Посібник з лісів та доменів Active Directory

Ліси та домени Active Directory


Active Directory є ключовим елементом методів аутентифікації для користувачів в системах Microsoft. Він також управляє валідацією комп’ютерів і пристроїв, підключених до мережі, а також може бути розгорнуто як частина системи дозволу на файли.

Microsoft все більше покладається на систему Active Directory, щоб забезпечити управління обліковими записами користувачів для ряду своїх продуктів. Наприклад, AD лежить в основі методології аутентифікації користувачів для Exchange Server.

Ми детально розглядаємо інструменти, які ми надаємо нижче, але якщо у вас є лише час для резюме, ось наш список із п’яти найкращі інструменти для управління лісами та доменами Active Directory:

  1. Менеджер прав доступу SolarWinds (БЕЗКОШТОВНА ПРОБЛЕМА) Контролює реалізацію AD для Windows, SharePoint, Exchange Server та Windows File Share.
  2. Пакет адміністраторів SolarWinds для Active Directory (БЕЗКОШТОВНИЙ ІНСТРУМЕНТ) Три безкоштовні інструменти, які допоможуть вам керувати правами доступу в AD.
  3. ManageEngine ADManager Plus (БЕЗКОШТОВНА ПРОБЛЕМА) Привабливий передній край Active Directory, який керуватиме дозволами на Office 365, G-Suite, Exchange та Skype, а також стандартні права доступу до утиліти Windows.
  4. Моніторинг активного каталогу Paessler за допомогою PRTG Інструмент системного моніторингу «три в одному», який охоплює мережі, сервери та програми. Включає монітор AD для управління реплікацією AD.
  5. Діаграма з топології Microsoft Active Directory Приємний безкоштовний інструмент, який генерує макет вашої структури AD для інтерпретації через Visio.

Домени, дерева та ліси

Поняття домену зазвичай розуміється мережевою спільнотою. Веб-сайт – це домен і його ідентифікують у всесвітній павутині за доменним іменем. Інше використання цього терміна полягає в адресації в мережі, де всі комп’ютери знаходяться в одному адресному просторі, або “сфера застосування.”

У термінології Active Directory домен – це область мережі, охоплена однією єдиною базою даних аутентифікації. Зберігання цієї бази даних називається a контролер домену.

Всі знають, що таке ліс у реальному світі – це територія, вкрита деревами. Отже, де є дерева в Active Directory?

Кілька доменів можуть бути пов’язані разом структура дерева. Отже, ви можете мати батьківський домен з дочірні домени пов’язані з нею. Дочірні домени успадковують адресний простір батьків, тому дитина є субдоменом. Верхівка структури дерева – це кореневий домен. Вся група стосунків батьків і дітей формує дерево. Дитина в одному домені також може бути батьком для інших доменів.

Отже, подумайте про групу доменів, які мають ту саму кореневу адресу домену, як і дерево. Як тільки ви побачите дерева, ви зможете розробити, що таке ліс: це колекція дерев.

Поширення та тиражування

Поняття лісу трохи ускладнюється тим, що це колекція унікальних дерев. У великих мережах це звичайна практика копіювати контролер домену і мати кілька копій на різних серверах по всій системі – це прискорює доступ.

Якщо ви використовуєте WAN з кількома сайтами, ви хочете мати загальну систему доступу до мережі для всієї організації. Розташування контролера домену може мати: серйозний вплив на продуктивність, користувачам у віддалених місцях потрібно чекати довше, щоб увійти в мережу. Наявність копій контролера домену локально вирішує цю проблему.

Якщо у вас є кілька копій одного контролера домену в різних місцях, у вас немає лісу.

Центральний модуль адміністрування Active Directory необхідно узгодити всі копії щоб переконатися, що всі бази даних точно однакові. Для цього потрібен процес реплікації. Хоча база даних дозволів Active Directory поширюється по всій мережі, вона офіційно не вважається “розподілена база даних.”У розподіленій базі даних колекція записів розділена між декількома серверами. Отже, вам потрібно буде відвідати кожен сервер, щоб зібрати повну базу даних. Це не так з Active Directory, оскільки кожен сервер (контролер домену) має точна і повна копія бази даних.

Переваги реплікації

Контролера реплікаційного домену є кілька додаткові переваги для безпеки. Якщо один контролер домену випадково пошкоджений, ви можете замінити всі оригінальні записи, скопіювавши базу даних з іншого сайту. Якщо хакер отримує власні облікові дані від одного з користувачів мережі, він може спробувати змінити дозволи, які зберігаються в локальному контролері домену, щоб отримати високі привілеї або ширший доступ до ресурсів у мережі. Ці зміни можна відміняти після їх помічення.

Постійне порівняння баз даних контролерів домену забезпечує ключовий захід безпеки. Процес реплікації також може вам допомогти закрити порушений обліковий запис по всій системі. Однак відновлення оригінальної бази даних та розгортання оновлених записів вимагають дуже регулярних перевірок системи та перевірки цілісності, щоб бути ефективними.

Управління реплікацією є ключовим завданням для мережевих менеджерів, що працюють з Active Directory. Справа в тому, що локальних контролерів домену може бути багато може дати зловмисникам можливість прокрастися навколо сегменту мережі та викрасти або змінити дані перш ніж їх виявити та заблокувати. Координація між копіями контролерів домену незабаром може стати дуже складним і трудомістким завданням. Це неможливо здійснити вручну в розумні строки. Вам потрібно використовувати автоматизовані методи для постійних перевірок усіх контролерів домену та оновлення всіх серверів, коли вноситься зміна дозволів, які вони містять.

Визначення лісу

Для того, щоб мати ліс, потрібно мати кілька доменів. Цей сценарій може існувати, якщо ви хочете його мати різні дозволи для різних областей вашої мережі. Таким чином, у вас може бути окремий домен на кожен сайт, або ви хочете зберегти дозволи для певних ресурсів або послуг у вашій мережі повністю відокремленими від звичайної системи автентифікації мережі. Отже, домени можуть геологічно перетинатися.

Мережа вашої компанії може містити багато контролерів домену і деякі з них будуть містити одну і ту ж базу даних, а інші містять різні дозволи.

Уявіть, що ваша компанія керує послугами для користувачів у власній мережі та хоче зберігати ці дозволи окремо із ресурсів, до яких звертаються працівники. Це створило б два окремих домену. Якщо ви також запустите сервер Exchange для системи електронної пошти своєї компанії, у вас буде інший домен AD.

Хоча система електронної пошти для персоналу, ймовірно, матиме те саме ім’я домену, що й веб-сайт, ви НЕ ВІНЕ зберігати всі домени з тим самим коренем домену в одному дереві. Отже, система електронної пошти може мати однодоменне дерево, а мережа користувачів може мати окреме дерево одного домену. Отже, у цьому сценарії ви маєте справу з трьома окремими доменами, які складають ліс.

Домен Exchange може мати лише один контролер домену, оскільки власне сервер для електронної пошти є резидентом лише в одному місці, і тому потрібно отримати доступ лише до однієї бази даних аутентифікації. Домен користувача може знадобитися лише в одному місці – на сервері шлюзу. Однак, ви можете застосувати екземпляр контролера домену вашого персоналу для кожного з сайтів вашої компанії. Отже, у вас може бути сім контролерів домену, п’ять для домену персоналу, один для домену користувача та один для домену електронної пошти.

Можливо, ви хочете розділити внутрішню мережу на підрозділи за офісними функціями, тож у вас буде розділ рахунків та відділ продажів без взаємодії. Це були б два дочірні домені батьківського персоналу, що утворюють дерево.

Однією з причин тримати персональну мережу окремо від мережі користувачів є безпека. Потреба в конфіденційності внутрішньої системи може навіть поширюватися на створення окремого доменного імені для цієї персональної мережі, що не потрібно повідомляти широкій громадськості. Цей хід змушує створити окреме дерево, оскільки у вас не може бути різних доменних імен. Хоча система електронної пошти та система доступу користувачів мають лише один домен кожен, вони також представляють дерево. Так само, якщо ви вирішили створити новий веб-сайт інше доменне ім’я, це неможливо об’єднати в адміністрацію першого сайту, оскільки він має інше доменне ім’я.

Розбиття доменного персоналу для створення дочірніх доменів вимагає більше контролерів домену. Замість того, щоб лише один контролер домену на кожен сайт для персональної мережі, у вас зараз три на кожен сайт, що становить загалом 15 понад п’ять сайтів.

Ці 15 контролерів домену персоналу повинні бути тиражовані та узгоджені з відносинами структури дерева між трьома оригінальними доменами, що зберігаються на кожному з п’яти сайтів. Кожен з двох інших контролерів домену є різними та не буде частиною процедур реплікації домену персоналу. На ділянці три дерева та одне ліс.

Як видно з цього порівняно простого прикладу, складність управління доменами, деревами та лісами може швидко стати некерованими без всебічного інструменту моніторингу.

Глобальний каталог

Хоча поділ ресурсів на домени, субдомени та дерева може підвищити безпеку, це не усуває автоматично видимість ресурсів у мережі. Система під назвою Глобальний каталог (GC) перераховує всі ресурси в лісі, і він копіюється на кожен контролер домену, який є членом цього лісу.

Протокол, що лежить в основі GC, називається “перехідна ієрархія довіри.Це означає, що всі елементи системи вважаються сумлінними і не завдають шкоди безпеці мережі в цілому. Отже, записам аутентифікації, введеним в одному домені, можна довіряти, щоб надати доступ до ресурсу, який зареєстрований в іншому домені.

Користувачі, які отримали дозволи на ресурси в одному домені, не отримують автоматично доступ до всіх ресурсів навіть у межах одного домену. Функція GC, яка робить ресурси видимими для все не означає, що всі користувачі можуть отримати доступ до всіх ресурсів у всіх областях одного лісу. Все, що GC перелічує, – це назва всіх об’єктів у лісі. Члени інших доменів не можуть запитувати навіть атрибути цих об’єктів в інших деревах та доменах.

Кілька лісів

Ліс – це не лише опис усіх дерев, керованих однією і тією самою адміністративною групою, є загальні елементи для всіх доменів, які містяться на рівні лісу. Ці загальні ознаки описані як “схема.”Схема містить дизайн лісу та всіх баз даних контролера домену всередині нього. Це надає об’єднуючу дію, що виражається у загальній ГК, яка реплікується на всі контролери в одному лісі.

Є деякі сценарії, де вам може знадобитися підтримка більше одного лісу для вашого бізнесу. Через GC, якщо є ресурси, які ви хочете повністю захистити від членів доменів, вам доведеться створити для них окремий ліс.

Ще одна причина, що вам може знадобитися налаштувати окремий ліс – це якщо ви встановлюєте програмне забезпечення для управління AD. Це може бути хорошою ідеєю створити копію пісочної скриньки вашої системи AD, щоб випробувати конфігурацію нового програмного забезпечення, перш ніж пускати його в живу систему.

Якщо ваша компанія придбає інший бізнес, який вже працює в Active Directory у своїй мережі, вам доведеться зіткнутися з низкою варіантів. Те, як ваш бізнес має справу з новою компанією, буде диктувати, як ви керуєте мережею цього нового підрозділу. Якщо діяльність нової компанії буде перейнята вашою організацією, а ім’я та особу цієї компанії будуть звільнені, вам потрібно буде перенести всіх користувачів та ресурси придбаного бізнесу на існуючі домени, дерева та ліс.

Якщо придбане підприємство буде вести торги під існуючим найменуванням, то він буде продовжуватись із поточними доменними іменами, які не можуть бути інтегровані у ваші існуючі домени та дерева. Ви можете перенести дерева цього нового поділу до існуючого лісу. Однак простішим методом є залишити цю придбану мережу такою, якою вона є, і з’єднати ліси. Можна створити перехідний авторитет довіри між двома незалежними лісами. Цю дію потрібно виконувати вручну, і це розширить доступність та видимість ресурсів, щоб ефективно ліси зливатися на логічному рівні. Ви все одно можете підтримувати два ліси окремо, і ця довіра допоможе подбати про взаємну доступність для вас.

Послуги Федерації Active Directory

Active Directory запускає ряд служб, які аутентифікувати різні аспекти вашої системи або сприяє згуртованості між доменами. Одним із прикладів послуги є Послуги сертифікатів Active Directory (AD CS), який контролює сертифікати відкритого ключа для систем шифрування, таких як безпека транспортного рівня. Служба, що стосується доменів та лісів, – це Послуги Федерації Active Directory (AD FS).

AD FS – це єдина система входу, яка розширює аутентифікацію вашої мережі на послуги, якими керують інші організації. Прикладами систем, які можна включити в цю послугу, є засоби Google G-Suite та Office 365.

The система єдиного входу обмінюється маркерами аутентифікації між вашою реалізацією AD та віддаленою службою, тому щойно користувачі увійдуть у вашу мережу, їм більше не потрібно буде входити у віддалений сервіс SSO, що бере участь.

Управління лісами та доменами AD

Відносно проста структура для Active Directory може швидко стати некерованою, як тільки ви почнете створювати субдомени та кілька лісів.

Взагалі, краще помилитися з тим, щоб було якомога менше доменів. Хоча розділення ресурсів на різні домени та субдомени має переваги для безпеки, підвищена складність архітектури з декількома примірниками може ускладнити відстеження вторгнень.

Якщо ви починаєте нову реалізацію Active Directory з нуля, рекомендується вам почати з одного домену в одному дереві, все, що міститься в одному лісі. Виберіть інструмент управління AD, який допоможе вам у встановленні. Після того, як ви вмієте керувати своїм доменом за допомогою обраного інструменту, ви можете розглянути розділення свого домену на субдомени, а також додавання на більше дерев чи навіть лісів.

Найкращі інструменти управління Active Directory

Не намагайтеся це зробити, керуючи системою аутентифікації без допоміжних інструментів. Ви переграєте дуже швидко, якщо спробуєте обійтися без спеціальних інструментів. На щастя, багато інструментів управління та моніторингу Active Directory безкоштовні, тож у вас не виникає проблеми з тим, щоб утримувати бюджет від спроб.

На сьогоднішній день на ринку існує багато інструментів AD, тому ви, зрештою, витратите багато часу на оцінку програмного забезпечення, якщо спробувати переглянути їх. Вибір першого інструменту, який відображається на сторінці результатів пошуку, також є помилкою. Щоб полегшити квест, ми склали список рекомендованих інструментів для AD.

Пов’язано. Ви можете прочитати більше про ці параметри в наступних розділах цього посібника. Щоб отримати більш довгий список програмного забезпечення AD, перегляньте 12 найкращих інструментів та програмного забезпечення Active Directory.

1. Менеджер прав доступу SolarWinds (БЕЗКОШТОВНА ПРОБЛЕМА)

Менеджер прав доступу SolarWinds

The верхній рядок інструменту для управління AD – це Менеджер прав доступу SolarWinds. Цей інструмент встановлюється на всіх версіях Windows Server. Цей інструмент управління Active Directory може контролювати впровадження AD, для яких працює Поділитись думкою, Сервер обміну, і Обмін файлами Windows а також загальний доступ до операційної системи.

Цей інструмент включає багато автоматизації, яка може допомогти вам виконати стандартні завдання з невеликими зусиллями. Ця категорія завдань включає створення користувачів і є також портал самообслуговування щоб дозволити існуючим користувачам змінювати власні паролі.

Менеджер прав доступу цілодобово відстежує активність користувачів та доступ до ресурсів система лісозаготівлі. Це дозволяє виявити будь-яке вторгнення, навіть якщо це відбувається поза робочим часом або коли ви знаходитесь поза робочим столом.

Утиліта також є особливість аналізу це допоможе вам вирішити, як оптимізувати реалізацію вашої реклами. Менеджер прав доступу дозволить виділити неактивні облікові записи та допоможе привести в дію контролери домену, відмиваючи покинуті облікові записи користувачів.

Інструменти звітування в Менеджері прав доступу узгоджені з вимогами органів стандартів безпеки даних, тому ви можете застосовувати правила та демонструвати відповідність за допомогою цього помічника AD.

Ви можете отримати 30-денну безкоштовну пробну версію Менеджера прав доступу. Зрізана версія інструменту доступна безкоштовно. Це називається Аналізатор дозволів SolarWinds для Active Directory.

SolarWinds Manager Access Manager Завантажте 30-денну безкоштовну пробну версію

SolarWinds Аналіз дозволів для Active Directory Завантажте 100% БЕЗКОШТОВНО

2. Пакет адміністраторів SolarWinds для Active Directory (БЕЗКОШТОВНИЙ ІНСТРУМЕНТ)

SondWinds Admin Bundle

SolarWinds виробляє ще один варіант моніторингу Active Directory з їх Пакет адміністратора для Active Directory. Цей пакет інструментів включає:

  • Інструмент видалення неактивних облікових записів користувачів
  • Інструмент видалення неактивних облікових записів на комп’ютері
  • Інструмент імпорту користувача

Інструмент імпорту користувача дає вам можливість створювати групові облікові записи користувачів з файлу CSV. Утиліта видалення облікового запису неактивних користувачів допоможе вам ідентифікувати та закрити невикористані облікові записи користувачів. За допомогою інструмента видалення неактивних облікових записів комп’ютера ви можете ідентифікувати неіснуючі записи пристроїв у контролерах домену Active Directory. Це безкоштовний інструмент пучок працює далі Windows Server.

SolarWinds Admin Bundle для Active DirectoryЗавантажте 100% БЕЗКОШТОВНОГО пакета інструментів

3. ManageEngine ADManager Plus (БЕЗКОШТОВНА ПРОБЛЕМА)

ManageEngine ADManager Plus

ManageEngine виробляє системи моніторингу ресурсів, і цей всеосяжний інструмент управління AD призначений для високого стандарту компанії. Ви можете керувати реалізаціями Active Directory, щоб керувати дозволами для Офіс 365, G-люкс, Обмін, і Skype а також ваші права доступу до мережі.

ADManager Plus має веб-інтерфейс, тому він може працювати в будь-якій операційній системі. Ви можете створювати, редагувати та видаляти об’єкти з контролера домену, включаючи масові дії. Інструмент відстежує використання облікового запису Таким чином, ви можете помітити облікові записи, а ряд інструментів управління AD можна автоматизувати за допомогою утиліти.

Функція аудиту та звітності ADManager Plus допоможе вам продемонструвати відповідність SOX і HIPAA та інші стандарти безпеки даних.

Ця система доступна у стандартних та професійних виданнях. Ви можете отримати 30-денну безкоштовну пробну версію цього інструменту. Якщо ви вирішите не купувати після закінчення випробувального періоду, програмне забезпечення продовжує працювати як безкоштовна безкоштовна версія.

ManageEngine ADManager PlusDownload 30-денна безкоштовна пробна версія

4. Моніторинг активного каталогу Paessler за допомогою PRTG (БЕЗКОШТОВНА ПРОБЛЕМА)

PRTG Active Directory

PRTG Paessler являє собою групу інструментів, кожен з яких називається “датчик.Ця утиліта включає в себе датчики Active Directory, які допомагають стежити за реалізацією рекламного ресурсу. PRTG працює Windows Server і ти можеш користуйтеся ним безкоштовно якщо ви активуєте лише 100 датчиків. Ціна платного інструменту залежить від того, скільки датчиків ви активуєте.

Сенсори AD в PRTG відслідковують систему реплікації Active Directory. Це гарантує, що повна база даних буде скопійована у всі версії контролерів домену, які розташовані навколо вашої мережі. Інструмент також реєструє активність користувачів, щоб допомогти вам виявити неактивні облікові записи користувачів. Ви можете отримати 30-денну безкоштовну пробну версію повної системи з необмеженими датчиками.

Paessler Active Directory Monitoring PRTGЗавантажте 30-денну безкоштовну пробну версію

5. Діаграмометр топології Microsoft Active Directory

Діаграма з топології Microsoft Active Directory

Цей інструмент для картографування від Microsoft – це справді корисний безкоштовний помічник, коли ви керуєте складною реалізацією AD. Це створює карту в Visio що показує взаємозв’язок між усіма вашими доменами, деревами та лісами. На жаль, остання версія Windows, на яку вона може бути встановлена Windows 7 та останню версію Windows Server що може запустити інструмент є Windows Server 2008 R2. Також вам потрібно встановити Visio, щоб використовувати цей інструмент.

Активне управління каталогами

Тепер, коли ви розумієте основи конфігурацій Active Directory, вам слід розглянути можливість використання інструменту, який допоможе вам керувати реалізацією. Сподіваємось, наш довідник поставив вас на шлях до ефективнішого запуску AD.

Чи використовуєте ви будь-які інструменти для управління Active Directory? Чи використовуєте ви будь-який інструмент у нашому списку? Залиште повідомлення в Коментарі розділ нижче, щоб поділитися своїм досвідом із спільнотою.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map