Водич кроз шуме и домене Ацтиве Дирецтори-а

Шуме и домени Ацтиве Дирецтори-а

Ацтиве Дирецтори је кључни елемент у методама провере идентитета за кориснике у Мицрософт системима. Такође управља валидацијом рачунара и уређаја повезаних на мрежу и може се распоредити и као део система дозвола за датотеке.

Мицрософт се све више ослања на систем Ацтиве Дирецтори за пружање управљања корисничким налозима за низ својих производа. На пример, АД је у средишту методологије проверавања идентитета корисника за Екцханге Сервер.

Наилазимо на много детаља о алатима које приказујемо у даљем тексту, али ако имате времена само за резиме, ево наше листе пет најбољи алати за управљање шумама и доменима Ацтиве Дирецтори-а:

  1. СоларВиндс Манагер за права приступа (БЕСПЛАТНО ИСПИТИВАЊЕ) Надгледа имплементацију АД-а за Виндовс, СхареПоинт, Екцханге Сервер и Виндовс Филе Схаре.
  2. СоларВиндс Админ пакет за Ацтиве Дирецтори (БЕСПЛАТНИ АЛАТ) Три бесплатна алата која ће вам помоћи да управљате правима приступа у АД-у.
  3. МанагеЕнгине АДМанагер Плус (БЕСПЛАТНО ИСПИТИВАЊЕ) Атрактивни предњи крај Ацтиве Дирецтори-а који ће управљати дозволама за Оффице 365, Г-Суите, Екцханге и Скипе, као и стандардна права приступа услужном систему Виндовс.
  4. Паесслер Ацтиве Дирецтори Мониторинг са ПРТГ-ом Алат за надгледање система три у један који покрива мреже, сервере и апликације. Укључује АД монитор за управљање репликацијом АД.
  5. Мицрософт Ацтиве Дирецтори Топологи Диаграммер Леп бесплатан алат који генерише изглед ваше АД структуре за тумачење кроз Висио.

Домене, дрвеће и шуме

Концепт домене најчешће разуме мрежа умрежавања. Веб локација је домен и на Интернет мрежи је идентификована именом домена. Друга употреба термина лежи у адресирању на мрежи где су сви рачунари у истом адресном простору, или „Обим.'

У терминологији Ацтиве Дирецтори, домен је подручје мреже обухваћено једном једином базом података за аутентификацију. Складиште те базе података назива се а контролер домена.

Сви знају шта је шума у ​​стварном свету - то је подручје које је прекривено дрвећем. Дакле, где су стабла у Ацтиве Дирецтори-у?

Неколико домена може бити повезано у дрвена структура. Дакле, можете имати надређени домен са подређени домени повезан са њом. Дијете домене насљеђују адресни простор родитеља, па је дијете поддомена. Врх структуре дрвећа је роот домен. Читава група односа родитеља и детета чини дрво. Дијете на један домен може бити родитељ осталим доменима.

Дакле, размислите о групи домена која дели исту матичну адресу домена као стабло. Једном када угледате дрвеће, можете сазнати шта је шума: то је колекција дрвећа.

Дистрибуција и репликација

Концепт шуме је мало компликован чињеницом да је то колекција јединствених стабала. На великим мрежама је уобичајена пракса поновите контролер домена и имају неколико копија на различитим серверима широм система - то убрзава приступ.

Ако користите ВАН са више локација, желите да имате заједнички систем приступа мрежи за целу организацију. Локација контролера домена може имати: озбиљан утицај на перформансе, с корисницима на удаљеним локацијама који морају дуже да чекају да би се пријавили на мрежу. Посједовање копија локалног контролера отклони овај проблем.

Када имате неколико копија истог контролера домена на различитим локацијама, немате шуму.

Централни модул администрације Ацтиве Дирецтори-а треба да координира све копије како би били сигурни да су све базе података потпуно исте. Ово захтева процес репликације. Иако је база података дозвола Ацтиве Дирецтори дистрибуирана широм мреже, то се службено не сматра 'дистрибуирана база података.„У дистрибуираној бази података, збирка записа је подељена између неколико сервера. Дакле, требало би да посетите сваки сервер да бисте окупили потпуну базу података. То није случај са Ацтиве Дирецториом јер сваки сервер (контролер домене) има тачна и потпуна копија базе података.

Предности репликације

Контролираног домена има неколико додатне погодности за сигурност. Ако се један контролер домена случајно оштети, можете заменити све оригиналне записе копирањем преко базе података са друге веб локације. Ако хакер добије акредитиве једног од корисника на мрежи, можда ће покушати да измени дозволе задржане у локалном контролеру домена како би добио високе привилегије или шири приступ ресурсима на мрежи. Те промене се могу вратити када се примете.

Стално упоређивање база података контролера домена пружа кључну меру сигурности. Процес репликације такође вам може помоћи затвори компромитован рачун по целом систему. Међутим, обнављање оригиналне базе података и увођење ажурираних записа захтевају врло редовне промене система и провере интегритета да би биле ефикасне.

Управљање репликацијом је кључни задатак за мрежне менаџере који користе Ацтиве Дирецтори. Чињеница да може бити пуно локалних контролера домена може дати уљезима прилику да се шетају по делу мреже и краду или мењају податке пре него што је откривен и закључан. Координација између копија контролера домена ускоро може постати врло компликован и дуготрајан задатак. То се не може извршити ручно у разумном року. Морате да користите аутоматизоване методе да бисте задржали честе провере свих контролера домена и ажурирали све сервере када се изврши промена дозвола које садрже.

Дефинисање шуме

Да бисте имали шуму, морате имати неколико стабала домена. Овај сценарио би могао да постоји ако то желите различита одобрења за различите области ваше мреже. Дакле, можда имате засебан домен по веб локацији или ћете можда желети да дозволе за одређене ресурсе или услуге на вашој мрежи буду потпуно одвојене од уобичајеног система за потврђивање идентитета мреже. Дакле, домене се могу географски преклапати.

Мрежа ваше компаније може да садржи многи контролори домена а неки од њих садрже исту базу података, док други садрже различита дозвола.

Замислите да ваша компанија управља услугама за кориснике на сопственој мрежи и то жели држите та одобрења одвојена из средстава којима приступа особље. То би створило два одвојена домена. Ако такође покренете Екцханге Сервер за систем е-поште своје компаније, имаћете други АД домен.

Иако ће систем за е-пошту особља вјероватно имати исто име домена као и веб страница, ви НЕ морате задржати све домене с истим коријеном домене у истом стаблу. Дакле, систем е-поште може имати стабло с једним доменом, а мрежа корисника може имати засебно стабло једног домена. Дакле, у овом сценарију имате посла са три одвојена подручја која чине шуму.

Екцханге домен може имати само један контролер домена, јер стварни сервер за систем е-поште пребива само на једној локацији и зато треба приступити само једној бази података за потврду идентитета. Кориснички домен можда мора бити на само једној локацији - на гатеваи серверу. Међутим, можете имплементирати инстанцу контролера домена свог особља за сваку веб локацију ваше компаније. Дакле, можда имате седам контролера домена, пет за домену особља, један за домену корисника и један за домену е-поште.

Можда бисте желели да поделите унутрашњу мрежу на подсекције према канцеларијским функцијама, тако да бисте имали одељак са рачунима и одсек за продају без интероперабилности. То би биле две подређене домене матичног особља особља, творећи стабло.

Један од разлога да се мрежа запослених одвоји од корисничке мреже јесте због безбедности. Потреба за приватношћу на унутрашњем систему може се проширити и на креирање засебног имена домена за ту особље мреже, који не треба да буде познат јавности. Овај потез форсира стварање посебног стабла јер не можете имати различита имена домена укључена у једно стабло. Иако систем е-поште и систем приступа корисницима имају само по један домен, сваки они представљају стабло. Слично томе, ако сте одлучили да направите нову веб локацију са друго име домена, ово се не може спојити у администрацију прве веб локације јер има другачије име домена.

Подела домена особља за стварање подређених домена захтева више контролера домена. Уместо само једног контролера домена по месту за особље, сада имате три по месту, што чини укупно 15 преко пет локација.

Ових 15 контролора домена особља треба копирати и координирати са односом структуре стабла између три изворна домена сачувана на сваком од пет локација. Свака од друга два контролера домена су различита и неће бити део поступка репликације домена особља. На локацији се налазе три стабла и једна шума.

Као што видите из овог релативно једноставног примера, сложеност управљања доменима, дрвећем и шумама може брзо постати неизводљива без свеобухватног алата за надгледање.

Глобал Цаталог

Иако раздвајање ресурса на домене, поддомене и стабла може побољшати сигурност, то не елиминише аутоматски видљивост ресурса у мрежи. Систем зван Глобал Цаталог (ГЦ) наводи све ресурсе у шуми и пресликава се на све контролере домена који су чланови те шуме.

Протокол који подржава ГЦ назива се „транзитивна хијерархија поверења.„То значи да се сматра да су сви елементи система добри и да нису штетни за безбедност мреже у целини. Стога се може вјеровати да се записима о аутентификацији унесеним у једном домену може приступити ресору који је регистриран на другом домену.

Корисници који имају дозволе за ресурсе на једном домену не добијају аутоматски приступ свим ресурсима, чак ни унутар истог домена. ГЦ функција која ресурсе чини видљивима све не значи да сви корисници могу приступити свим ресурсима у свим доменима исте шуме. Све што ГЦ наводи је назив свих објеката у шуми. Чланови других домена не могу да питају чак ни атрибуте тих објеката на другим стаблима и доменама.

Више шума

Шума није само опис свих стабала којима управља иста административна група, постоје заједнички елементи за све домене који се одржавају на нивоу шуме. Ове заједничке карактеристике су описане као „шема.Шема садржи дизајн шуме и свих база података контролера домене унутар ње. То има обједињујући ефекат, који се изражава у заједничком ГЦ-у који се реплицира на све контролере унутар исте шуме.

Постоје неки сценарији у којима ћете се можда морати придржавати више од једне шуме за ваше пословање. Због ГЦ-а, ако постоје ресурси које желите да сачувате у потпуности тајном од чланова домена, морали бисте да направите засебну шуму за њих.

Други разлог због којег ћете можда требати да поставите засебну шуму је ако инсталирате софтвер за управљање АД-ом. Могло би бити добра идеја да направите копију песковника вашег АД система како бисте испробали конфигурацију новог софтвера пре него што га пустите да се олабави на вашем систему уживо.

Ако ваша компанија купи друго предузеће које већ има Ацтиве Дирецтори на својој мрежи, суочићете се са бројним опцијама. Начин на који се ваше пословање бави новом компанијом диктират ће начин на који управљате мрежом те нове дивизије. Ако ће посао нове компаније преузети ваша организација, а име и идентитет те компаније биће у пензији, тада мораћете да пребаците све кориснике и ресурсе стеченог пословања на ваше постојеће домене, дрвеће и шуме.

Ако ће стечена компанија наставити да тргује под својим постојећим именом наставља се са својим тренутним именима домена, који се не могу интегрисати у ваше постојеће домене и стабла. Дрвеће ове нове поделе могли бисте да пристанете у постојећу шуму. Међутим, једноставнија метода је да се та стечена мрежа остави таква каква јесте и повеже шуме. Могуће је да створити прелазни ауторитет поверења између две независне шуме. Та се акција мора извести ручно и проширит ће доступност и видљивост ресурса тако да се ефективно спајају двије шуме на логичном нивоу. Обе шуме и даље можете одржавати одвојено, а та веза поверења ће се побринути за међусобну доступност.

Услуге федерације активног директорија

Ацтиве Дирецтори покреће бројне услуге које потврдите различите аспекте вашег система или помоћи кохезији између домена. Један пример услуге је Сервис сертификата Ацтиве Дирецтори (АД ЦС) који контролише цертификате јавних кључева за системе шифровања, као што је безбедност транспортног слоја. Услуга која је релевантна за домене и шуме је Услуге федерације активног директорија (АД ФС).

АД ФС је систем јединственог пријављивања, који проширује аутентификацију ваше мреже на услуге које покрећу друге организације. Примери система који могу бити обухваћени овом услугом су уређаји Гоогле Г-Суите и Оффице 365.

Тхе систем јединствене пријаве размјењује токене за провјеру аутентичности између ваше имплементације АД-а и удаљене услуге тако да након што се корисници пријаве у вашу мрежу неће се морати поновно пријављивати на удаљену ССО услугу.

Управљање АД шумама и доменима

Релативно једноставна структура Ацтиве Дирецтори-а може брзо постати неизводљива када започнете стварање поддомена и више шума.

Обично, боље је грешити што има што мање домена. Иако раздвајање ресурса у различите домене и поддомене има сигурносне предности, повећана сложеност архитектуре више инстанци може отежати праћење упада.

Ако започињете нову имплементацију Ацтиве Дирецтори-а од почетка, препоручује се да започните с једним доменом у једном стаблу, све садржана у једној шуми. Изаберите алатку за управљање АД-ом која ће вам помоћи у инсталацији. Након што постанете вешти у управљању доменом одабраним алатом, можете размотрити поделу вашег домена на поддомене и такође додати на више стабала или чак шума.

Најбољи алати за управљање активним директоријумом

Не покушавајте да управљате системом за потврду идентитета без помоћних алата. Врло брзо ћете се савладати ако покушате без специјалних алата. срећом, многи алати за управљање и надгледање Ацтиве Дирецтори-а су бесплатни, тако да немате проблем да вас буџет успорава од испробавања.

Тренутно на тржишту постоји много АД алата, тако да ћете крај времена потрошити на процјену софтвера ако покушате да их прегледате. Само одабир првог алата који се појављује на страници са резултатима претраживача такође је грешка. Да бисте олакшали потрагу, Саставили смо листу препоручених алата за АД.

Повезано: Више о овим опцијама можете прочитати у наредним одељцима овог водича. За даљу листу АД софтвера, погледајте 12 најбољих активних директорија и софтвера.

1. СоларВиндс Манагер за права приступа (БЕСПЛАТНО ИСПИТИВАЊЕ)

СоларВиндс Манагер за права приступа

Тхе врх алата за линију за управљање АД-ом је СоларВиндс Манагер за права приступа. Овај алат се инсталира на све верзије система Виндовс Сервер. Овај алат за управљање активним директоријумом може надгледати АД имплементације за које делује СхареПоинт, Екцханге Сервер, и Виндовс Филе Схаре као и општи приступ оперативном систему.

Овај алат укључује пуно аутоматизације која вам може помоћи да испуните стандардне задатке уз мало напора. Ова категорија задатака обухвата креирање корисника а постоји такође портал за самопослуживање како би се постојећим корисницима омогућило да мењају сопствене лозинке.

Аццесс Ригхтс Манагер преко сата прати активност корисника и приступ ресурсима систем за евидентирање. То вам омогућава да откријете било какву упадицу, чак и ако се деси изван радног времена или кад сте изван радног стола.

Услужни програм такође има функција анализе што вам може помоћи да одлучите како да оптимизирате имплементацију свог АД-а. Управитељ права приступа ће истакнути неактивне налоге и помоћи вам да уредите контролере домена вађењем напуштених корисничких налога.

Алат за пријављивање у Менаџеру права приступа усклађује се са захтевима тела за сигурност података, тако да можете да примените правила и покажете усаглашеност преко овог помоћника за АД..

Можете добити 30-дневно бесплатно пробно раздобље Управитеља права приступа. Смањена верзија алата доступна је бесплатно. То се назива СоларВиндс анализатор дозвола за Ацтиве Дирецтори.

СоларВиндс Манагер за права приступа преузми 30-дневну БЕСПЛАТНУ пробну верзију

СоларВиндс анализатор дозвола за Ацтиве ДирецториДовнлоад 100% БЕСПЛАТНИ алат

2. СоларВиндс Админ пакет за Ацтиве Дирецтори (БЕСПЛАТНИ АЛАТ)

СоларВиндс Админ Бундле

СоларВиндс производи још једну опцију за праћење Ацтиве Дирецтори-а са њиховом Админ пакет за Ацтиве Дирецтори. Овај пакет алата укључује:

  • Алат за уклањање неактивних корисничких налога
  • Неактиван алат за уклањање рачунарских рачуна
  • Алат за увоз корисника

Алат за увоз корисника вам омогућава да то учините креирати групне корисничке налоге из ЦСВ датотеке. У томе вам помаже услужни програм за уклањање неактивних корисничких налога препознати и затворити неискориштене корисничке налоге. Помоћу алата за уклањање неактивног рачунарског рачуна можете идентифицирати неисправне записе уређаја у контролерима домена Ацтиве Дирецтори. Ово бесплатан алат сноп ради даље Виндовс Сервер.

СоларВиндс Админ пакет за Ацтиве ДирецториДовнлоад 100% БЕСПЛАТНО Пакет алата

3. МанагеЕнгине АДМанагер Плус (БЕСПЛАТНО ИСПИТИВАЊЕ)

МанагеЕнгине АДМанагер Плус

МанагеЕнгине производи системе за надгледање ресурса и овај свеобухватни алат за управљање АД-ом је написан према високом стандарду компаније. Можете управљати имплементацијама Ацтиве Дирецтори-а за управљање дозволама за Оффице 365, Г-Суите, Размена, и Скипе као и ваша права на приступ мрежи.

АДМанагер Плус има интерфејс базиран на мрежи, тако да може да се покреће на било ком оперативном систему. Можете да креирате, мењате и уклањате објекте из контролера вашег домена, укључујући масовне акције. Алат прати употребу налога тако да можете уочити мртве налоге и велики број алата за управљање АД-ом може се аутоматизовати преко услужног програма.

Функција ревизије и извештавања АДМанагер Плус вам помаже да покажете усаглашеност са СОКС и ХИПАА и други стандарди безбедности података.

Овај систем је доступан у издањима Стандард и Профессионал. Можете добити 30-дневно бесплатно пробно коришћење овог алата. Ако одлучите да не купујете након истека пробног периода, софтвер и даље ради као ограничена, бесплатна верзија.

МанагеЕнгине АДМанагер ПлусДовнлоад 30-дневна БЕСПЛАТНА пробна верзија

4. Паесслер Ацтиве Дирецтори Мониторинг помоћу ПРТГ (БЕСПЛАТНО ИСПИТИВАЊЕ)

ПРТГ Ацтиве Дирецтори

Паесслеров ПРТГ је сноп алата, од којих се сваки назива „сензор.„Помоћни програм укључује сензоре Ацтиве Дирецтори који вам помажу да надгледате имплементацију АД-а. ПРТГ ради Виндовс Сервер и можете користите га бесплатно ако активирате само 100 сензора. Цена плаћеног алата зависи од тога колико сензора активирате.

АД сензори у ПРТГ прате систем репликације Ацтиве Дирецтори-а. Ово осигурава копирање комплетне базе података у све верзије контролера домена које се налазе око ваше мреже. Алат такође бележи корисничку активност да би вам помогао да откријете неактивне корисничке налоге. Можете добити 30-дневно бесплатно пробно читаво систем са неограниченим сензорима.

Паесслер Ацтиве Дирецтори Мониторинг ПРТГПреузми 30-дневну БЕСПЛАТНУ пробну верзију

5. Мицрософт Ацтиве Дирецтори Топологи Диаграммер

Мицрософт Ацтиве Дирецтори Топологи Диаграммер

Мицрософт-ов алат за мапирање је заиста користан бесплатни помоћник када управљате сложеном имплементацијом АД-а. То ствара мапу у Висио који показује однос између свих ваших домена, дрвећа и шума. Нажалост, најновија верзија оперативног система Виндовс на коју се може инсталирати јесте виндовс 7 и најновију верзију Виндовс Сервер који може покренути алат је Виндовс Сервер 2008 Р2. За употребу овог алата такође морате имати инсталиран Висио.

Ацтиве Дирецтори манагемент

Сада када разумете основе конфигурација Ацтиве Дирецтори-а, требало би да размислите о употреби алата који ће вам помоћи да управљате својом имплементацијом. Надамо се да нас је наш водич поставио на пут ка ефикаснијем вођењу АД-а.

Да ли користите било који алат за управљање Ацтиве Дирецториом? Користите ли неки од алата на нашој листи? Оставите поруку у Коментари одељак испод да бисте поделили своје искуство са заједницом.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 82 = 92

Adblock
detector