คำแนะนำเกี่ยวกับฟอเรสต์และโดเมนของ Active Directory

Active Directory เป็นองค์ประกอบสำคัญในวิธีการตรวจสอบสิทธิ์สำหรับผู้ใช้ในระบบ Microsoft นอกจากนี้ยังจัดการการตรวจสอบความถูกต้องของคอมพิวเตอร์และอุปกรณ์ที่เชื่อมต่อกับเครือข่ายและสามารถปรับใช้เป็นส่วนหนึ่งของระบบการอนุญาตไฟล์.

Microsoft พึ่งพาระบบ Active Directory มากขึ้นเพื่อให้การจัดการบัญชีผู้ใช้สำหรับผลิตภัณฑ์ต่างๆ ตัวอย่างเช่น, โฆษณาเป็นหัวใจสำคัญของวิธีการรับรองความถูกต้องของผู้ใช้สำหรับ Exchange Server.

เราได้รับรายละเอียดมากมายเกี่ยวกับเครื่องมือที่เราแสดงด้านล่าง แต่ถ้าคุณมีเวลาสำหรับการสรุปนี่คือรายการของเราทั้งห้า เครื่องมือที่ดีที่สุดสำหรับการจัดการฟอเรสต์และโดเมน Active Directory:

1. ผู้จัดการสิทธิ์การเข้าถึง SolarWinds (ทดลองใช้ฟรี) ควบคุมการใช้งานโฆษณาสำหรับ Windows, SharePoint, Exchange Server และ Windows File Share.
2. SolarWinds Admin Bundle สำหรับ Active Directory (เครื่องมือฟรี) เครื่องมือฟรีสามตัวที่จะช่วยคุณจัดการสิทธิ์การเข้าถึงในโฆษณา.
3. ManageEngine ADManager Plus (ทดลองใช้ฟรี) ส่วนหน้าที่น่าดึงดูดใจของ Active Directory ที่จะจัดการสิทธิ์การเข้าถึง Office 365, G-Suite, Exchange และ Skype รวมถึงสิทธิ์การเข้าถึงยูทิลิตี้มาตรฐานของ Windows.
4. การตรวจสอบไดเรกทอรีที่ใช้งานอยู่ Paessler ด้วย PRTG เครื่องมือตรวจสอบระบบสามในหนึ่งเดียวที่ครอบคลุมเครือข่ายเซิร์ฟเวอร์และแอปพลิเคชัน รวมถึงการตรวจสอบโฆษณาเพื่อจัดการการจำลองแบบโฆษณา.
5. ไดอะแกรมทอพอโลยีของ Microsoft Active Directory เครื่องมือฟรีที่ยอดเยี่ยมที่สร้างเลย์เอาต์ของโครงสร้างโฆษณาของคุณสำหรับการตีความผ่าน Visio.

โดเมนต้นไม้และป่าไม้

แนวคิดของโดเมนเป็นที่เข้าใจกันโดยชุมชนเครือข่าย เว็บไซต์คือโดเมนและถูกระบุบนชื่อโดเมนด้วย World Wide Web การใช้คำศัพท์อื่นคือการระบุที่อยู่บนเครือข่ายที่คอมพิวเตอร์ทุกเครื่องอยู่ในพื้นที่ที่อยู่เดียวกันหรือ ‘ขอบเขต.’

ในคำศัพท์ Active Directory โดเมนคือพื้นที่ของเครือข่ายที่ครอบคลุมโดยฐานข้อมูลการพิสูจน์ตัวตนเดียว ที่เก็บของฐานข้อมูลนั้นเรียกว่า ตัวควบคุมโดเมน.

ทุกคนรู้ว่าป่าอยู่ในโลกแห่งความจริง – เป็นพื้นที่ที่ปกคลุมด้วยต้นไม้ ดังนั้นต้นไม้ใน Active Directory จะอยู่ที่ไหน?

สามารถเชื่อมโยงหลายโดเมนเข้าด้วยกันได้ โครงสร้างต้นไม้. ดังนั้นคุณสามารถมี โดเมนหลัก กับ โดเมนย่อย เชื่อมโยงกับมัน โดเมนลูกสืบทอดพื้นที่ที่อยู่ของผู้ปกครองเพื่อให้เด็กเป็นโดเมนย่อย ด้านบนของโครงสร้างต้นไม้คือ รูทโดเมน. กลุ่มผู้ปกครองและความสัมพันธ์ของเด็กเป็นกลุ่มของต้นไม้ เด็กไปยังโดเมนหนึ่งยังสามารถเป็นผู้ปกครองไปยังโดเมนอื่น ๆ.

ดังนั้นคิดว่ากลุ่มของโดเมนที่ใช้ที่อยู่โดเมนรากเดียวกันกับต้นไม้ เมื่อคุณเห็นต้นไม้คุณสามารถหาว่าป่าคืออะไร: มันคือชุดของต้นไม้.

การกระจายและการจำลองแบบ

แนวคิดของป่าไม้มีความซับซ้อนเล็กน้อยโดยความจริงที่ว่ามันเป็นชุดของต้นไม้ที่ไม่ซ้ำกัน บนเครือข่ายขนาดใหญ่มันเป็นเรื่องธรรมดา ทำซ้ำตัวควบคุมโดเมน และมีสำเนาหลายชุดบนเซิร์ฟเวอร์ที่แตกต่างกันรอบระบบ – ซึ่งจะเพิ่มความเร็วในการเข้าถึง.

หากคุณใช้งาน WAN แบบหลายไซต์คุณต้องการมีระบบการเข้าถึงเครือข่ายร่วมกันสำหรับทั้งองค์กร ตำแหน่งของตัวควบคุมโดเมนสามารถมี ผลกระทบร้ายแรงต่อประสิทธิภาพ, กับผู้ใช้ที่สถานที่ห่างไกลต้องรออีกต่อไปเพื่อเข้าสู่เครือข่าย มีสำเนาของตัวควบคุมโดเมนในเครื่องได้รับปัญหานี้.

เมื่อคุณมีตัวควบคุมโดเมนเดียวกันหลายชุดในสถานที่ต่างกันคุณจะไม่มีฟอเรสต์.

โมดูลการบริหารส่วนกลางของ Active Directory ต้องประสานงานสำเนาทั้งหมด เพื่อให้แน่ใจว่าฐานข้อมูลทั้งหมดนั้นเหมือนกันทุกประการ สิ่งนี้ต้องการกระบวนการจำลองแบบ แม้ว่าฐานข้อมูลการอนุญาตของ Active Directory จะกระจายไปทั่วเครือข่าย แต่ไม่ใช่สิ่งที่ถือว่าเป็นทางการในฐานะ officiallyฐานข้อมูลแบบกระจาย.’ในฐานข้อมูลแบบกระจายการรวบรวมระเบียนจะแบ่งระหว่างเซิร์ฟเวอร์หลายเครื่อง ดังนั้นคุณจะต้องไปที่เซิร์ฟเวอร์แต่ละเครื่องเพื่อรวบรวมฐานข้อมูลแบบเต็ม นี่ไม่ใช่กรณีของ Active Directory เนื่องจากแต่ละเซิร์ฟเวอร์ (ตัวควบคุมโดเมน) มี สำเนาที่ถูกต้องและครบถ้วนของฐานข้อมูล.

ประโยชน์ของการจำลองแบบ

ตัวควบคุมโดเมนที่จำลองแบบมีหลาย สิทธิประโยชน์เพิ่มเติมสำหรับความปลอดภัย. ถ้าตัวควบคุมโดเมนหนึ่งได้รับความเสียหายโดยไม่ตั้งใจคุณสามารถแทนที่ระเบียนเดิมทั้งหมดโดยการคัดลอกไปยังฐานข้อมูลจากไซต์อื่น หากแฮ็กเกอร์ได้รับข้อมูลประจำตัวจากผู้ใช้หนึ่งรายในเครือข่ายเขาอาจพยายามแก้ไขการอนุญาตที่เก็บไว้ในตัวควบคุมโดเมนท้องถิ่นเพื่อรับสิทธิ์สูงหรือการเข้าถึงทรัพยากรในเครือข่ายที่กว้างขึ้น การเปลี่ยนแปลงเหล่านั้นสามารถย้อนกลับได้เมื่อพบ.

การเปรียบเทียบค่าคงที่ในฐานข้อมูลตัวควบคุมโดเมนให้มาตรการความปลอดภัยที่สำคัญ กระบวนการจำลองแบบสามารถช่วยคุณได้ ปิดบัญชีที่ถูกบุกรุก ทั้งหมดในระบบ อย่างไรก็ตามการคืนค่าฐานข้อมูลดั้งเดิมและการเปิดใช้งานเรกคอร์ดที่ปรับปรุงจำเป็นต้องมีการเรตติ้งและการตรวจสอบความสมบูรณ์ของระบบเป็นประจำเพื่อให้มีประสิทธิภาพ.

การจัดการการจำลองแบบเป็นงานสำคัญสำหรับผู้จัดการเครือข่ายที่ดำเนินการ Active Directory ความจริงที่ว่าสามารถมีตัวควบคุมโดเมนท้องถิ่นมากมาย สามารถเปิดโอกาสให้ผู้บุกรุกแอบเข้าไปในส่วนของเครือข่ายและขโมยหรือแก้ไขข้อมูลได้ ก่อนที่จะถูกตรวจจับและล็อค การประสานงานระหว่างสำเนาของตัวควบคุมโดเมนในไม่ช้าอาจกลายเป็นงานที่ซับซ้อนและใช้เวลานาน. ไม่สามารถดำเนินการด้วยตนเองภายในระยะเวลาที่เหมาะสม. คุณต้องใช้วิธีการอัตโนมัติเพื่อตรวจสอบตัวควบคุมโดเมนทั้งหมดเป็นประจำและอัพเดทเซิร์ฟเวอร์ทั้งหมดเมื่อมีการเปลี่ยนแปลงสิทธิ์ที่พวกเขามี.

การกำหนดป่า

เพื่อให้มีฟอเรสต์คุณจะต้องมีโดเมนเนมหลายต้น สถานการณ์นี้อาจมีอยู่หากคุณต้องการ สิทธิ์ที่แตกต่างกันสำหรับพื้นที่ที่แตกต่างกันของเครือข่ายของคุณ. ดังนั้นคุณอาจมีโดเมนแยกต่างหากต่อไซต์หรือคุณอาจต้องการเก็บสิทธิ์สำหรับทรัพยากรหรือบริการบางอย่างในเครือข่ายของคุณแยกจากระบบรับรองความถูกต้องเครือข่ายปกติอย่างสมบูรณ์ ดังนั้นโดเมนสามารถทับซ้อนกันในทางภูมิศาสตร์.

เครือข่าย บริษัท ของคุณอาจมี ตัวควบคุมโดเมนจำนวนมาก และบางคนก็จะมีฐานข้อมูลเดียวกันในขณะที่คนอื่นมีสิทธิ์ที่แตกต่างกัน.

ลองนึกภาพ บริษัท ของคุณให้บริการสำหรับผู้ใช้ในเครือข่ายของตัวเองและต้องการ แยกสิทธิ์เหล่านั้นออกจากกัน จากทรัพยากรที่พนักงานเข้าถึงได้ มันจะสร้างสองโดเมนแยกกัน หากคุณใช้ Exchange Server สำหรับระบบอีเมล บริษัท ของคุณคุณจะมีโดเมนโฆษณาอื่น.

แม้ว่าระบบอีเมลพนักงานอาจมีชื่อโดเมนเหมือนกันกับเว็บไซต์ แต่คุณไม่จำเป็นต้องเก็บโดเมนทั้งหมดที่มีรูทโดเมนเดียวกันไว้ในแผนผังเดียวกัน ดังนั้นระบบอีเมลสามารถมีแผนผังโดเมนเดียวและเครือข่ายผู้ใช้สามารถมีแผนผังต้นไม้แยกต่างหาก ดังนั้นในสถานการณ์นี้คุณกำลังจัดการกับสามโดเมนที่แยกกันซึ่งสร้างฟอเรสต์.

โดเมน Exchange อาจมีเพียงหนึ่งโดเมนคอนโทรลเลอร์เนื่องจากเซิร์ฟเวอร์จริงสำหรับระบบอีเมลนั้นมีถิ่นที่อยู่ในที่เดียวเท่านั้นดังนั้นจึงจำเป็นต้องเข้าถึงฐานข้อมูลการพิสูจน์ตัวตนเดียวเท่านั้น โดเมนผู้ใช้อาจต้องอยู่ในที่เดียวเท่านั้น – บนเซิร์ฟเวอร์เกตเวย์ อย่างไรก็ตาม, คุณสามารถใช้อินสแตนซ์ของตัวควบคุมโดเมนพนักงานของคุณสำหรับแต่ละไซต์ของ บริษัท ของคุณ. ดังนั้นคุณอาจมีตัวควบคุมโดเมนเจ็ดตัวห้าตัวสำหรับโดเมนพนักงานหนึ่งตัวสำหรับโดเมนผู้ใช้และอีกหนึ่งตัวสำหรับโดเมนอีเมล.

คุณอาจต้องการแบ่งเครือข่ายภายในออกเป็นส่วนย่อยตามฟังก์ชันสำนักงานดังนั้นคุณจะมีส่วนบัญชีและส่วนการขายที่ไม่มีการทำงานร่วมกัน สิ่งเหล่านี้จะเป็นโดเมนย่อยสองโดเมนของโดเมนหลักสำหรับพนักงาน.

เหตุผลหนึ่งที่ทำให้เครือข่ายพนักงานแยกจากเครือข่ายผู้ใช้นั้นเพื่อความปลอดภัย ความต้องการความเป็นส่วนตัวในระบบภายในอาจเพิ่มขึ้นถึง การสร้างชื่อโดเมนแยกต่างหากสำหรับเครือข่ายพนักงานนั้น, ซึ่งไม่จำเป็นต้องเปิดเผยต่อสาธารณชน การย้ายนี้บังคับให้สร้างทรีแยกต่างหากเนื่องจากคุณไม่สามารถมีชื่อโดเมนต่าง ๆ รวมอยู่ในทรีเดียว แม้ว่าระบบอีเมลและระบบการเข้าถึงของผู้ใช้จะมีเพียงโดเมนเดียวเท่านั้น แต่ก็ยังมีต้นไม้อยู่ด้วย ในทำนองเดียวกันหากคุณตัดสินใจที่จะสร้างเว็บไซต์ใหม่ด้วย ชื่อโดเมนอื่น, สิ่งนี้ไม่สามารถผสานเข้ากับการบริหารไซต์แรกได้เนื่องจากมีชื่อโดเมนที่ต่างกัน.

การแยกโดเมนพนักงานเพื่อสร้างโดเมนลูกต้องใช้ตัวควบคุมโดเมนเพิ่มเติม แทนที่จะเป็นเพียงหนึ่งโดเมนคอนโทรลเลอร์ต่อไซต์สำหรับเครือข่ายพนักงานตอนนี้คุณมีสามต่อไซต์ทำให้มีทั้งหมด 15 เว็บไซต์ห้า.

คอนโทรลเลอร์โดเมนพนักงานทั้ง 15 คนนั้นจะต้องทำซ้ำและประสานงานกับความสัมพันธ์โครงสร้างต้นไม้ระหว่างสามโดเมนดั้งเดิมที่เก็บรักษาไว้ในแต่ละไซต์ทั้งห้า ตัวควบคุมโดเมนอื่นอีกสองรายการนั้นแตกต่างกันและ จะไม่เป็นส่วนหนึ่งของขั้นตอนการจำลองแบบ ของโดเมนพนักงาน เว็บไซต์มีต้นไม้สามต้นและป่าหนึ่ง.

อย่างที่คุณเห็นจากตัวอย่างง่ายๆนี้ความซับซ้อนของการจัดการโดเมนต้นไม้และป่าไม้สามารถจัดการได้อย่างรวดเร็วโดยไม่ต้องใช้เครื่องมือตรวจสอบที่ครอบคลุม.

แคตตาล็อกทั่วโลก

แม้ว่าการแยกทรัพยากรออกเป็นโดเมนโดเมนย่อยและต้นไม้สามารถเพิ่มความปลอดภัยได้ แต่ก็ไม่ได้ช่วยลดการมองเห็นทรัพยากรในเครือข่ายโดยอัตโนมัติ ระบบที่เรียกว่า แคตตาล็อกทั่วโลก (GC) แสดงรายการทรัพยากรทั้งหมดในฟอเรสต์และจะถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดที่เป็นสมาชิกของฟอเรสต์นั้น.

โปรโตคอลที่อยู่ภายใต้ GC เรียกว่า GCลำดับชั้นความน่าเชื่อถือสกรรมกริยา.’ซึ่งหมายความว่าองค์ประกอบทั้งหมดของระบบนั้นถือว่ามีความน่าเชื่อถือและไม่เป็นอันตรายต่อความปลอดภัยของเครือข่ายโดยรวม ดังนั้นระเบียนการรับรองความถูกต้องที่ป้อนในโดเมนหนึ่งสามารถเชื่อถือได้เพื่อให้สิทธิ์การเข้าถึงทรัพยากรที่ลงทะเบียนในโดเมนอื่น.

ผู้ใช้ที่ได้รับอนุญาตให้ใช้ทรัพยากรในโดเมนเดียวจะไม่สามารถเข้าถึงทรัพยากรทั้งหมดโดยอัตโนมัติแม้จะอยู่ในโดเมนเดียวกัน คุณสมบัติ GC ที่ทำให้มองเห็นทรัพยากรได้ ทั้งหมดไม่ได้หมายความว่าผู้ใช้ทุกคนสามารถเข้าถึงทรัพยากรทั้งหมดในโดเมนทั้งหมดของฟอเรสต์เดียวกัน. รายการ GC ทั้งหมดนั้นเป็นชื่อของวัตถุทั้งหมดในฟอเรสต์ เป็นไปไม่ได้ที่สมาชิกของโดเมนอื่นจะสืบค้นแม้คุณสมบัติของวัตถุเหล่านั้นในต้นไม้และโดเมนอื่น.

หลายป่า

ฟอเรสต์ไม่ได้เป็นเพียงคำอธิบายของทรีทั้งหมดที่ดำเนินการโดยกลุ่มการบริหารเดียวกันมีองค์ประกอบทั่วไปสำหรับโดเมนทั้งหมดที่อยู่ในระดับฟอเรสต์ คุณสมบัติทั่วไปเหล่านี้อธิบายว่าเป็น ‘สคี.’schema มีการออกแบบของฟอเรสต์และฐานข้อมูลตัวควบคุมโดเมนทั้งหมดที่อยู่ภายใน สิ่งนี้มีเอฟเฟกต์รวมซึ่งแสดงใน GC ทั่วไปที่จำลองแบบไปยังตัวควบคุมทั้งหมดภายในฟอเรสต์เดียวกัน.

มีบางสถานการณ์ที่คุณอาจต้องบำรุงรักษา มากกว่าหนึ่งป่า สำหรับธุรกิจของคุณ เนื่องจาก GC หากมีทรัพยากรที่คุณต้องการเก็บเป็นความลับอย่างสมบูรณ์จากสมาชิกของโดเมนคุณจะต้องสร้างฟอเรสต์แยกต่างหากสำหรับพวกเขา.

อีกเหตุผลที่คุณอาจต้องตั้งค่าฟอเรสต์แยกต่างหากคือถ้าคุณกำลังติดตั้งซอฟต์แวร์การจัดการโฆษณา เป็นความคิดที่ดีที่จะสร้างสำเนา sandbox ของระบบโฆษณาของคุณเพื่อลองกำหนดค่าซอฟต์แวร์ใหม่ของคุณก่อนที่จะปล่อยให้มันหลวมในระบบของคุณ.

หาก บริษัท ของคุณได้รับธุรกิจอื่นที่ใช้งาน Active Directory บนเครือข่ายแล้วคุณจะพบกับตัวเลือกมากมาย วิธีที่ธุรกิจของคุณตกลงกับ บริษัท ใหม่จะกำหนดวิธีการใช้งานเครือข่ายของแผนกใหม่นั้น หากธุรกิจของ บริษัท ใหม่จะถูกยึดครองโดยองค์กรของคุณและชื่อและตัวตนของ บริษัท นั้นจะถูกยกเลิก คุณจะต้องโยกย้ายผู้ใช้และทรัพยากรทั้งหมดของธุรกิจที่ได้รับไปยังโดเมนต้นไม้และป่าที่มีอยู่ของคุณ.

หาก บริษัท ที่ได้มาจะดำเนินการซื้อขายภายใต้ชื่อเดิม มันจะดำเนินการต่อด้วยชื่อโดเมนปัจจุบัน, ซึ่งไม่สามารถรวมเข้ากับโดเมนและต้นไม้ที่มีอยู่ของคุณ คุณสามารถย้ายต้นไม้ของแผนกใหม่นี้ไปยังป่าที่มีอยู่ของคุณ อย่างไรก็ตามวิธีที่ง่ายกว่าคือการออกจากเครือข่ายที่ได้มาตามที่มันเป็นและเชื่อมโยงเข้าด้วยกันในฟอเรสต์ เป็นไปได้ที่จะ สร้างผู้มีอำนาจไว้วางใจสกรรมกริยาระหว่างสองป่าอิสระ. การกระทำนี้จะต้องดำเนินการด้วยตนเองและจะขยายการเข้าถึงและการมองเห็นของทรัพยากรเพื่อให้มีประสิทธิภาพทั้งสองป่าไม้ผสานในระดับตรรกะ คุณยังสามารถรักษาป่าสองแห่งแยกจากกันและลิงก์ที่ไว้วางใจจะดูแลการเข้าถึงซึ่งกันและกันสำหรับคุณ.

บริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่

ไดเรกทอรีที่ใช้งานอยู่เรียกใช้บริการต่าง ๆ ที่ ตรวจสอบด้านต่าง ๆ ของระบบของคุณ หรือช่วยประสานงานระหว่างโดเมน ตัวอย่างหนึ่งของบริการคือ บริการออกใบรับรอง Active Directory (AD CS) ซึ่งควบคุมใบรับรองกุญแจสาธารณะสำหรับระบบเข้ารหัสเช่น Transport Layer Security บริการที่เกี่ยวข้องกับโดเมนและฟอเรสต์คือ บริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS).

AD FS เป็นระบบการลงชื่อเพียงครั้งเดียวซึ่งขยายการรับรองความถูกต้องของเครือข่ายของคุณออกไปยังบริการที่ดำเนินการโดยองค์กรอื่น ๆ ตัวอย่างของระบบที่สามารถรวมอยู่ในบริการนี้คือสิ่งอำนวยความสะดวกของ Google G-Suite และ Office 365.

ระบบการลงชื่อเพียงครั้งเดียว แลกเปลี่ยนโทเค็นการตรวจสอบความถูกต้องระหว่างการใช้งานโฆษณาของคุณและบริการระยะไกลดังนั้นเมื่อผู้ใช้ลงชื่อเข้าใช้เครือข่ายของคุณพวกเขาไม่จำเป็นต้องลงชื่อเข้าใช้อีกครั้งไปยังบริการระยะไกล SSO ที่เข้าร่วม.

การจัดการฟอเรสต์ AD และโดเมน

โครงสร้างที่ค่อนข้างตรงไปตรงมาสำหรับ Active Directory อาจไม่สามารถจัดการได้อย่างรวดเร็วเมื่อคุณเริ่มสร้างโดเมนย่อยและหลายฟอเรสต์.

โดยทั่วไป, มันเป็นการดีที่จะเข้าใจผิดว่ามีโดเมนน้อยที่สุด. แม้ว่าการแยกทรัพยากรออกเป็นโดเมนและโดเมนย่อยต่างกันจะมีประโยชน์ด้านความปลอดภัย แต่ความซับซ้อนที่เพิ่มขึ้นของสถาปัตยกรรมแบบหลายอินสแตนซ์สามารถทำให้การติดตามการบุกรุกเป็นไปได้ยาก.

หากคุณเริ่มต้นการใช้งาน Active Directory ใหม่ตั้งแต่เริ่มต้นขอแนะนำให้คุณ เริ่มต้นด้วยหนึ่งโดเมนในหนึ่งต้น, ทั้งหมดอยู่ในป่าเดียว เลือกเครื่องมือการจัดการโฆษณาเพื่อช่วยคุณในการติดตั้ง เมื่อคุณมีความเชี่ยวชาญในการจัดการโดเมนด้วยเครื่องมือที่คุณเลือกคุณสามารถพิจารณาแยกโดเมนของคุณออกเป็นโดเมนย่อยและเพิ่มบนต้นไม้หรือป่า.

เครื่องมือการจัดการ Active Directory ที่ดีที่สุด

อย่าพยายามจัดการระบบการตรวจสอบสิทธิ์ของคุณโดยไม่ต้องใช้เครื่องมือช่วย คุณจะถูกครอบงำอย่างรวดเร็วหากคุณพยายามทำโดยไม่มีเครื่องมือเฉพาะทาง โชคดี, เครื่องมือการจัดการและการตรวจสอบ Active Directory จำนวนมากนั้นฟรี, ดังนั้นคุณจะไม่มีปัญหาเรื่องงบประมาณที่ทำให้คุณไม่ต้องลองใช้.

ขณะนี้มีเครื่องมือโฆษณาจำนวนมากในตลาดดังนั้นคุณจะต้องใช้เวลามากในการประเมินซอฟต์แวร์หากคุณพยายามดูตัวอย่างทั้งหมด เพียงแค่เลือกเครื่องมือแรกที่ปรากฏในหน้าผลลัพธ์ของเครื่องมือค้นหาก็เป็นความผิดพลาดเช่นกัน เพื่อความสะดวกในการแสวงหาของคุณ, เราได้รวบรวมรายการเครื่องมือที่แนะนำสำหรับ AD.

ที่เกี่ยวข้อง: คุณสามารถอ่านเพิ่มเติมเกี่ยวกับตัวเลือกเหล่านี้ได้ในส่วนถัดไปของคู่มือนี้ สำหรับรายการซอฟต์แวร์ AD ที่ยาวขึ้นให้ตรวจสอบ 12 เครื่องมือและซอฟต์แวร์ Active Directory ที่ดีที่สุด.

1. SolarWinds Access Rights Manager (ทดลองใช้ฟรี)

ด้านบนของเครื่องมือบรรทัด สำหรับการจัดการโฆษณาคือ ผู้จัดการสิทธิ์การเข้าถึง SolarWinds. เครื่องมือนี้ติดตั้งในทุกรุ่น เซิร์ฟเวอร์ Windows. เครื่องมือการจัดการ Active Directory นี้สามารถควบคุมการใช้งานโฆษณาที่ดำเนินการได้ SharePoint, แลกเปลี่ยนเซิร์ฟเวอร์, และ แชร์ไฟล์ Windows เช่นเดียวกับการเข้าถึงระบบปฏิบัติการทั่วไป.

เครื่องมือนี้มีระบบอัตโนมัติจำนวนมากที่สามารถช่วยคุณทำงานให้เสร็จตามมาตรฐานด้วยความพยายามเพียงเล็กน้อย หมวดหมู่ของงานนี้รวมถึง การสร้างผู้ใช้ และยังมี พอร์ทัลบริการตนเอง เพื่อให้ผู้ใช้ที่มีอยู่สามารถเปลี่ยนรหัสผ่านของตนเองได้.

Access Rights Manager ติดตามกิจกรรมของผู้ใช้และการเข้าถึงทรัพยากรตลอดเวลา ระบบบันทึก. สิ่งนี้ช่วยให้คุณค้นพบการบุกรุกใด ๆ แม้ว่าจะเกิดขึ้นนอกเวลาทำการหรือเมื่อคุณไม่อยู่ที่โต๊ะทำงาน.

ยูทิลิตี้ยังมี คุณลักษณะการวิเคราะห์ ที่สามารถช่วยคุณตัดสินใจว่าจะเพิ่มประสิทธิภาพการใช้โฆษณาของคุณอย่างไร ผู้จัดการสิทธิ์การเข้าถึงจะเน้นบัญชีที่ไม่ใช้งานและช่วยให้คุณจัดระเบียบตัวควบคุมโดเมนของคุณโดยกำจัดบัญชีผู้ใช้ที่ถูกทอดทิ้ง.

เครื่องมือการรายงานใน Access Rights Manager ประสานงานกับข้อกำหนดของหน่วยงานมาตรฐานความปลอดภัยของข้อมูลเพื่อให้คุณสามารถบังคับใช้กฎและแสดงการปฏิบัติตามกฎระเบียบผ่านผู้ช่วยโฆษณานี้.

คุณสามารถรับสิทธิ์ทดลองใช้งานฟรี 30 วัน มีเวอร์ชันเครื่องมือตัดให้ใช้ฟรี สิ่งนี้เรียกว่า ตัววิเคราะห์การอนุญาตของ SolarWinds สำหรับ Active Directory.

SolarWinds Access Rights Manager ดาวน์โหลดทดลองใช้ฟรี 30 วัน

ตัววิเคราะห์สิทธิ์ SolarWinds สำหรับ Active Directory ดาวน์โหลดเครื่องมือฟรี 100%

2. SolarWinds Admin Bundle สำหรับ Active Directory (เครื่องมือฟรี)

SolarWinds สร้างตัวเลือกการตรวจสอบ Active Directory อีกหนึ่งตัวเลือก Admin Bundle สำหรับ Active Directory. ชุดเครื่องมือนี้ประกอบด้วย:

• เครื่องมือลบบัญชีผู้ใช้ที่ไม่ใช้งาน
• เครื่องมือลบบัญชีคอมพิวเตอร์ที่ไม่ใช้งาน
• เครื่องมือนำเข้าของผู้ใช้

เครื่องมือนำเข้าของผู้ใช้ช่วยให้คุณสามารถ สร้างบัญชีผู้ใช้เป็นกลุ่ม จากไฟล์ CSV ยูทิลิตี้การลบบัญชีผู้ใช้ที่ไม่ได้ใช้งานช่วยคุณ ระบุและปิดบัญชีผู้ใช้ที่ไม่ได้ใช้. ด้วยเครื่องมือกำจัดบัญชีคอมพิวเตอร์ที่ไม่ใช้งานคุณสามารถทำได้ ระบุบันทึกอุปกรณ์ที่หมดอายุ ในตัวควบคุมโดเมน Active Directory ของคุณ นี้ เครื่องมือฟรี มัดทำงานบน เซิร์ฟเวอร์ Windows.

SolarWinds Admin Bundle สำหรับ Active Directory ดาวน์โหลดชุดเครื่องมือฟรี 100%

3. ManageEngine ADManager Plus (ทดลองใช้ฟรี)

ManageEngine ผลิตระบบการตรวจสอบทรัพยากรและเครื่องมือการจัดการโฆษณาแบบครบวงจรนี้เขียนขึ้นตามมาตรฐานระดับสูงของ บริษัท คุณสามารถจัดการการใช้งาน Active Directory เพื่อจัดการการอนุญาต Office 365, G-Suite, แลกเปลี่ยน, และ Skype เช่นเดียวกับสิทธิ์การเข้าถึงเครือข่ายของคุณ.

ADManager Plus มีอินเตอร์เฟสบนเว็บดังนั้นจึงสามารถทำงานบนระบบปฏิบัติการใดก็ได้ คุณสามารถสร้างแก้ไขและลบวัตถุจากตัวควบคุมโดเมนของคุณรวมถึงการกระทำเป็นกลุ่ม. เครื่องมือตรวจสอบการใช้งานบัญชี เพื่อให้คุณสามารถตรวจพบบัญชีผู้ใช้ที่ตายแล้วและเครื่องมือการจัดการโฆษณาจำนวนหนึ่งสามารถทำงานอัตโนมัติผ่านยูทิลิตี้.

ฟังก์ชันการตรวจสอบและการรายงานของ ADManager Plus ช่วยให้คุณแสดงถึงการปฏิบัติตาม SOX และ HIPAA และมาตรฐานความปลอดภัยข้อมูลอื่น ๆ.

ระบบนี้มีให้ในรุ่น Standard และ Professional คุณสามารถรับเครื่องมือทดลองใช้ฟรี 30 วัน หากคุณตัดสินใจที่จะไม่ซื้อหลังจากสิ้นสุดระยะเวลาทดลองใช้ซอฟต์แวร์จะทำงานเป็นเวอร์ชันฟรีที่ จำกัด.

ManageEngine ADManager Plus ดาวน์โหลดทดลองใช้ฟรี 30 วัน

4. Paessler ตรวจสอบไดเรกทอรีที่ใช้งานด้วย PRTG (ทดลองใช้ฟรี)

PRTG ของ Paessler เป็นชุดเครื่องมือซึ่งแต่ละชุดมีชื่อว่า ‘เซ็นเซอร์.’ยูทิลิตี้นี้มีเซ็นเซอร์ Active Directory ที่จะช่วยคุณตรวจสอบการติดตั้ง AD PRTG ทำงานต่อไป เซิร์ฟเวอร์ Windows และคุณสามารถ ใช้งานได้ฟรี หากคุณเปิดใช้งานเซ็นเซอร์ 100 ตัวเท่านั้น ราคาของเครื่องมือที่จ่ายนั้นขึ้นอยู่กับจำนวนเซ็นเซอร์ที่คุณเปิดใช้งาน.

เซ็นเซอร์โฆษณาใน PRTG ติดตามระบบการจำลองแบบของ Active Directory สิ่งนี้ทำให้มั่นใจได้ว่าฐานข้อมูลที่สมบูรณ์ถูกคัดลอกไปยังตัวควบคุมโดเมนทั้งหมดที่อยู่รอบ ๆ เครือข่ายของคุณ เครื่องมือนี้ยังบันทึกกิจกรรมของผู้ใช้เพื่อช่วยคุณตรวจจับบัญชีผู้ใช้ที่ไม่ได้ใช้งาน คุณสามารถทดลองใช้ระบบเต็มรูปแบบฟรี 30 วันพร้อมเซ็นเซอร์ไม่ จำกัด.

Paessler Active Directory Monitoring PRTG ดาวน์โหลดทดลองใช้ฟรี 30 วัน

5. ไดอะแกรมทอพอโลยีของ Microsoft Active Directory

เครื่องมือการทำแผนที่จาก Microsoft นี้เป็นผู้ช่วยฟรีที่มีประโยชน์จริง ๆ เมื่อคุณกำลังจัดการการใช้งานโฆษณาที่ซับซ้อน มันสร้างแผนที่มา Visio ที่แสดงความสัมพันธ์ระหว่างโดเมนต้นไม้และป่าทั้งหมดของคุณ น่าเสียดายที่ Windows เวอร์ชันล่าสุดที่ติดตั้งได้คือ วินโดว 7 และรุ่นล่าสุดของ เซิร์ฟเวอร์ Windows ที่สามารถเรียกใช้เครื่องมือได้ Windows Server 2008 R2. คุณต้องติดตั้ง Visio เพื่อใช้เครื่องมือนี้.

การจัดการ Active Directory

เมื่อคุณเข้าใจพื้นฐานของการกำหนดค่า Active Directory แล้วคุณควรพิจารณาใช้เครื่องมือเพื่อช่วยคุณจัดการการปรับใช้ หวังว่าคำแนะนำของเราจะช่วยให้คุณดำเนินการโฆษณาได้อย่างมีประสิทธิภาพยิ่งขึ้น.

คุณใช้เครื่องมือใด ๆ ในการจัดการ Active Directory หรือไม่? คุณใช้เครื่องมือใด ๆ ในรายการของเราหรือไม่? ฝากข้อความไว้ใน ความคิดเห็น ส่วนด้านล่างเพื่อแบ่งปันประสบการณ์ของคุณกับชุมชน.