorů. Všechny placené plány však mají bezplatnou 30denní zkušební verzi.
5. Quest Active Administrator
Las na našem seznamu je Hledání Aktivní správce. Toto je kompletní a integrované softwarové řešení pro správu Active Directory. Překlenuje mezery, které za sebou zanechávají nástroje Microsoftu. Nástroje usnadní a urychlí splnění požadavků na audit a potřeby zabezpečení. Má funkce týkající se mnoha nejdůležitějších oblastí správy AD.
Mezi hlavní funkce tohoto nástroje nabízí Active Administrator integrovanou proaktivní správu. Má také intuitivní hlášení a upozornění, což vám umožní rychle sledovat a hlásit změny pomocí filtrování typu události, uživatele a data, stejně jako aktivity přihlášení a uzamčení uživatele. Můžete také nastavit upozornění na události a automatizovat akce založené na upozorněních.
Cena za Active Administrator je za povolený uživatelský účet ve vaší AD a začíná na 16,37 $ za trvalou licenci s jednoletou podporou. Je nutné zakoupit minimální licenci pro 20 uživatelských účtů. Bezplatnou 30denní zkušební verzi lze stáhnout.