Active Directory, často zkracované na AD, je proprietární implementací adresářové služby LDAP od Microsoftu. Funguje již od uvedení Windows Server 2000 a nahradila starší metody správy domén v serverech Windows. Jde o rozsáhlou a komplexní službu, která se stará o ověřování uživatelů a zařízení, přesné určení jejich umístění a kontrolu přístupových práv. Vzhledem k její složitosti není divu, že se objevilo mnoho vývojářů, kteří se snaží usnadnit správu Active Directory pomocí specializovaných nástrojů. V tomto článku vám představíme některé z nejlepších nástrojů pro Active Directory, které jsou aktuálně dostupné.
Nejprve si stručně projdeme obecnou teorii adresářových služeb, jejich podstatu, účel a praktické využití, včetně konkrétních příkladů. Poté se zaměříme na protokoly LDAP a X.500, dva hlavní standardy v oblasti adresářových služeb. Dále se letmo podíváme na vývoj adresářových služeb v rámci společnosti Microsoft. To nás plynule dovede k hlavnímu tématu, tedy k přehledu nejlepších nástrojů pro správu Active Directory, které se nám podařilo objevit. U každého z nich si představíme stručnou recenzi.
Co jsou to adresářové služby?
Wikipedie definuje adresářovou službu jako „mapování mezi názvy zdrojů v síti a jejich odpovídajícími síťovými adresami.“ V nejjednodušším pojetí je to skutečně vše, co potřebujete vědět. Nyní se ale možná ptáte, jestli je i DNS (Domain Name System) považován za adresářovou službu? Odpověď zní: Ano, rozhodně! Když je to tak jednoduché, proč je tedy Active Directory tak komplexní?
Active Directory, podobně jako většina moderních adresářových služeb, nabízí mnohem širší funkčnost než jen mapování jmen na adresy. Jsou jádrem zabezpečení sítě a obsahují detailní informace o uživatelích (uživatelských účtech) a zdrojích. Zároveň jsou centrem pro mechanismy řízení přístupu většiny sítí. Moderní adresářová služba je vlastně databáze, která obsahuje většinu informací o síti, jejích zdrojích a uživatelích.
Adresářová služba je hierarchická databáze objektů, kde každý objekt reprezentuje jinou entitu. Některé objekty představují uživatele, jiné počítače nebo jiné dostupné zdroje, jako jsou například sdílené síťové disky. Jiné objekty zase slouží jako kontejnery pro další objekty. Hierarchická struktura usnadňuje vyhledávání jednotlivých objektů a umožňuje jednoduchou správu oprávnění, kdy objekty mohou dědit oprávnění od svého nadřazeného objektu.
Naším cílem není z vás udělat odborníka na adresářové služby, ale spíše poskytnout dostatek základních informací, abyste lépe pochopili, co je Active Directory a jak se vyvíjela. Podívejme se na několik reálných příkladů minulých i současných adresářových služeb, se kterými jste se možná setkali.
Příklady adresářových služeb:
DNS je jednou z prvních adresářových služeb, která pochází z počátku osmdesátých let. Jejím hlavním, a stále platným, účelem je překlad názvů hostitelů na IP adresy. I dnes je DNS široce používán a tvoří jeden ze základních pilířů internetu.
Network Information Service, nebo zkráceně NIS, byla proprietární implementací názvové služby, podobné DNS, pro unixový ekosystém společnosti Sun Microsystems.
Novell Directory Services, později přejmenovaná na eDirectory, byla adresářovou službou používanou v sítích Novell Netware. Podobně jako dnešní Active Directory, šlo o komplexní systém sloužící nejen pro překlad názvů, ale i pro ověřování a řízení přístupu.
NetInfo byla služba vyvinutá společností NEXT a po akvizici společností Apple se stala adresářovou službou v Mac OS, dokud nebyla nahrazena OpenDirectory.
A konečně, NT domény jsou dalším příkladem adresářové služby, předchůdce Active Directory. Domény NT sloužily především pro řízení přístupu a ověřování.
X.500 a LDAP: Dva standardy adresářových služeb
V informačním věku je interoperabilita klíčová, což vede k rozvoji standardů ve všech oblastech. Adresářové služby nejsou výjimkou. Existují dva hlavní standardy: LDAP a X.500.
Standard X.500, nebo spíše soubor standardů X.500, je sada specifikací ITU-T, která zahrnuje různé aspekty elektronických adresářových služeb. První verze pocházejí z roku 1988, ale X.500 se používá dodnes.
Jedním z cílů standardních protokolů navržených X.500 je zajištění interoperability a umožnění vzájemné spolupráce systémů od různých výrobců. X.500 je vlastně sada devíti samostatných protokolů.
Lightweight Directory Access Protocol, zkráceně LDAP, je otevřený, na dodavatele nezávislý standardní aplikační protokol pro přístup a údržbu distribuovaných adresářových informačních služeb přes IP síť. V současné době je většina implementací adresářových služeb, včetně Microsoft Active Directory, kompatibilní s protokolem LDAP.
LDAP byl původně zamýšlen jako odlehčená alternativa pro přístup k adresářovým službám X.500 s využitím jednoduššího protokolu TCP/IP. X.500 a LDAP se tedy navzájem nevylučují, ale spíše se doplňují. Specifikace LDAP například uvádí, že struktura databáze adresářové služby musí odpovídat standardu X.500.
Klienti LDAP mohou v databázi nejen číst atributy objektů, ale také je upravovat. To samozřejmě vyžaduje zabezpečení a LDAP nabízí ověřovací mechanismus pro ochranu před neautorizovanými úpravami.
Od NT domén k Active Directory
Jak již bylo zmíněno, Windows NT domény představovaly první formu adresářové služby v ekosystému společnosti Microsoft. Poprvé se objevily v roce 1993 spolu s Windows NT. Měly centralizovanou databázi umístěnou na řadiči domény, který byl primárně zodpovědný za ověřování uživatelů. Databázi bylo možné replikovat na více řadičů domény pro zajištění redundance a pro umožnění ověřování uživatelů lokálně v rozsáhlých sítích s více lokalitami.
S příchodem Windows 2000 představil Microsoft Active Directory. Šlo o zásadní vylepšení oproti tradičním doménám používaným po mnoho let. Active Directory poskytuje několik různých služeb. Na prvním místě jsou doménové služby, které jsou základním kamenem sítí Windows. Uchovávají informace o členech domény, včetně zařízení a uživatelů, ověřují jejich přihlašovací údaje, autentizují je a definují jejich přístupová práva.
Mezi další důležité služby Active Directory patří certifikační služby, které poskytují infrastrukturu pro veřejné klíče. Umožňují vytvářet, ověřovat a rušit certifikáty veřejného klíče pro interní použití v organizaci. Tyto certifikáty se využívají pro šifrování souborů, e-mailů a síťového provozu. Mezi další služby Active Directory patří federační služby, mechanismus pro jednotné přihlašování, a služby správy práv.
Nejlepší nástroje pro Active Directory
Active Directory je známá svou rozsáhlostí a komplexností. S touto komplexností přicházejí i administrativní problémy. Naštěstí existuje mnoho nástrojů třetích stran, které usnadňují správu AD. Zde jsou nástroje, které jsme otestovali a vybrali jsme ty nejlepší z nich. Tento seznam není vyčerpávající, protože nástrojů existuje opravdu hodně.
1. SolarWinds Server & Application Monitor (Zkušební verze zdarma)
Společnost SolarWinds je známá výrobou špičkových nástrojů pro správu sítí a systémů. Její produkty jsme již mnohokrát zmiňovali, například při recenzování nástrojů pro monitorování SNMP nebo analyzátorů NetFlow. SolarWinds je také známá svými bezplatnými nástroji, které se zaměřují na specifické úkoly administrátorů.
Není tedy překvapením, že SolarWinds Server & Application Monitor se objevil na našem seznamu. Přestože název nenaznačuje, že se jedná o nástroj pro správu Active Directory, jeho široká škála funkcí z něj činí skvělý nástroj pro monitorování a správu Active Directory.
Začněme tím, jak může SolarWinds Server & Application Monitor pomoci se správou AD. Nástroj obsahuje monitorování řadičů domény, které sleduje několik provozních parametrů. Upozorní vás na příliš vysoké zatížení procesoru, zablokování uživatelského účtu nebo problémy s přihlášením.
Software sleduje také čítače objektů NTDS, což pomáhá snižovat přetížení serveru. SolarWinds Server and Application Monitor navíc poskytuje přehled několika statistik LDAP, včetně aktivních vláken LDAP, doby vazby, klientských relací a počtu úspěšných vazeb a vyhledávání za sekundu.
SolarWinds Server & Application Monitor umí odesílat upozornění, když se adresářové servery nepodaří replikovat, což může uživatelům zabránit v přístupu ke složkám a souborům. Poskytuje také detailní statistiky výkonu adresářových služeb, například u distribuovaného systému souborů, replikace DFS, zasílání zpráv mezi lokalitami, DNS klienta, systému Windows, RPC, serverových a pracovních stanic, a služeb domény Active Directory, abychom jmenovali alespoň ty nejdůležitější.
Jak již název napovídá, tento nástroj monitoruje nejen Active Directory, ale i samotné servery a aplikace, které na nich běží. Jedná se o kompletní balíček, který lze škálovat od nejmenších sítí po rozsáhlé sítě s mnoha pobočkami a stovkami fyzických i virtuálních serverů. Stejně dobře zvládá i monitorování serverů v cloudových prostředích, jako jsou Amazon Web Services a Microsoft Azure.
SolarWinds Server & Application Monitor nejprve automaticky objeví hostitele a zařízení ve vaší síti. Následná kontrola odhalí aplikace běžící na každém serveru. Jakmile je nástroj v provozu, jeho používání je velmi jednoduché díky intuitivnímu uživatelskému rozhraní. Například kliknutím na detail uzlu zobrazíte informace o výkonu a stavu daného uzlu.
Cena SolarWinds Server & Application Monitor začíná těsně pod 2 995 dolary a k dispozici je bezplatná 30denní zkušební verze ke stažení.
2. ManageEngine Active Directory Free Tools
ManageEngine je dalším známým jménem mezi správci systémů a sítí. Společnost vyvinula OpManager, jeden z nejlepších nástrojů pro monitorování IT infrastruktury. Stejně jako SolarWinds, i ManageEngine nabízí skvělé bezplatné nástroje. Ve skutečnosti existuje více než patnáct bezplatných nástrojů Active Directory, které mohou pomoci s monitorováním a správou vaší AD infrastruktury. Některé z nich jsou samostatné programy, jiné představují skripty Powershell. Většina těchto nástrojů je zabalena v jednom balíčku ke stažení. Podívejme se na některé z nejzajímavějších.
AD Query Tool umožňuje číst libovolná atributová data z Active Directory, jako je jméno uživatele, příjmení, telefonní číslo, adresa atd. Nástroj může také dotazovat objekty skupin a počítačů v Active Directory.
CSV Generator Tool vygeneruje soubor CSV (kdo by to čekal?), který obsahuje uživatelsky definovaná pole atributů Active Directory a jejich odpovídající hodnoty. Výsledný soubor je možné použít pro hromadnou správu Active Directory.
Last Logon Finder slouží k výpisu času posledního přihlášení všech nebo vybraných uživatelů na všech vybraných řadičích domény v doméně. Obvykle se používá při auditních činnostech a čištění.
Terminal Session Manager je skript Powershell, který slouží k identifikaci a správě více terminálových relací v doméně z jednoho místa. Umožňuje správu, odpojování a odhlašování terminálových relací pro více uživatelů v celé doméně.
Active Directory Replication Manager umožňuje administrátorům vynutit replikaci dat v doméně nebo celé doménové struktuře. Může také vynutit replikaci mezi dvěma doménovými řadiči a generovat komplexní zprávy o poslední replikaci.
DMZ Port Analyzer umožňuje správcům kontrolovat stav portů, které vyžaduje jakákoli aplikace třetí strany pro práci s Active Directory. Lze jej použít k otevření příslušných portů na firewallech.
Domain Controller Roles Reporter vypíše všechny řadiče domény a jejich role v dané doméně. Pomáhá administrátorům identifikovat jakoukoli roli spojenou s řadičem domény.
Local User Manager pomáhá administrátorům spravovat uživatelské účty v doméně. Poskytuje informace o lokálních uživatelských účtech a umožňuje jejich správu pomocí pohodlného uživatelského rozhraní.
Domain Controller Monitor je jednoduchý nástroj, který automaticky vyhledá domény a zobrazí je. Zobrazuje různé parametry řadičů domény, jako je využití CPU, disku a paměti. Můžete také zobrazit další parametry, jako je čtení a zápis stránek za sekundu, čtení a zápis souborů atd.
Password Policy Manager umožňuje každému uživateli načíst a zobrazit zásady pro hesla v doméně. Uživatelé s právy administrátora mohou také upravovat zásady pro hesla.
Jak název napovídá, Users with Blank Password Reporter slouží k nalezení uživatelských účtů s prázdnými hesly, což pomáhá správcům předejít případným bezpečnostním problémům.
Active Directory Duplicate Finder je skript Powershell, který správcům umožňuje identifikovat duplicitní položky pro atributy Active Directory v doméně. Duplicitní položky jsou přehledně zobrazeny, což pomáhá správcům zajistit Active Directory bez duplicit.
DNS Reporter vám pomůže získat informace o infrastruktuře DNS vaší sítě. Dokáže zobrazit podrobnosti o dostupných DNS záznamech, jejich typech, IP adresách a podrobnosti o službě pouhým zadáním názvu domény.
Service Account Management je navržen tak, aby vám pomohl snadno vytvářet, upravovat a mazat účty spravovaných služeb pomocí několika kliknutí. Tento nástroj nevyžaduje žádné znalosti PowerShellu, obvyklého nástroje pro provádění těchto úkolů.
Users with Weak Password Reporter pomáhá najít slabá hesla v Active Directory porovnáním hesel uživatelů se seznamem více než 100 000 běžně používaných slabých hesel. Uživatele se slabým heslem pak můžete přinutit, aby si heslo změnili při příštím přihlášení.
3. Enow Compass
Compass od ENow Software vám pomůže identifikovat skryté problémy ve vašem prostředí dříve, než dojde k jejich zneužití. Umožňuje monitorování sítě Active Directory a všech řadičů domény v reálném čase. Compass dokáže zajistit, že vaše Active Directory bude v pořádku, a to monitorováním replikace DFS/FRS. Rovněž najde problémy s překladem jmen DNS a pomůže s odstraňováním potíží s problematickými aplikacemi, což vám pomůže zajistit plynulý provoz vašeho AD.
Compass má více než 50 předpřipravených zpráv, které zahrnují audit členství ve skupině Domain Admins, identifikaci a odstranění neaktivních uživatelských účtů a identifikaci rolí FSMO. Nástroj se rychle instaluje a snadno se používá. Vyznačuje se intuitivním a snadno ovladatelným řídicím panelem, který pomáhá identifikovat problémy dříve, než dojde k výpadkům.
Podrobné informace o cenách pro Compass získáte kontaktováním prodeje společnosti Enow. K dispozici je i bezplatná 14denní zkušební verze.
4. Anturis Active Directory Monitor
Zajištění bezproblémového chodu všech služeb je jednou z hlavních úloh při správě Active Directory, a právě na to se zaměřuje Active Directory Monitor od společnosti Anturis. Tento nástroj vás může upozornit na neobvyklé situace prostřednictvím e-mailu, SMS nebo hlasového hovoru. Můžete ho použít také k vytvoření základních hodnot výkonu pro servery Active Directory a replikační struktury. To vám umožní rozpoznat trendy výkonu a snížit riziko úzkých míst dříve, než budou mít negativní dopad na výkon vaší AD.
Active Directory Monitor zobrazuje relace serveru a LDAP a umožňuje nastavit prahové hodnoty pro upozornění. Také zobrazuje autentizace Kerberos a NTLM za sekundu, což vám dává přehled o celkovém zatížení serveru. A protože replikace je jedním z nejdůležitějších aspektů Active Directory, monitorují se i metriky výkonu replikace, jako je stav replikace, čekající synchronizace replikace a čekající operace replikace.
Active Directory Monitor je cloudová služba a nabízí několik plánů předplatného. Ceny začínají na 10 USD měsíčně za 10 monitorů a dosahují až 650 USD měsíčně za 1000 monitorů. K dispozici je i bezplatná verze, která je však omezena na 5 monitorů. Všechny placené plány nabízí bezplatnou 30denní zkušební verzi.
5. Quest Active Administrator
Posledním nástrojem v našem seznamu je Quest Active Administrator. Jde o komplexní a integrované softwarové řešení pro správu Active Directory. Vyplňuje mezery, které zanechávají standardní nástroje od Microsoftu. Nástroje usnadňují a urychlují splnění požadavků auditu a zabezpečení. Obsahuje funkce pro mnoho nejdůležitějších oblastí správy AD.
Mezi hlavní funkce tohoto nástroje patří integrovaná proaktivní správa. Nabízí také intuitivní hlášení a upozornění, která vám umožní rychle sledovat a hlásit změny s možností filtrování podle typu události, uživatele a data, stejně jako aktivity přihlášení a uzamčení uživatele. Můžete také nastavit upozornění na události a automatizovat akce založené na těchto upozorněních.
Cena Active Administrator se počítá za povolený uživatelský účet ve vaší AD a začíná na 16,37 USD za trvalou licenci s jednoletou podporou. Je nutné zakoupit minimální licenci pro 20 uživatelských účtů. K dispozici je i bezplatná 30denní zkušební verze ke stažení.