Útmutató az Active Directory erdőkhez és tartományokhoz

Active Directory erdők és domainek

Az Active Directory a Microsoft rendszerek felhasználói hitelesítési módszereinek kulcseleme. Ezenkívül kezeli a hálózathoz csatlakoztatott számítógépek és eszközök érvényesítését, és a fájljogosultsági rendszer részeként is telepíthető..

A Microsoft egyre inkább az Active Directory rendszerre támaszkodik, hogy számos termékének felhasználói fiókkezelést biztosítson. Például, Az AD az Exchange Server felhasználói hitelesítési módszertanának központi eleme.

Az alábbiakban bemutatott eszközökkel nagyon sok részletbe kerülünk, de ha csak idő áll összefoglalásra, itt található az öt lista legjobb eszközök az Active Directory erdők és tartományok kezelésére:

  1. SolarWinds hozzáférési jogok kezelője (INGYENES Kipróbálás) Felügyeli a Windows, a SharePoint, az Exchange Server és a Windows File Share AD megvalósításait.
  2. SolarWinds rendszergazda-csomag az Active Directoryhoz (INGYENES SZERSZÁM) Három ingyenes eszköz a hozzáférési jogok kezeléséhez az AD-ben.
  3. ManageEngine ADManager Plus (ingyenes próbaverzió) Az Active Directory vonzó felhasználói felülete, amely kezeli az Office 365, a G-Suite, az Exchange és a Skype engedélyét, valamint a szokásos Windows segédprogram-hozzáférési jogokat.
  4. Paessler Active Directory megfigyelés a PRTG segítségével Három az egyben rendszerfigyelő eszköz, amely lefedi a hálózatokat, kiszolgálókat és alkalmazásokat. Tartalmaz egy AD figyelőt az AD replikáció kezelésére.
  5. A Microsoft Active Directory topológia diagramja Egy szép ingyenes eszköz, amely létrehozza az Ön AD szerkezetének elrendezését a Visio segítségével történő értelmezéshez.

Tartományok, fák és erdők

A domain fogalmát a hálózati közösség általában érti. A webhely egy domain, amelyet a világhálón egy domain név azonosít. A kifejezés másik használata abban rejlik, hogy egy olyan hálózaton címezzünk, ahol minden számítógép ugyanabban a címtérben van, vagyterület.”

Az Active Directory terminológiájában a domain a hálózat egy hitelesítési adatbázis által lefedett területe. Az adatbázis tárolójának neve a tartományvezérlő.

Mindenki tudja, mi az erdő a való világban - ez egy olyan terület, amelyet fák borítanak. Szóval, hol vannak a fák az Active Directory-ban?

Több domain összekapcsolható egy fa szerkezet. Tehát van egy szülő domain val vel gyermektartományok kapcsolódik hozzá. A gyermektartományok a szülő címeit öröklik, tehát a gyermek aldomain. A fa szerkezetének teteje a gyökér domain. A szülők és a gyermek viszonyainak egész csoportja alkotja a fát. Az egyik domainhez tartozó gyermek szülő lehet a többi domain számára is.

Tehát gondoljon olyan tartományokra, amelyek ugyanazzal a gyökértartomány-címmel rendelkeznek, mint egy fa. Miután meglátta a fákat, megtudhatja, mi az erdő: ez a fák gyűjteménye.

Terjesztés és replikáció

Az erdő fogalmát kissé bonyolítja az a tény, hogy egyedi fák gyűjteménye. Nagy hálózatokban ez a gyakorlat replikálja a tartományvezérlőt és több példánya van a rendszer különböző szerverein - ez felgyorsítja a hozzáférést.

Ha több helyszíni WAN-t működtet, akkor közös hálózat-hozzáférési rendszert szeretne létrehozni az egész szervezet számára. A tartományvezérlő helyének lehet a súlyos hatás a teljesítményre, a távoli helyeken lévő felhasználóknak hosszabb ideig kell várniuk a hálózatba történő bejelentkezéshez. A tartományvezérlő helyi másolatainak megkerülése megkerüli ezt a problémát.

Ha ugyanazon tartományvezérlőnek több példánya van különböző helyeken, akkor nincs erdő.

Az Active Directory központi adminisztrációs modulja az összes példányt össze kell hangolnia hogy az összes adatbázis pontosan megegyezzen. Ehhez a replikációs folyamat szükséges. Bár az Active Directory engedélyek adatbázisa a hálózat környékén van elosztva, nem hivatalosan úgy tekintik,elosztott adatbázis.'Egy elosztott adatbázisban az iratgyűjtemény több szerverre oszlik. Tehát meg kell látogatnia az összes kiszolgálót, hogy összegyűjtse a teljes adatbázist. Ez nem az Active Directory esetében, mert minden kiszolgálón (tartományvezérlőn) van az adatbázis pontos és teljes másolata.

A replikáció előnyei

A replikált tartományvezérlőnek több is van további biztonsági előnyök. Ha valamelyik tartományvezérlő véletlenül megsérül, akkor az összes eredeti rekordot kicserélheti egy adatbázis másolásával egy másik webhelyről. Ha egy hacker megszerez egy hitelesítő adatot a hálózat egyik felhasználójától, akkor megpróbálhatja megváltoztatni a helyi tartományvezérlőben lévő engedélyeket, hogy magas jogosultságokat vagy szélesebb körű hozzáférést kapjon a hálózat erőforrásaihoz. Ezeket a változásokat vissza lehet vonni, ha észreveszik őket.

A tartományvezérlő-adatbázisok állandó összehasonlítása kulcsfontosságú biztonsági intézkedést jelent. A replikációs folyamat szintén segíthet zárjon be egy veszélyeztetett fiókot az egész rendszeren. Az eredeti adatbázis helyreállítása és a frissített nyilvántartások bevezetése azonban rendkívül rendszeres rendszertisztítást és integritás-ellenőrzést igényel a hatékonyság érdekében.

A replikáció kezelése kulcsfontosságú feladat az Active Directory-t üzemeltető hálózatkezelők számára. Az a tény, hogy sok helyi tartományvezérlő lehet lehetőséget adhat a betolakodóknak arra, hogy besorozzanak a hálózat egy szegmensén, és ellopják vagy megváltoztassák az adatokat mielőtt felismerik és bezárják. A tartományvezérlők másolatainak összehangolása hamarosan nagyon bonyolult és időigényes feladattá válhat. Ezt nem lehet kézzel elvégezni ésszerű időn belül. Automatizált módszereket kell használnia az összes tartományvezérlő gyakori ellenőrzéséhez és az összes kiszolgáló frissítéséhez, amikor módosítják az általuk tartalmazott engedélyeket.

Erdő meghatározása

Ahhoz, hogy erdő legyen, több domain fának kell lennie. Ez a forgatókönyv létezhet, ha szeretné különböző engedélyek a hálózat különböző területein. Tehát lehet, hogy webhelyenként külön domain van, vagy esetleg érdemes a hálózat egyes erőforrásainak vagy szolgáltatásainak engedélyét teljesen elkülöníteni a szokásos hálózati hitelesítési rendszertől. Tehát a domainek földrajzilag átfedésben lehetnek.

A vállalati hálózat tartalmazhat sok tartományvezérlő és néhányuk ugyanazt az adatbázist fogja tartalmazni, míg mások eltérő engedélyeket tartalmaznak.

Képzelje el, hogy cége szolgáltatásokat nyújt a felhasználók számára a saját hálózatán, és azt akarja tartsa külön ezeket az engedélyeket a személyzet által elérhető forrásokból. Két külön domaint hozna létre. Ha az Exchange Server rendszert is futtatja a vállalati e-mail rendszeréhez, akkor egy másik AD-tartomány lesz.

Noha a személyzet e-mail rendszerének valószínűleg ugyanaz a domainneve lesz, mint a webhelynek, akkor NEM KELL, hogy az összes domaint ugyanazzal a domain gyökérrel tartsa ugyanabban a fában. Tehát az e-mail rendszernek lehet egy domain fája, és a felhasználói hálózatnak külön egy domain fája lehet. Tehát ebben a forgatókönyvben három különálló területtel foglalkozik, amelyek erdőt képeznek.

Lehet, hogy az Exchange tartománynak csak egy tartományvezérlője van, mivel az e-mail rendszer tényleges kiszolgálója csak egy helyen található, és ezért csak egy hitelesítési adatbázishoz kell hozzáférnie. Lehet, hogy a felhasználói domainnek csak egy helyen kell lennie - az átjáró-kiszolgálón. azonban, telepítheti a munkatársak domain-vezérlőjének egy példányát a vállalat minden webhelyén. Lehet, hogy hét tartományvezérlővel rendelkezhet, öt a személyi domainhez, egy a felhasználói domainhez és egy az e-mail tartományhoz.

Érdemes megosztani a belső hálózatot alszakaszokba irodai funkciók szerint, így lenne számlaszekció és értékesítési részleg, interoperabilitás nélkül. Ez lenne a szülőszemélyzet két altartománya, amely fát alkotna.

Az egyik ok, amiért a személyzet hálózatát a felhasználói hálózattól elkülönítve tartják, a biztonság. A belső rendszer magánéletének szükségessége akár azokra is kiterjedhet külön domain név létrehozása az alkalmazottak hálózatához, amelyet nem kell a nyilvánosság számára ismertetni. Ez a lépés kényszeríti egy külön fa létrehozását, mivel nem lehet különféle domain nevek szerepelni egy fában. Noha az e-mail rendszernek és a felhasználói hozzáférési rendszernek csak egy domain van, mindegyike fát képvisel. Hasonlóképpen, ha úgy döntött, hogy új webhelyet hoz létre a egy másik domain név, ezt nem lehetett egyesíteni az első webhely adminisztrációjával, mert más domain névvel rendelkezik.

A személyi tartomány felosztásához gyermektartományok létrehozásához több tartományvezérlőre van szükség. Ahelyett, hogy egy személyi hálózaton csak egy domain-vezérlőt jelentene, most már webhelyenként három van, így összesen 15 több mint öt oldalon.

Ezeket a 15 alkalmazotti tartományvezérlőt meg kell replikálni és össze kell hangolni az öt hely mindegyikén megőrzött három eredeti domain közötti faszerkezet-kapcsolattal. A másik két tartományvezérlő külön-külön és nem vesz részt a replikációs eljárásokban a személyzet domainje. A telek három fával és egy erdővel rendelkezik.

Ahogyan ez a viszonylag egyszerű példa látható, a tartományok, fák és erdők kezelésének összetettsége átfogó ellenőrző eszköz nélkül gyorsan kezelhetetlenné válhat..

Globális katalógus

Noha az erőforrások tartományokra, aldomainekre és fákra történő elkülönítése javíthatja a biztonságot, ez nem zárja ki automatikusan az erőforrások hálózaton belüli láthatóságát. A rendszer úgynevezett Globális katalógus (GC) felsorolja az erdő összes erőforrását, és azt megismétli minden olyan tartományvezérlőre, amely az erdő tagja.

A GC alátámasztására szolgáló protokollt 'tranzitív bizalmi hierarchia."Ez azt jelenti, hogy a rendszer összes elemét jóhiszeműnek és a hálózat egészének biztonságát nem károsnak kell tekinteni. Ezért az egyik tartományba bevitt hitelesítési rekordok megbízhatók abban, hogy hozzáférést biztosítsanak egy másik domainben regisztrált erőforrásokhoz.

Azok a felhasználók, akiknek egy domain erőforrásaihoz engedélyt kaptak, nem férnek hozzá automatikusan az összes erőforráshoz, még ugyanabban a domainben sem. A GC funkció, amely láthatóvá teszi az erőforrásokat minden nem azt jelenti, hogy minden felhasználó hozzáférhet az összes erőforráshoz ugyanazon erdő összes tartományában. A GC csak az erdőben lévő összes objektumot tartalmazza. Más tartományok tagjai számára nem lehetséges, hogy lekérdezzék még az objektumok attribútumait más fákban és tartományokban.

Több erdő

Az erdő nem csupán az azonos adminisztrációs csoport által kezelt összes fának leírása, hanem minden elemhez vannak közös elemek, amelyeket erdő szinten tartanak. Ezeket a közös vonásokat „séma.'A séma tartalmazza az erdő és a benne lévő összes tartományvezérlő-adatbázis tervét. Ennek egyesítő hatása van, amelyet a közös GC-ben fejeznek ki, amelyet ugyanazon erdőben az összes vezérlő replikál.

Vannak olyan forgatókönyvek, amelyeket fenn kell tartania egynél több erdő vállalkozása számára. A GC miatt, ha vannak olyan erőforrások, amelyeket teljes mértékben titokban szeretne tartani a domain tagjai ellen, akkor külön erdőt kell létrehoznia számukra.

Másik oka lehet annak, hogy külön erdőt kell beállítania, ha AD-kezelő szoftvert telepít. Jó ötlet lehet létrehozni az AD rendszerének homokozó másolatát, hogy kipróbálhassa az új szoftver konfigurációját, mielőtt azt elengedi az élő rendszeren..

Ha a vállalkozás megvásárol egy másik vállalkozást, amely már működteti az Active Directory-t a hálózatán, akkor számos lehetőséggel kell szembenéznie. Az, ahogyan az üzleti vállalkozás az új társasággal foglalkozik, diktálja, hogyan működteti az új divízió hálózatát. Ha az új vállalat üzleti tevékenységét a szervezet veszi át, és a cég nevét és személyazonosságát megszüntetik, akkor a megszerzett vállalkozás összes felhasználóját és erőforrását át kell telepítenie a meglévő domainekre, fákra és erdőkre.

Ha a megszerzett társaság folytatja kereskedelmét meglévő neve alatt, akkor folytatni fogja a jelenlegi domain nevekkel, amelyet nem lehet integrálni a meglévő tartományokba és fákba. Az új osztály fáit átviheti a meglévő erdőbe. Egy egyszerűbb módszer azonban, ha a megszerzett hálózatot meghagyja, ahogy van, és összekapcsolja az erdőket. Lehetséges hozzon létre egy átmeneti bizalmi hatóságot két független erdő között. Ezt a műveletet manuálisan kell elvégezni, és ez kiterjeszti az erőforrások elérhetőségét és láthatóságát, így a két erdő hatékonyan logikai szinten összeolvad. A két erdőt továbbra is külön karbantarthatja, és ez a bizalmi kapcsolat gondoskodik a kölcsönös hozzáférhetőségről az Ön számára.

Active Directory összevonási szolgáltatások

Az Active Directory számos szolgáltatást futtat hitelesítse a rendszer különféle aspektusait vagy elősegíti a területek közötti kohéziót. A szolgáltatás egyik példája a Active Directory tanúsítványszolgáltatások (AD CS), amely a titkosítási rendszerek nyilvános kulcsú tanúsítványait vezérli, például a Transport Layer Security. A domain és az erdő szempontjából releváns szolgáltatás a Active Directory összevonási szolgáltatások (AD FS).

Az AD FS egy egyszeri bejelentkezési rendszer, amely kiterjeszti a hálózat hitelesítését más szervezetek által üzemeltetett szolgáltatásokra. Példák a szolgáltatásba beépíthető rendszerekre a Google G-Suite szolgáltatásai és az Office 365.

Az egyszeri bejelentkezési rendszer kicseréli a hitelesítési jogkivonatokat az AD megvalósítás és a távoli szolgáltatás között, így ha a felhasználók bejelentkeztek a hálózatba, akkor nem kell újból bejelentkezniük a részt vevő SSO távoli szolgáltatásba.

AD erdők és domének kezelése

Az Active Directory viszonylag egyszerű struktúrája gyorsan kezelhetetlenné válhat, ha elkezdi aldomainek és több erdő létrehozását.

Általában, jobb tévedni, ha a lehető legkevesebb domainvel rendelkezik. Noha az erőforrások különféle tartományokra és aldomainekra történő elkülönítése biztonsági előnyeivel jár, a többpéldányos architektúra megnövekedett összetettsége megnehezítheti a behatolás követését.

Ha egy új Active Directory-megvalósítást indít a nulláról, azt javasoljuk kezdje el egy domainkel egy fában, mindezt egy erdő tartalmazza. Válasszon egy AD-kezelő eszközt a telepítés elősegítéséhez. Miután felismerte a domain kezelését a választott eszközzel, megfontolhatja a domain felosztását aldomainekre, és további fák, vagy akár erdők felvételét is..

A legjobb Active Directory felügyeleti eszközök

Ne próbálkozzon úgy, hogy a hitelesítési rendszert segítő eszközök nélkül kezeli. Nagyon gyorsan elmerül, ha speciális eszközök nélkül próbálkozik meg. szerencsére, sok Active Directory felügyeleti és figyelő eszköz ingyenes, tehát nincs olyan problémája, hogy a költségvetés visszatartja Önt a kipróbálástól.

Jelenleg sok AD-eszköz van a piacon, így sok időt fog költeni a szoftver értékelésére, ha megpróbál mindegyiket előnézeti formában. A keresőmotorok eredményoldalán megjelenő első eszköz kiválasztása szintén hiba. A küldetés megkönnyítése érdekében, összeállítottuk az AD ajánlott eszközeinek listáját.

Kapcsolódó: Az opciókról ezen útmutató következő szakaszaiban olvashat bővebben. Az AD szoftverek hosszabb listájáért tekintse meg a 12 legjobb Active Directory-eszközt és szoftvert.

1. SolarWinds hozzáférési jogok kezelője (INGYENES Kipróbálás)

SolarWinds Access Rights Manager

Az a sor felső része az AD kezelése számára a SolarWinds Access Rights Manager. Ez az eszköz telepíti a Windows Server. Ez az Active Directory felügyeleti eszköz képes felügyelni az AD végrehajtásokat, amelyek működnek SharePoint, Exchange Server, és Windows fájlmegosztás valamint az operációs rendszer általános elérése.

Ez az eszköz rengeteg automatizálást tartalmaz, amely kis erőfeszítéssel segít a standard feladatok elvégzésében. Ez a feladatcsoport tartalmazza felhasználói létrehozás és van is önkiszolgáló portál hogy a meglévő felhasználók megváltoztassák saját jelszavukat.

Az Access Rights Manager éjjel-nappal nyomon követi a felhasználói tevékenységeket és az erőforrásokhoz való hozzáférést naplózási rendszer. Ez lehetővé teszi bármilyen behatolás felfedezését akkor is, ha munkaidőn kívül történik, vagy ha távol van az íróasztalától.

A segédprogramnak is van elemzési szolgáltatás amelyek segíthetnek az AD végrehajtásának optimalizálásában. A hozzáférési jogok kezelője kiemeli az inaktív fiókokat, és segítséget nyújt a domainvezérlők rendezésében az elhagyott felhasználói fiókok eltávolításával.

Az Access Rights Manager jelentési eszközei össze vannak hangolva az adatbiztonsági szabványügyi testületek követelményeivel, így a szabályok érvényesítése és a betartás igazolása ezen AD-asszisztens segítségével.

Kaphat egy 30 napos ingyenes próbaverziót az Access Rights Manager alkalmazásból. Az eszköz egy vágott verziója ingyenesen elérhető. Ezt hívják SolarWinds engedélyek elemzője az Active Directory számára.

SolarWinds hozzáférési jogok menedzserTöltse le a 30 napos ingyenes próbaverziót

SolarWinds engedélyek elemző az Active Directoryhoz. 100% INGYENES eszköz letöltése

2. SolarWinds Rendszergazda-csomag az Active Directoryhoz (INGYENES SZERSZÁM)

SolarWinds Admin Bundle

A SolarWinds újabb Active Directory megfigyelési opciót állít elő azokkal Rendszergazda-csomag az Active Directoryhoz. Ez az eszközcsomag tartalmazza:

  • Inaktív felhasználói fiók eltávolító eszköz
  • Inaktív számítógépfiók-eltávolító eszköz
  • Felhasználói importáló eszköz

A Felhasználói importáló eszköz lehetővé teszi tömegesen hozhat létre felhasználói fiókokat egy CSV-fájlból. Az Inaktív felhasználói fiók eltávolító segédprogram segít azonosíthatja és bezárhatja a nem használt felhasználói fiókokat. Az Inaktív számítógépfiók-eltávolító eszköz segítségével megteheti azonosíthatja a hibás eszközrekordokat az Active Directory tartományvezérlőiben. Ez ingyenes eszköz csomag fut Windows Server.

SolarWinds Rendszergazda-csomag az Active Directoryhoz. Töltse le 100% -ban INGYENES eszközcsomagot

3. ManageEngine ADManager Plus (ingyenes próbaverzió)

ManageEngine ADManager Plus

A ManageEngine erőforrás-megfigyelő rendszereket állít elő, és ezt az átfogó AD-kezelési eszközt a vállalat magas színvonalára írják. Az Active Directory implementációit kezelheti az engedélyek kezelésére Office 365, G-Suite, Csere, és Skype valamint a hálózati hozzáférési jogokat.

Az ADManager Plus web-alapú felülettel rendelkezik, így bármilyen operációs rendszeren futtatható. Létrehozhat, szerkeszthet és eltávolíthat objektumokat a tartományvezérlőből, beleértve a tömeges műveleteket is. Az eszköz figyeli a fiókhasználatot így észlelheti a halott fiókokat, és számos segédprogrammal automatizálható számos AD kezelési eszköz.

Az ADManager Plus ellenőrzési és jelentési funkciója segítséget nyújt Önnek a megfelelőség igazolásában SOX és HIPAA és egyéb adatbiztonsági szabványok.

Ez a rendszer elérhető standard és professzionális kiadásokban. Kaphat egy 30 napos ingyenes próbaverziót az eszközről. Ha úgy dönt, hogy a vásárlás után nem vásárol, a szoftver továbbra is korlátozott, ingyenes verzióként működik.

ManageEngine ADManager PlusDownload 30 napos ingyenes próbaverzió

4. A Paessler Active Directory megfigyelése PRTG-vel (INGYENES Kísérlet)

PRTG Active Directory

Paessler PRTG egy eszközcsomag, amelyek mindegyikét „érzékelő.'A segédprogram Active Directory-érzékelőket tartalmaz, amelyek segítenek figyelemmel kísérni az AD végrehajtását. A PRTG tovább folytatódik Windows Server és te tudod használd ingyen ha csak 100 érzékelőt aktivál. A fizetett eszköz ára attól függ, hogy hány érzékelőt aktiválsz.

A PRTG AD érzékelői nyomon követik az Active Directory replikációs rendszerét. Ez biztosítja, hogy a teljes adatbázist a hálózat körül található összes tartományvezérlő-verzióra lemásolják. Az eszköz naplózza a felhasználói tevékenységeket is, hogy segítse az inaktív felhasználói fiókok felismerését. Kaphat egy 30 napos ingyenes próbaverziót a teljes rendszerről, korlátlan érzékelőkkel.

Paessler Active Directory figyelő PRTGDownload 30 napos ingyenes próbaverzió

5. A Microsoft Active Directory topológiai diagramja

A Microsoft Active Directory topológia diagramja

Ez a Microsoft leképező eszköz egy nagyon hasznos ingyenes asszisztens, amikor bonyolult AD implementációt kezel. Készít egy térképet a Visio amely megmutatja az összes domain, fák és erdők közötti kapcsolatot. Sajnos a Windows legújabb verziója, amelyre telepíthető Windows 7 és a legújabb verziója Windows Server amely képes futtatni az eszköz Windows Server 2008 R2. Az eszköz használatához a Visio-t is telepítenie kell.

Active Directory menedzsment

Most, hogy megértette az Active Directory konfigurációinak alapjait, fontolóra kell vennie egy olyan eszköz alkalmazását, amely segít a végrehajtás kezelésében. Remélhetőleg útmutatónk megmutatta Önt az AD hatékonyabb futtatásának útján.

Használ-e eszközöket az Active Directory kezeléséhez? Használ-e a listánk bármelyik eszközét? Hagy egy üzenetet a Hozzászólások az alábbiakban megoszthatja tapasztalatait a közösséggel.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

33 − = 32

Adblock
detector