Un ghid pentru pădurile și domeniile Active Directory

Păduri și domenii Active Directory

Active Directory este elementul cheie în metodele de autentificare pentru utilizatorii din sistemele Microsoft. De asemenea, gestionează validarea computerelor și dispozitivelor conectate la o rețea și poate fi, de asemenea, implementată ca parte a unui sistem de permisiuni de fișiere.

Microsoft se bazează din ce în ce mai mult pe sistemul Active Directory pentru a oferi gestionarea contului de utilizator pentru o gamă de produse. De exemplu, AD este la baza metodologiei de autentificare a utilizatorului pentru Exchange Server.

Intrăm într-o mulțime de detalii despre instrumentele pe care le oferim mai jos, dar dacă aveți timp doar pentru un rezumat, iată lista noastră cu cele cinci cele mai bune instrumente pentru gestionarea pădurilor și domeniilor Active Directory:

  1. Managerul drepturilor de acces al SolarWinds (PROBLE GRATUIT) Supervizează implementările AD pentru Windows, SharePoint, Exchange Server și Windows File Share.
  2. Pachetul de administrare SolarWinds pentru Active Directory (INSTRUMENT GRATUIT) Trei instrumente gratuite care vă ajută să gestionați drepturile de acces în AD.
  3. ManageEngine ADManager Plus (PROBA GRATUITĂ) Un front-end atractiv pentru Active Directory, care va gestiona permisiile pentru Office 365, G-Suite, Exchange și Skype, precum și drepturile standard de acces la utilitare Windows..
  4. Paessler Active Directory Monitoring cu PRTG Un instrument de monitorizare în trei sisteme care acoperă rețele, servere și aplicații. Include un monitor AD pentru a gestiona replicarea AD.
  5. Diagramă de topologie Microsoft Active Directory Un instrument gratuit și gratuit care generează un aspect al structurii dvs. AD pentru interpretare prin Visio.

Domenii, copaci și păduri

Conceptul de domeniu este înțeles în mod obișnuit de comunitatea de rețea. Un site web este un domeniu și este identificat pe World Wide Web printr-un nume de domeniu. O altă utilizare a termenului constă în adresarea într-o rețea în care toate computerele se află în același spațiu de adrese sau „domeniu.“

În terminologia Active Directory, un domeniu este zona unei rețele acoperite de o singură bază de date de autentificare. Magazinul bazei de date se numește a controlor de domeniu.

Toată lumea știe ce este o pădure în lumea reală - este o zonă care este acoperită de copaci. Deci, unde sunt copacii din Active Directory?

Mai multe domenii pot fi legate între ele în o structură de copac. Deci, puteți avea un domeniul părinte cu domenii pentru copii legat de ea. Domeniile copilului moștenesc spațiul de adresă al părintelui, deci copilul este un subdomeniu. Partea de sus a structurii arborilor este domeniu root. Întregul grup de relații dintre părinți și copii formează arborele. Un copil la un domeniu poate fi, de asemenea, părintele la alte domenii.

Deci, gândiți-vă la un grup de domenii care au aceeași adresă de domeniu rădăcină ca un arbore. După ce puteți vedea copacii, puteți afla care este pădurea: este o colecție de copaci.

Distribuție și replicare

Conceptul de pădure este complicat ușor prin faptul că este o colecție de copaci unici. În rețelele mari, este o practică comună reproduceți controlorul de domeniu și aveți mai multe copii pe diferite servere din jurul sistemului - acest lucru accelerează accesul.

Dacă acționați un WAN cu mai multe site-uri doriți să aveți un sistem comun de acces la rețea pentru întreaga organizație. Locația controlorului de domeniu poate avea un impact serios asupra performanței, utilizatorii din locații îndepărtate trebuie să aștepte mai mult pentru a se conecta la rețea. Dacă aveți copii ale controlerului de domeniu la nivel local apare această problemă.

Când aveți mai multe copii ale aceluiași controler de domeniu în locații diferite, nu aveți o pădure.

Modulul de administrare centrală a Active Directory trebuie să coordoneze toate copiile pentru a vă asigura că toate bazele de date sunt exact aceleași. Acest lucru necesită un proces de replicare. Deși baza de date de permisiuni Active Directory este distribuită în jurul rețelei, nu este ceea ce este considerat oficial ca „baza de date distribuită.„Într-o bază de date distribuită, colecția de înregistrări este împărțită între mai multe servere. Deci, va trebui să vizitați fiecare server pentru a colecta baza de date completă. Nu este cazul Active Directory, deoarece fiecare server (controler de domeniu) are o copie exactă și completă a bazei de date.

Beneficiile replicării

Un controler de domeniu replicat are mai multe beneficii suplimentare pentru securitate. Dacă un controlor de domeniu este deteriorat accidental, puteți înlocui toate înregistrările originale copiind peste baza de date de pe alt site. Dacă un hacker deține un certificat de la unul dintre utilizatorii unei rețele, el poate încerca să modifice permisiunile deținute în controlerul de domeniu local pentru a obține privilegii ridicate sau acces mai larg la resurse din rețea. Aceste modificări pot fi reduse odată identificate.

Comparația constantă a bazelor de date cu controlere de domeniu oferă o măsură de securitate cheie. Procesul de replicare vă poate ajuta și închide un cont compromis peste tot în sistem. Cu toate acestea, restaurarea unei baze de date originale și extragerea înregistrărilor actualizate necesită extinderi foarte regulate ale sistemului și verificări de integritate pentru a fi eficiente.

Gestionarea replicării este o sarcină cheie pentru managerii de rețea care operează Active Directory. Faptul că pot exista mulți controlori de domeniu locali poate oferi intrusilor ocazia de a se strecura în jurul unui segment al rețelei și de a fura sau modifica date înainte de a fi detectat și închis. Coordonarea între copii ale controlerelor de domeniu poate deveni în curând o sarcină foarte complicată și consumatoare de timp. Nu poate fi efectuat manual într-un termen rezonabil. Trebuie să utilizați metode automate pentru a ține verificări frecvente pe toate controlerele de domeniu și pentru a actualiza toate serverele atunci când se face o modificare a permisiunilor pe care le conțin.

Definirea unei păduri

Pentru a avea o pădure, trebuie să aveți mai mulți arbori de domeniu. Acest scenariu ar putea exista dacă doriți să aveți permisiuni diferite pentru diferite zone ale rețelei dvs.. Așadar, s-ar putea să aveți un domeniu separat pe site sau ar putea dori să păstrați permisiunile pentru anumite resurse sau servicii din rețeaua dvs. complet separate de sistemul de autentificare rețea obișnuit. Deci, domeniile se pot suprapune geografic.

Rețeaua dvs. de companie poate conține mulți controlori de domeniu iar unele dintre ele vor conține aceeași bază de date, în timp ce altele conțin permisiuni diferite.

Imaginați-vă că compania dvs. rulează servicii pentru utilizatori în propria rețea și dorește păstrați separat permisiunile din resursele accesate de personal. Ar crea două domenii separate. Dacă de asemenea, executați Exchange Server pentru sistemul de e-mail al companiei dvs., veți avea un alt domeniu AD.

Deși sistemul de e-mail al personalului va avea probabil același nume de domeniu ca site-ul web, nu trebuie să păstrați toate domeniile cu aceeași rădăcină de domeniu în același arbore. Deci, sistemul de e-mail poate avea un arbore cu un singur domeniu, iar rețeaua de utilizatori poate avea un arbore separat de un singur domeniu. Deci, în acest scenariu, aveți de-a face cu trei domenii separate, care fac o pădure.

Domeniul Exchange poate avea doar un singur controlor de domeniu, deoarece serverul real pentru sistemul de e-mail este rezident doar într-o singură locație, deci trebuie să acceseze o singură bază de date de autentificare. Domeniul de utilizator ar trebui să fie necesar într-o singură locație - pe serverul gateway. in orice caz, puteți implementa o instanță a controlorului dvs. de domeniu de personal pentru fiecare dintre site-urile companiei dvs.. Deci, este posibil să aveți șapte controlere de domeniu, cinci pentru domeniul de personal, unul pentru domeniul de utilizator și unul pentru domeniul de e-mail.

S-ar putea să doriți să împărțiți rețeaua internă în subsecțiuni în funcție de birou, astfel încât să aveți o secțiune de conturi și o secțiune de vânzări fără interoperabilitate. Acestea ar fi două domenii copil din domeniul personalului părinte, formând un arbore.

Unul dintre motivele pentru a menține rețeaua de personal separată de rețeaua de utilizator este securitatea. Nevoia de confidențialitate a sistemului intern se poate extinde chiar și la crearea unui nume de domeniu separat pentru rețeaua de personal respectivă, care nu trebuie să fie făcut cunoscut publicului larg. Această mișcare forțează crearea unui arbore separat, deoarece nu puteți include diferite nume de domeniu incluse într-un arbore. Deși sistemul de e-mail și sistemul de acces al utilizatorului au doar un singur domeniu, ele reprezintă, de asemenea, fiecare un arbore. În mod similar, dacă ați decis să creați un nou site web cu un alt nume de domeniu, acest lucru nu a putut fi contopit în administrarea primului site, deoarece are un nume de domeniu diferit.

Împărțirea domeniului personal pentru a crea domenii copil necesită mai mulți controlori de domenii. În loc de un singur controlor de domeniu pe site pentru rețeaua de personal, acum aveți trei pe site, realizând un total de 15 peste cinci site-uri.

Acei 15 controleri de domenii de personal trebuie să fie replicate și coordonate cu relația de structură a arborelui dintre cele trei domenii originale păstrate pe fiecare din cele cinci site-uri. Fiecare din celelalte două controlere de domeniu sunt distincte și nu va face parte din procedurile de replicare din domeniul personalului. Situl are trei copaci și o pădure.

După cum puteți vedea din acest exemplu relativ simplu, complexitatea gestionării domeniilor, arborilor și pădurilor poate deveni rapid neputincioasă fără un instrument de monitorizare complet.

Catalog global

Deși separarea resurselor în domenii, subdomenii și arbori poate spori securitatea, aceasta nu elimină automat vizibilitatea resurselor dintr-o rețea. Un sistem numit Catalog global (GC) listează toate resursele dintr-o pădure și este reprodus la fiecare controlor de domeniu care este membru al acelei păduri.

Protocolul care stă la baza GC se numește „ierarhie tranzitorie de încredere.„Aceasta înseamnă că se presupune că toate elementele sistemului sunt de bună credință și nu aduc atingere securității rețelei în ansamblu. Prin urmare, înregistrările de autentificare introduse într-un domeniu pot fi de încredere pentru a acorda acces la o resursă care este înregistrată pe un alt domeniu.

Utilizatorii care au acordat permisiuni la resurse dintr-un domeniu nu au acces automat la toate resursele, chiar și în cadrul aceluiași domeniu. Funcția GC care face ca resursele să fie vizibile totul nu înseamnă că toți utilizatorii pot accesa toate resursele din toate domeniile din aceeași pădure. Tot ce listează GC este numele tuturor obiectelor din pădure. Nu este posibil ca membrii altor domenii să interogheze chiar și atributele obiectelor din alte arbori și domenii.

Păduri multiple

Pădurea nu este doar o descriere a tuturor copacilor administrați de același grup de administrare, există elemente comune pentru toate domeniile deținute la nivel de pădure. Aceste caracteristici comune sunt descrise ca „schemă.„Schema conține designul pădurii și toate bazele de date ale controlerului de domeniu din cadrul acesteia. Aceasta are un efect de unificare, care este exprimat în CG comun care este replicat tuturor controlorilor din aceeași pădure.

Există câteva scenarii în care ar putea fi necesar să vă mențineți mai mult de o pădure pentru afacerea ta. Din cauza GC, dacă există resurse pe care doriți să le păstrați complet secrete față de membrii domeniilor, va trebui să creați o pădure separată pentru ei.

Un alt motiv pentru care poate fi necesar să configurați o pădure separată este dacă instalați software de gestionare a AD. Ar putea fi o idee bună să creați o copie de nisip a sistemului dvs. AD pentru a încerca configurația noului dvs. software înainte de a-l elibera pe sistemul dvs. live.

Dacă compania dvs. achiziționează o altă afacere care operează deja Active Directory în rețeaua sa, vă veți confrunta cu o serie de opțiuni. Modul în care se ocupă afacerea dvs. cu noua companie va dicta modul în care operați rețeaua acelei noi divizii. Dacă activitatea noii companii va fi preluată de organizația dvs. și numele și identitatea companiei respective vor fi retrase, atunci va trebui să migrați toți utilizatorii și resursele afacerii achiziționate către domeniile, copacii și pădurile existente.

Dacă societatea achiziționată va continua tranzacționarea sub numele său existent, atunci acesta va continua cu numele sale de domeniu actuale, care nu pot fi integrate în domeniile și arborii dvs. existenți. Puteți transporta copacii acestei noi diviziuni în pădurea dvs. existentă. Cu toate acestea, o metodă mai simplă este să părăsești rețeaua dobândită așa cum este și să conectezi pădurile. Este posibil să creați o autoritate de încredere tranzitorie între două păduri independente. Această acțiune trebuie efectuată manual și va extinde accesibilitatea și vizibilitatea resurselor, astfel încât efectiv, cele două păduri să se contopeze la nivel logic. Puteți menține în continuare cele două păduri separat și acea legătură de încredere va avea grijă de accesibilitatea reciprocă pentru dvs..

Servicii Active Directory Federation

Active Directory rulează o serie de servicii care autentificați diferite aspecte ale sistemului dvs. sau ajută la coeziunea dintre domenii. Un exemplu de serviciu este Servicii Active Directory Certificate (AD CS) care controlează certificatele de chei publice pentru sistemele de criptare, cum ar fi Transport Layer Security. Serviciul care este relevant pentru domenii și pădure este Servicii Active Directory Federation (AD FS).

AD FS este un sistem de conectare unic, care extinde autentificarea rețelei dvs. la serviciile administrate de alte organizații. Exemple de sisteme care pot fi incluse în acest serviciu sunt facilitățile Google G-Suite și Office 365.

sistem de conectare unic schimbă jetoane de autentificare între implementarea dvs. AD și serviciul de la distanță, astfel încât odată ce utilizatorii s-au autentificat în rețeaua dvs., nu vor trebui să se conecteze din nou la serviciul de SSO de la distanță participant.

Gestionarea pădurilor și domeniilor AD

O structură relativ simplă pentru Active Directory poate deveni rapid de gestionat după ce începeți să creați subdomenii și mai multe păduri.

În general, este mai bine să greșiți pentru a avea cât mai puține domenii. Deși separarea resurselor în domenii și subdomenii diferite are beneficii pentru securitate, complexitatea crescută a unei arhitecturi cu mai multe instanțe poate îngreuna urmărirea intruziunilor.

Dacă începeți o nouă implementare Active Directory de la zero, vă recomandăm să vă începe cu un domeniu dintr-un arbore, toate conținute de o singură pădure. Selectați un instrument de gestionare AD pentru a vă ajuta în instalare. După ce ați fost abil în gestionarea domeniului dvs. cu instrumentul ales, puteți lua în considerare împărțirea domeniului dvs. în subdomenii și adăugarea pe mai mulți arbori sau chiar păduri.

Cele mai bune instrumente de gestionare Active Directory

Nu încercați să obțineți prin administrarea sistemului de autentificare fără a ajuta instrumentele. Vei fi copleșit foarte repede dacă încerci să faci fără instrumente de specialitate. din fericire, multe instrumente de gestionare și monitorizare Active Directory sunt gratuite, deci nu aveți problema ca bugetul să vă împiedice să încercați.

Există multe instrumente AD pe piață în acest moment, așa că veți ajunge să cheltuiți mult timp pentru a evalua software-ul dacă încercați să le previzualizați pe toate. Alegerea primului instrument care apare într-o pagină de rezultate a motorului de căutare este, de asemenea, o greșeală. Pentru a-ți ușura căutarea, am compilat o listă de instrumente recomandate pentru AD.

Înrudit: puteți citi mai multe despre aceste opțiuni în secțiunile următoare ale acestui ghid. Pentru o listă mai lungă de software AD, consultați 12 Cele mai bune instrumente și software Active Directory.

1. Managerul drepturilor de acces al SolarWinds (PROBLE GRATUIT)

Managerul drepturilor de acces SolarWinds

partea de sus a instrumentului de linie pentru managementul AD este Managerul drepturilor de acces SolarWinds. Acest instrument se instalează pe toate versiunile de Windows Server. Acest instrument de gestionare Active Directory este capabil să supravegheze implementările AD care operează pentru SharePoint, Server Exchange, și Partajare fișiere Windows precum și accesul general al sistemului de operare.

Acest instrument include o mulțime de automatizări care vă pot ajuta să finalizați sarcini standard cu puțin efort. Această categorie de sarcini include crearea de utilizatori și există și un portal de autoservire pentru a permite utilizatorilor existenți să își schimbe propriile parole.

Managerul de drepturi de acces urmărește activitatea utilizatorului și accesul la resurse în permanență un sistem de logare. Acest lucru vă permite să descoperiți orice intruziune, chiar dacă se întâmplă în afara orelor de lucru sau când sunteți departe de birou.

Utilitatea are și ea o caracteristică de analiză asta vă poate ajuta să decideți cum să optimizați implementarea AD. Managerul de drepturi de acces va evidenția conturile inactive și te va ajuta să îți faci ordine în controlerele de domeniu, eliminând conturile de utilizator abandonate.

Instrumentele de raportare în Managerul Drepturilor de Acces sunt coordonate cu cerințele organismelor de standarde de securitate a datelor, astfel încât să puteți aplica regulile și să demonstrați conformitatea prin intermediul acestui asistent AD.

Puteți obține o probă gratuită de 30 de zile a managerului Acces Rights. O versiune redusă a instrumentului este disponibilă gratuit. Aceasta se numește Analizatorul de permisiuni SolarWinds pentru Active Directory.

Administratorul drepturilor de acces SolarWinds Descărcați încercarea GRATUITĂ pentru 30 de zile

SolarWinds Analizator de permisiuni pentru Active Directory Descărcare 100% Instrument GRATUIT

2. Pachetul de administrare SolarWinds pentru Active Directory (INSTRUMENT GRATUIT)

Pachetul de administrare SolarWinds

SolarWinds produce o altă opțiune de monitorizare Active Directory cu ajutorul acestora Pachet de administrator pentru Active Directory. Acest pachet de instrumente include:

  • Instrumentul de eliminare a contului de utilizator inactiv
  • Instrument inactiv de eliminare a contului de calculator
  • Instrumentul de importare a utilizatorului

Instrumentul de import utilizator vă oferă posibilitatea de a creați conturi de utilizator în vrac dintr-un fișier CSV Utilitarul de eliminare a contului de utilizator inactiv vă ajută identificarea și închiderea conturilor de utilizator neutilizate. Cu instrumentul de eliminare inactivă a computerului, puteți identificați înregistrările dispozitivului defunct în controlerele de domeniu Active Directory. Acest instrument gratuit pachetul continuă Windows Server.

Pachetul de administrare SolarWinds pentru Active Directory Descărcare 100% GRATUIT Pachet de instrumente

3. ManageEngine ADManager Plus (TRIAL GRATUIT)

ManageEngine ADManager Plus

ManageEngine produce sisteme de monitorizare a resurselor, iar acest instrument complet de gestionare a AD este scris la standardul înalt al companiei. Puteți gestiona implementările Active Directory pentru a gestiona permisiunile Office 365, G-Suite, schimb valutar, și Skype precum și drepturile de acces la rețea.

ADManager Plus are o interfață bazată pe web, astfel încât să poată rula pe orice sistem de operare. Puteți crea, edita și elimina obiecte din controlerul dvs. de domeniu, inclusiv acțiuni în vrac. Instrumentul monitorizează utilizarea contului astfel încât să puteți localiza conturi moarte și o serie de instrumente de gestionare a AD pot fi automatizate prin intermediul utilitarului.

Funcția de audit și raportare a ADManager Plus vă ajută să demonstrați conformitatea cu SOX și HIPAA și alte standarde de securitate a datelor.

Acest sistem este disponibil în ediții Standard și Professional. Puteți obține o probă gratuită de 30 de zile a instrumentului. Dacă decideți să nu cumpărați după încheierea perioadei de încercare, software-ul continuă să funcționeze ca o versiune restricționată, gratuită.

GestionareEngine ADManager Plus Descărcați încercarea GRATUITĂ pentru 30 de zile

4. Monitorizare Active Directory Paessler cu PRTG (GRATUIT TRIAL)

PRTG Active Directory

PRTG-ul Paessler este un pachet de instrumente, fiecare dintre ele fiind denumit „senzor.„Utilitatea include senzori Active Directory care vă ajută să monitorizați implementarea AD. PRTG continuă Windows Server si tu poti folosiți-l gratuit dacă activezi doar 100 de senzori. Prețul instrumentului plătit depinde de câți senzori activați.

Senzorii AD din PRTG urmăresc sistemul de replicare al Active Directory. Acest lucru asigură că baza de date completă este copiată în toate versiunile controlerului de domeniu care sunt situate în jurul rețelei dvs. Instrumentul înregistrează, de asemenea, activitatea utilizatorului pentru a vă ajuta să detectați conturi de utilizator inactive. Puteți obține o încercare gratuită de 30 de zile a sistemului complet cu senzori nelimitați.

Paessler Active Directory Monitoring PRTGDescarcă încercare GRATUITĂ de 30 de zile

5. Diagramă de topologie Microsoft Active Directory

Diagramă de topologie Microsoft Active Directory

Acest instrument de mapare de la Microsoft este un asistent gratuit foarte util atunci când gestionați o implementare AD complicată. Creează o hartă în Visio asta arată relația dintre toate domeniile, copacii și pădurile. Din păcate, cea mai recentă versiune de Windows pe care poate fi instalat este Windows 7 și cea mai recentă versiune a Windows Server care poate rula instrumentul este Windows Server 2008 R2. De asemenea, trebuie să aveți Visio instalat pentru a utiliza acest instrument.

Management Active Directory

Acum că ați înțeles elementele de bază ale configurațiilor Active Directory, ar trebui să luați în considerare utilizarea unui instrument care să vă ajute să vă gestionați implementarea. Sperăm, ghidul dvs. v-a pus pe calea de a efectua AD mai eficient.

Folosiți instrumente pentru a gestiona Active Directory? Folosești vreunul dintre instrumentele din lista noastră? Lasă un mesaj în Comentarii secțiunea de mai jos pentru a împărtăși experiența dvs. cu comunitatea.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

22 − 14 =

Adblock
detector