Juhend Active Directory metsade ja domeenide jaoks

Active Directory metsad ja domeenid


Active Directory on Microsofti süsteemide kasutajate autentimismeetodite võtmeelement. Samuti haldab see võrku ühendatud arvutite ja seadmete valideerimist ning seda saab kasutada ka faililubade süsteemi osana.

Microsoft loodab oma tootevaliku kasutajakontode haldamiseks üha enam Active Directory süsteemiga. Näiteks, AD on Exchange Serveri kasutajate autentimismetoodika keskmes.

Me käsitleme allpool toodud tööriistu palju üksikasjalikumalt, kuid kui teil on aega kokkuvõtte tegemiseks, on siin meie nimekiri viiest parimad tööriistad Active Directory metsade ja domeenide haldamiseks:

  1. SolarWindsi juurdepääsuõiguste haldur (TASUTA prooviversioon) Jälgib Windowsi, SharePointi, Exchange Serveri ja Windows File Share’i AD rakendusi.
  2. SolarWindsi administratiivkimp Active Directory jaoks (TASUTA TÖÖRIIST) Kolm tasuta tööriista, mis aitavad teil AD-is juurdepääsuõigusi hallata.
  3. ManageEngine ADManager Plus (TASUTA prooviversioon) Atraktiivne Active Directory esiotsa, mis haldab Office 365, G-Suite, Exchange ja Skype’i õigusi, samuti Windowsi tavapäraste utiliitide juurdepääsuõigusi.
  4. Paessleri aktiivkataloogi jälgimine PRTG abil Kolm-ühes süsteemiseirevahend, mis hõlmab võrke, servereid ja rakendusi. Sisaldab AD-kuvarit AD-kopeerimise haldamiseks.
  5. Microsofti Active Directory topoloogiadiagramm Kena tasuta tööriist, mis loob Visio kaudu tõlgendamiseks teie AD-struktuuri paigutuse.

Domeenid, puud ja metsad

Võrguühendus mõistab domeeni mõistet tavaliselt. Veebisait on domeen ja seda identifitseeritakse veebis domeeninime järgi. Mõiste teine ​​kasutusviis on adresseerimine võrgus, kus kõik arvutid asuvad samas aadressiruumis, võiulatus.’

Active Directory terminoloogias on domeen võrgu ala, mis on kaetud ühe autentimisandmebaasiga. Selle andmebaasi pood on a domeenikontroller.

Kõik teavad, mis mets on reaalses maailmas – see on ala, mida katavad puud. Niisiis, kus on Active Directory puud?

Mitu domeeni saab omavahel ühendada puu struktuur. Niisiis, sul võib olla vanemdomeen koos lapsdomeenid sellega seotud. Lapse domeenid pärivad vanema aadressiruumi, seega on laps alamdomeen. Puu struktuuri ülaosa on juurdomeen. Kogu puu moodustab vanemate ja laste suhe. Laps ühele domeenile võib olla ka teiste domeenide vanem.

Nii et mõelge välja rühm domeene, millel on sama juurdomeeni aadress kui puul. Kui olete puid näinud, saate välja mõelda, mis on mets: see on puukogumik.

Levitamine ja paljundamine

Metsa kontseptsiooni muudab pisut keeruliseks asjaolu, et see on ainulaadsete puude kogum. Suurtes võrkudes on see tavaline tava kopeerige domeeni kontrollerit ja neil on mitu koopiat süsteemi eri serverites – see kiirendab juurdepääsu.

Mitme saidiga WAN-i haldamisel soovite kogu organisatsiooni jaoks ühist võrkudele juurdepääsu süsteemi. Domeenikontrolleri asukoht võib olla a tõsine mõju jõudlusele, kui kaugemates kohtades olevad kasutajad peavad võrku sisselogimiseks kauem ootama. Domeenikontrolleri lokaalsete koopiate omamine aitab selle probleemi lahendada.

Kui teil on erinevates kohtades mitu sama domeenikontrolleri koopiat, pole teil metsa.

Active Directory keskhalduse moodul peab kõik koopiad koordineerima et kõik andmebaasid oleksid täpselt ühesugused. See nõuab replikatsiooniprotsessi. Ehkki Active Directory lubade andmebaasi levitatakse võrgus, ei peeta seda ametlikult „hajutatud andmebaas.Hajutatud andmebaasis jaotatakse kirjete kogum mitme serveri vahel. Seega peaksite täieliku andmebaasi kogumiseks külastama iga serverit. Active Directory puhul see nii pole, sest igal serveril (domeenikontrolleril) on andmebaasi täpne ja täielik koopia.

Replikatsiooni eelised

Kopeeritud domeenikontrolleril on mitu täiendavad eelised turvalisuse tagamiseks. Kui üks domeenikontroller saab kogemata vigastada, saate kõik algsed kirjed asendada, kopeerides andmebaasi teiselt saidilt. Kui häkker saab kätte ühe võrgus asuva kasutaja mandaadid, võib ta proovida muuta kohalike domeenikontrollerite õigusi, et saada kõrgeid privileege või laiemat juurdepääsu võrgu ressurssidele. Neid muudatusi saab tagasi märgata.

Pidev võrdlus domeenikontrolleri andmebaasidega annab peamise turvameetme. Ka replikatsiooniprotsess võib teid aidata sulgeda ohustatud konto kogu süsteemis. Algse andmebaasi taastamine ja ajakohastatud kirjete kasutuselevõtt nõuab tõhususe tagamiseks siiski väga regulaarset süsteemi pühkimist ja terviklikkuse kontrollimist.

Replikatsiooni haldamine on Active Directory-d haldavate võrguhaldurite peamine ülesanne. Asjaolu, et kohalikke domeenikontrollereid võib olla palju võib sissetungijatele anda võimaluse hiilida mõnda võrgusegmenti ja varastada või muuta andmeid enne tuvastamist ja lukustamist. Domeenikontrollerite koopiate koordineerimine võib peagi muutuda väga keerukaks ja aeganõudvaks ülesandeks. Seda ei saa mõistliku aja jooksul käsitsi teha. Kõigi domeenikontrollerite sagedaseks kontrollimiseks ja kõigi serverite värskendamiseks peate kasutama automatiseeritud meetodeid, kui neis sisalduvaid õigusi muudetakse.

Metsa määratlemine

Metsa saamiseks peab teil olema mitu domeenipuud. See stsenaarium võiks olemas olla, kui soovite erinevad õigused teie võrgu erinevatel aladel. Seega võib teil iga saidi kohta olla eraldi domeen või soovite hoida oma võrgu teatud ressursside või teenuste õigused tavalisest võrgu autentimissüsteemist täiesti eraldi. Seega võivad domeenid geograafiliselt kattuda.

Teie ettevõtte võrk võib sisaldada palju domeenikontrollereid ja mõned neist sisaldavad sama andmebaasi, teised aga erinevaid õigusi.

Kujutage ette, et teie ettevõte osutab teenuseid kasutajatele oma võrgus ja soovib hoidke need õigused eraldi ressurssidest, millele töötajad pääsevad. See looks kaks eraldi domeeni. Kui käitate Exchange Serveri ka oma ettevõtte e-posti süsteemis, on teil teine ​​AD-domeen.

Kuigi personali e-posti süsteemil on tõenäoliselt sama domeeninimi kui veebisaidil, EI OLE KINDLAKS hoida kõiki sama domeenijuurega domeene samas puus. Niisiis, e-posti süsteemil võib olla ühe domeeni puu ja kasutajavõrgul võib olla eraldi ühe domeeni puu. Niisiis, selle stsenaariumi puhul on tegemist kolme eraldi domeeniga, mis teevad metsa.

Exchange’i domeenil võib olla ainult üks domeenikontroller, kuna e-posti tegelik server asub ainult ühes asukohas ja seega peab tal olema juurdepääs ainult ühele autentimisandmebaasile. Võimalik, et kasutaja domeen peab asuma ainult ühes asukohas – lüüsiserveris. Kuid, võite oma personali domeenikontrolleri eksemplari rakendada oma ettevõtte kõigil saitidel. Nii võib teil olla seitse domeenikontrollerit, viis personali domeeni jaoks, üks kasutaja domeeni ja üks e-posti domeeni jaoks.

Võib-olla soovite jagada sisevõrgu kontorifunktsioonide kaupa alajaotisteks, nii et teil oleks kontosektsioon ja müügiosakond, millel pole koostalitlusvõimet. Need oleksid vanempersonali kaks aladomeeni, mis moodustavad puu.

Üks põhjus, miks personalivõrku kasutajavõrgust eraldi hoida, on turvalisus. Vajadus privaatsuse järele sisemises süsteemis võib ulatuda isegi kuni selle personalivõrgu jaoks eraldi domeeninime loomine, mida ei pea avalikkusele teatavaks tegema. See samm sunnib looma eraldi puu, kuna teil ei saa ühes puus olla erinevaid domeeninimesid. Ehkki e-posti süsteemil ja kasutaja juurdepääsu süsteemil on kummalgi ainult üks domeen, tähistavad nad mõlemad ka puud. Samamoodi, kui otsustasite luua uue veebisaidi koos erinev domeeninimi, seda ei saanud ühendada esimese saidi administreerimisega, kuna sellel on erinev domeeninimi.

Personali domeeni tükeldamine alamdomeenide loomiseks nõuab rohkem domeenikontrollereid. Selle asemel, et personalivõrgus oleks ainult üks domeenikontroller saidi kohta, on teil nüüd kolm saiti, mis teeb kokku 15 viiest saidist.

Neid 15 personali domeenikontrollerit tuleb korrata ja kooskõlastada puidustruktuuri suhetega kolme algses domeenis, mis on säilitatud kõigis viies kohas. Mõlemad ülejäänud kaks domeenikontrollerit on erinevad ja ei osale replikatsiooniprotseduurides töötajate valdkonnast. Platsil on kolm puud ja üks mets.

Nagu sellest suhteliselt lihtsast näitest näete, võib domeenide, puude ja metsade haldamise keerukus muutuda kiiresti ilma tervikliku seirevahendita.

Globaalne kataloog

Ressursside eraldamine domeenideks, alamdomeenideks ja puudeks võib turvalisust suurendada, kuid see ei välista automaatselt ressursside nähtavust võrgus. Süsteemi nimetatakse Globaalne kataloog (GC) loetleb kõik metsa ressursid ja see kopeeritakse igale selle metsa liikmeks olevale domeenikontrollerile.

GC-d toetavat protokolli nimetatakse „transitiivne usaldushierarhia.See tähendab, et süsteemi kõiki elemente peetakse heauskselt ega kahjustata kogu võrgu turvalisust. Seetõttu saab ühte domeeni sisestatud autentimiskirjeid usaldada, et nad annaksid juurdepääsu teises domeenis registreeritud ressursile.

Kasutajad, kellele on antud luba ühe domeeni ressursside jaoks, ei saa automaatselt juurdepääsu kõigile ressurssidele, isegi sama domeeni piires. GC funktsioon, mis muudab ressursid nähtavaks kõik ei tähenda, et kõik kasutajad saavad juurdepääsu kõikidele ressurssidele sama metsa kõigis domeenides. Kõik, mida GC loetleb, on kõigi metsa objektide nimi. Teiste domeenide liikmed ei saa päringuid teha isegi nende objektide atribuutide kohta teistes puudes ja domeenides.

Mitu metsa

Mets ei ole lihtsalt kõigi sama haldusrühma hallatavate puude kirjeldus. Kõigil metsa tasemel peetavatel domeenidel on ühised elemendid. Neid ühiseid jooni kirjeldatakse kui „skeem.’Skeem sisaldab metsa ja kõigi selles sisalduvate domeenikontrolleri andmebaaside kujundust. Sellel on ühendav mõju, mis väljendub ühises GC-s, mida korratakse kõikidele sama metsa kontrollijatele.

Võimalik, et peate hooldama stsenaariume rohkem kui üks mets oma ettevõtte jaoks. GC tõttu, kui on ressursse, mida soovite täielikult domeenide liikmete eest saladuses hoida, peaksite looma neile eraldi metsa.

Teine põhjus, miks võib vaja minna eraldi metsa seadistamist, on see, kui installite AD-haldustarkvara. See võiks olla hea mõte luua AD-süsteemi liivakasti koopia, et proovida uue tarkvara konfiguratsiooni enne, kui lasete sellel reaalajas süsteemis lahti lasta.

Kui teie ettevõte omandab mõne muu ettevõtte, mis juba oma võrgus Active Directoryt haldab, seisab teil ees mitu valikut. See, kuidas teie ettevõte uue äriühinguga suhtleb, määrab, kuidas te selle uue divisjoni võrku haldate. Kui uue ettevõtte äritegevuse võtab üle teie organisatsioon ja selle ettevõtte nimi ja identiteet eemaldatakse, siis peate kõik omandatud ettevõtte kasutajad ja ressursid üle viima olemasolevatele domeenidele, puudele ja metsa.

Kui omandatud ettevõte jätkab kauplemist oma olemasoleva nime all, siis see jätkub oma praeguste domeeninimedega, mida ei saa teie olemasolevatesse domeenidesse ja puudesse integreerida. Saate selle uue rajooni puud oma olemasolevasse metsa viia. Lihtsam meetod on aga jätta see omandatud võrk selliseks, nagu see on, ja siduda metsad omavahel. See on võimalik luua kahe iseseisva metsa vahel transitiivne usaldusasutus. See toiming tuleb läbi viia käsitsi ja see laiendab ressursside juurdepääsetavust ja nähtavust, nii et kaks metsa sulanduksid loogilisel tasemel. Saate neid kahte metsa ikkagi eraldi hooldada ja see usalduslik ühendus hoolitseb teie vastastikuse ligipääsetavuse eest.

Active Directory liitmise teenused

Active Directory käitab mitmeid teenuseid autentige oma süsteemi erinevaid aspekte või soodustada valdkondadevahelist sidusust. Üks näide teenusest on Active Directory sertifikaaditeenused (AD CS), mis kontrollib krüptimissüsteemide avaliku võtme sertifikaate, näiteks transpordikihi turvalisus. Domeenide ja metsa jaoks asjakohane teenus on Active Directory liitmise teenused (AD FS).

AD FS on ühekordne sisselogimissüsteem, mis laiendab teie võrgu autentimist ka muude organisatsioonide hallatavatele teenustele. Selle teenuse hulka võetavate süsteemide näited on Google G-Suite ja Office 365.

ühekordne sisselogimissüsteem vahetab autentimislokke teie AD rakenduse ja kaugteenuse vahel, nii et kui kasutajad on teie võrku sisse loginud, ei pea nad uuesti osalevasse SSO kaugteenusesse sisse logima.

AD metsade ja domeenide haldamine

Kui alamdomeenide ja mitmete metsade loomisega alustatakse, võib Active Directory suhteliselt sirgjooneline struktuur kiiresti käsitamatuks muutuda.

Üldiselt, parem on eksida selle poole, et teil oleks võimalikult vähe domeene. Kuigi ressursside eraldamisel erinevateks domeenideks ja alamdomeenideks on turvalisuse eelised, võib mitme eksemplari arhitektuuri suurenenud keerukus muuta sissetungimise jälgimise keeruliseks.

Kui alustate uue Active Directory juurutamist nullist, on soovitatav seda teha alustage ühe puu ühe domeeniga, kõik koos ühe metsaga. Valige AD haldustööriist, mis abistab teid installimisel. Kui olete oma tööriista abil oma domeeni haldama hakanud, võite kaaluda oma domeeni jagamist alamdomeenideks ja ka rohkemate puude või isegi metsade lisamist.

Parimad Active Directory haldustööriistad

Ärge proovige oma autentimissüsteemi hallata ilma abistavate tööriistadeta. Kui proovite ilma spetsiaalsete tööriistadeta hakkama saada, saate väga kiiresti üle jõu. Õnneks, paljud Active Directory haldus- ja seirevahendid on tasuta, nii et teil pole seda probleemi, et eelarve takistab teid proovimast.

Praegu on turul palju AD-tööriistu, nii et veedate palju aega tarkvara hindamisel, kui proovite neid kõiki eelvaatesse vaadata. Just otsingumootori tulemuste lehel ilmunud esimese tööriista valimine on samuti viga. Teie püüdluste lihtsustamiseks, oleme koostanud AD soovitatavate tööriistade loendi.

Seotud: nende võimaluste kohta saate lisateavet lugeda selle juhendi järgmistest jaotistest. AD-tarkvara pikema nimekirja leiate 12 parimat Active Directory tööriista ja tarkvara.

1. SolarWindsi juurdepääsuõiguste haldur (TASUTA prooviversioon)

SolarWindsi juurdepääsuõiguste haldur

rea ülaosas olev tööriist AD juhtimine on SolarWindsi juurdepääsuõiguste haldur. See tööriist installitakse kõigile saidi versioonidele Windows Server. See Active Directory haldustööriist on võimeline jälgima AD-rakendusi, mis töötavad Jaotuspunkt, Exchange Server, ja Windowsi failijagamine samuti operatsioonisüsteemi üldine juurdepääs.

See tööriist sisaldab palju automatiseerimist, mis aitab teil väikese vaevaga täita standardseid ülesandeid. Sellesse kategooriasse kuuluvad: kasutaja loomine ja seal on ka iseteenindusportaal et võimaldada olemasolevatel kasutajatel oma paroole muuta.

Juurdepääsuõiguste haldur jälgib ööpäevaringselt kasutaja tegevust ja juurdepääsu ressurssidele metsaraie süsteem. See võimaldab teil avastada sissetungimise ka siis, kui see toimub väljaspool tööaega või kui olete oma töölaualt eemal.

Utiliidil on ka analüüsi funktsioon mis aitab teil otsustada, kuidas oma AD rakendamist optimeerida. Juurdepääsuõiguste haldur tõstab esile passiivsed kontod ja aitab teil oma domeenikontrollereid korrastada, kaotades hüljatud kasutajakontod.

Juurdepääsuõiguse halduris olevad aruandlustööriistad on kooskõlastatud andmeturbe standardite asutuste nõuetega, nii et saate selle AD-abilise kaudu jõustada reegleid ja näidata vastavust.

Võite saada juurdepääsuõiguse halduri 30-päevase tasuta prooviversiooni. Tööriista lõigatud versioon on tasuta saadaval. Seda nimetatakse SolarWindsi lubade analüsaator Active Directory jaoks.

SolarWindsi juurdepääsuõiguste haldurLaadige alla 30-päevane TASUTA prooviversioon

SolarWindsi lubade analüsaator jaoks Active DirectoryLaadige alla 100% TASUTA tööriist

2. SolarWindsi administratiivkimp Active Directory jaoks (TASUTA TÖÖRIIST)

SolarWindsi administraatori kimp

SolarWinds loob nende jaoks veel ühe Active Directory seirevaliku Administraatori kimp Active Directory jaoks. See tööriistakomplekt sisaldab:

  • Passiivne kasutajakonto eemaldamise tööriist
  • Passiivne arvutikonto eemaldamise tööriist
  • Kasutaja impordi tööriist

Kasutaja impordi tööriist annab teile võimaluse looge hulgaliselt kasutajakontosid CSV-failist. Teile aitab mitteaktiivse kasutajakonto eemaldamise utiliit tuvastada ja sulgeda kasutamata kasutajakontod. Passiivse arvutikonto eemaldamise tööriista abil saate tuvastada mitteaktiivsete seadmete kirjed oma Active Directory domeenikontrollerites. See tasuta tööriist kimp jookseb edasi Windows Server.

SolarWindsi administratiivkimp Active Directory jaoksLaadige alla 100% TASUTA tööriistakomplekt

3. ManageEngine ADManager Plus (TASUTA prooviversioon)

ManageEngine ADManager Plus

ManageEngine toodab ressursside seiresüsteeme ja see ulatuslik AD-halduse tööriist on kirjutatud ettevõtte kõrgetele standarditele. Saate hallata Active Directory rakendusi, et hallata lube Kontor 365, G-sviit, Vahetus, ja Skype samuti teie võrgule juurdepääsu õigused.

ADManager Plusil on veebipõhine liides, nii et seda saab kasutada mis tahes opsüsteemis. Objekte saate oma domeenikontrollerist luua, muuta ja eemaldada, sealhulgas hulgitoiminguid. Tööriist jälgib konto kasutamist nii et saate tuvastada surnud kontosid ja utiliidi abil saab automatiseerida mitmeid AD haldustööriistu.

ADManager Plusi auditeerimise ja aruandluse funktsioon aitab teil näidata vastavust SOX ja HIPAA ja muud andmeturbe standardid.

See süsteem on saadaval standard- ja profiväljaannetes. Selle tööriistaga saate proovida 30-päevast tasuta prooviperioodi. Kui otsustate pärast prooviperioodi lõppu mitte osta, töötab tarkvara endiselt piiratud tasuta versioonina.

ManageEngine ADManager PlusLaadige alla 30-päevane TASUTA prooviversioon

4. Paessleri aktiivkataloogi jälgimine PRTG-ga (TASUTA prooviversioon)

PRTG aktiivne kataloog

Paessleri PRTG on tööriistade kimp, millest igaüks nimetatakse „andur.Utiliit sisaldab Active Directory andureid, mis aitavad teil jälgida teie AD rakendamist. PRTG töötab edasi Windows Server ja saate ka kasutage seda tasuta kui aktiveerite ainult 100 andurit. Tasulise tööriista hind sõltub sellest, kui palju andureid aktiveerite.

PRTG AD-andurid jälgivad Active Directory replikatsioonisüsteemi. See tagab, et kogu andmebaas kopeeritakse kõigisse domeeni kontrolleri versioonidesse, mis asuvad teie võrgus. Samuti logib tööriist kasutaja tegevust, et aidata mitteaktiivseid kasutajakontosid tuvastada. Võite saada terve päeva 30-päevase tasuta prooviversiooni piiramatute anduritega.

Paessleri aktiivkataloogi jälgimise PRTGLaadige alla 30-päevane TASUTA prooviversioon

5. Microsofti Active Directory topoloogiadiagramm

Microsofti Active Directory topoloogiadiagramm

See Microsofti kaardistamistööriist on tõesti kasulik tasuta abiline keeruka AD-i juurutamise haldamisel. See loob kaardi sisse Visio mis näitab teie domeenide, puude ja metsade suhet. Kahjuks on Windowsi uusim versioon, millesse seda saab installida Windows 7 ja uusim versioon Windows Server mida saab tööriista käivitada on Windows Server 2008 R2. Selle tööriista kasutamiseks peab teil olema ka Visio installitud.

Active Directory haldus

Nüüd, kui olete aru saanud Active Directory konfiguratsioonide põhitõdedest, peaksite kaaluma tööriista kasutamist, mis aitab teil oma rakendust hallata. Loodetavasti on meie juhend teid AD-i tõhusama käitamise teele suunanud.

Kas kasutate Active Directory haldamiseks mõnda tööriista? Kas kasutate mõnda meie loendis olevat tööriista? Jätke teade väljale Kommentaarid allolevat jaotist, et jagada oma kogemusi kogukonnaga.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map