Průvodce lesy a doménami služby Active Directory

Lesy a domény Active Directory


Active Directory je klíčovým prvkem v metodách ověřování uživatelů v systémech Microsoft. Spravuje také ověřování počítačů a zařízení připojených k síti a může být také nasazen jako součást systému oprávnění souborů.

Společnost Microsoft se stále více spoléhá na systém Active Directory, aby zajistila správu uživatelských účtů pro celou řadu svých produktů. Například, AD je jádrem metodiky ověřování uživatelů pro Exchange Server.

Podrobněji se zabýváme nástroji, které uvádíme níže, ale pokud máte pouze čas na shrnutí, zde je náš seznam pěti nejlepší nástroje pro správu doménových domén a domén služby Active Directory:

  1. SolarWinds Správce přístupových práv (ZKUŠEBNÍ ZDARMA) Dohlíží na implementaci AD pro Windows, SharePoint, Exchange Server a Windows File Share.
  2. Balíček pro správu SolarWinds pro Active Directory (ZDARMA NÁSTROJ) Tři bezplatné nástroje, které vám pomohou spravovat přístupová práva v AD.
  3. ManageEngine ADManager Plus (ZKUŠEBNÍ ZDARMA) Atraktivní front-end pro Active Directory, který bude spravovat oprávnění k Office 365, G-Suite, Exchange a Skype, stejně jako standardní přístupová práva k nástrojům Windows.
  4. Paessler Active Directory Monitoring s PRTG Nástroj pro monitorování systému tři v jednom, který zahrnuje sítě, servery a aplikace. Zahrnuje AD monitor pro správu replikace AD.
  5. Schéma topologie Microsoft Active Directory Pěkný bezplatný nástroj, který generuje rozvržení vaší struktury AD pro interpretaci prostřednictvím aplikace Visio.

Domény, stromy a lesy

Koncept domény je běžně chápán sítí komunit. Web je doménou a je na webu identifikován názvem domény. Další použití termínu spočívá v adresování v síti, kde jsou všechny počítače ve stejném adresním prostoru, nebo ‘rozsah.'

V terminologii služby Active Directory je doménou oblast sítě pokrytá jedinou autentizační databází. Úložiště této databáze se nazývá a řadič domény.

Každý ví, co je les ve skutečném světě - je to oblast pokrytá stromy. Takže, kde jsou stromy ve službě Active Directory?

V doméně může být spojeno několik domén stromová struktura. Takže můžete mít nadřazená doména s podřízené domény s tím spojené. Podřízené domény zdědí adresní prostor rodiče, takže dítě je subdoména. Vrchol stromové struktury je kořenová doména. Strom tvoří celá skupina vztahů rodičů a dětí. Dítě do jedné domény může být také rodičem jiných domén.

Představte si tedy skupinu domén, které sdílejí stejnou adresu kořenové domény jako strom. Jakmile uvidíte stromy, můžete zjistit, co je to les: je to sbírka stromů.

Distribuce a replikace

Koncept lesa je poněkud komplikován skutečností, že se jedná o soubor jedinečných stromů. U velkých sítí je běžnou praxí replikovat řadič domény a mít několik kopií na různých serverech v systému - to urychluje přístup.

Pokud provozujete síť WAN s více servery, chcete mít společný systém přístupu k síti pro celou organizaci. Umístění řadiče domény může mít vážný dopad na výkon, s uživateli na vzdálených místech, kteří se budou muset přihlásit do sítě, čekat déle. S místním kopiemi řadiče domény tento problém obchází.

Pokud máte několik kopií stejného řadiče domény na různých místech, nemáte doménové struktury.

Modul centrální správy služby Active Directory potřebuje koordinovat všechny kopie abyste se ujistili, že všechny databáze jsou naprosto stejné. To vyžaduje proces replikace. Ačkoli je databáze oprávnění služby Active Directory distribuována po síti, není to oficiálně považováno za ‘distribuovaná databáze.„V distribuované databázi je kolekce záznamů rozdělena mezi několik serverů. Aby bylo možné shromáždit celou databázi, budete muset navštívit každý server. To není případ služby Active Directory, protože každý server (řadič domény) má přesnou a úplnou kopii databáze.

Výhody replikace

Replikovaný řadič domény má několik další výhody pro zabezpečení. Pokud dojde k náhodnému poškození jednoho řadiče domény, můžete nahradit všechny původní záznamy zkopírováním z databáze z jiného webu. Pokud hacker získá pověření od jednoho z uživatelů v síti, může se pokusit změnit oprávnění v místním řadiči domény, aby získal vysoká oprávnění nebo širší přístup k prostředkům v síti. Tyto změny lze po spatření vrátit zpět.

Konstantní srovnání v databázích řadičů domény poskytuje klíčové bezpečnostní opatření. Proces replikace vám také může pomoci zrušte kompromitovaný účet po celém systému. Obnovení původní databáze a zavedení aktualizovaných záznamů však vyžaduje velmi pravidelné kontroly systému a kontroly integrity, aby byla účinná.

Správa replikace je klíčovým úkolem pro správce sítě provozující službu Active Directory. Skutečnost, že může existovat mnoho lokálních řadičů domény může útočníkům poskytnout příležitost kplížit se po segmentu sítě a ukrást nebo změnit data před detekcí a uzamčením. Koordinace mezi kopiemi řadičů domény se může brzy stát velmi komplikovaným a časově náročným úkolem. Nelze jej provést ručně v přiměřeném časovém rámci. Je třeba použít automatizované metody, abyste často kontrolovali všechny řadiče domény a aktualizovali všechny servery, když dojde ke změně oprávnění, která obsahují..

Definování lesa

Chcete-li mít les, musíte mít několik doménových stromů. Tento scénář může existovat, pokud chcete různá oprávnění pro různé oblasti vaší sítě. Můžete tedy mít samostatnou doménu pro každý web, nebo můžete chtít ponechat oprávnění pro určité prostředky nebo služby v síti zcela odděleně od běžného systému síťového ověřování. Domény se tedy mohou geograficky překrývat.

Síť vaší společnosti může obsahovat mnoho řadičů domény a některé z nich budou obsahovat stejnou databázi, zatímco jiné obsahují různá oprávnění.

Představte si, že vaše společnost provozuje služby pro uživatele ve své vlastní síti a chce udržujte tato oprávnění odděleně ze zdrojů, které mají zaměstnanci k dispozici. Vytvořilo by to dvě oddělené domény. Pokud také provozujete Exchange Server pro firemní e-mailový systém, budete mít jinou doménu AD.

Přestože e-mailový systém zaměstnanců bude pravděpodobně mít stejné doménové jméno jako web, NEMÁTE mít všechny domény se stejným kořenem domény ve stejném stromě. E-mailový systém tak může mít strom s jednou doménou a uživatelská síť může mít samostatný strom s jednou doménou. V tomto scénáři tedy jednáte o tři samostatné domény, které vytvářejí les.

Doména Exchange může mít pouze jeden řadič domény, protože skutečný server pro e-mailový systém je pouze rezidentem v jednom umístění, a proto potřebuje přístup pouze k jedné ověřovací databázi. Uživatelská doména může být potřeba pouze na jednom místě - na serveru brány. nicméně, můžete implementovat instanci svého řadiče domény zaměstnanců pro každou ze stránek vaší společnosti. Můžete tedy mít sedm řadičů domény, pět pro doménu zaměstnanců, jeden pro doménu uživatele a jeden pro e-mailovou doménu.

Možná budete chtít rozdělit vnitřní síť na podsekce podle kancelářské funkce, takže byste měli sekci účtů a sekci prodeje bez interoperability. Jednalo by se o dvě podřízené domény domény nadřízených zaměstnanců, které by tvořily strom.

Jedním z důvodů, proč udržovat personální síť odděleně od uživatelské sítě, je zabezpečení. Potřeba soukromí ve vnitřním systému se může dokonce rozšířit na vytvoření samostatného názvu domény pro tuto síť zaměstnanců, které nemusí být zveřejněny. Tento krok vynutí vytvoření samostatného stromu, protože v jednom stromu nemůžete zahrnout různá doménová jména. I když e-mailový systém a systém přístupu uživatelů mají vždy pouze jednu doménu, každá z nich také představuje strom. Podobně, pokud jste se rozhodli vytvořit nový web s jiné doménové jméno, to nelze sloučit do správy prvního webu, protože má jiný název domény.

Rozdělení domény zaměstnanců k vytvoření podřízených domén vyžaduje více řadičů domény. Spíše než jen jeden řadič domény na web pro personální síť máte nyní tři na web, takže celkem 15 z pěti webů.

Těchto 15 řadičů doménového personálu musí být replikováno a koordinováno se vztahem stromové struktury mezi třemi původními doménami uchovanými na každém z pěti serverů. Každý z dalších dvou řadičů domény je odlišný a nebude součástí replikačních postupů z oblasti zaměstnanců. Místo má tři stromy a jeden les.

Jak vidíte z tohoto relativně jednoduchého příkladu, složitost správy domén, stromů a lesů se může rychle stát nezvládnutelnými bez komplexního monitorovacího nástroje..

Globální katalog

I když oddělení zdrojů do domén, subdomén a stromů může zvýšit zabezpečení, automaticky to nevylučuje viditelnost zdrojů v síti. Zavolal systém Globální katalog (GC) uvádí všechny zdroje v doménové struktuře a je replikována na každý řadič domény, který je členem této doménové struktury.

Protokol, který podporuje GC, se nazývá ‘tranzitivní hierarchie důvěry.'To znamená, že všechny prvky systému jsou považovány za důvěryhodné a nepoškozují bezpečnost sítě jako celku. Ověřovací záznamy zadané v jedné doméně tedy mohou být důvěryhodné pro udělení přístupu ke zdroji, který je registrován v jiné doméně.

Uživatelé, kterým byla udělena oprávnění ke zdrojům v jedné doméně, nezískají automaticky přístup ke všem prostředkům, a to ani v rámci stejné domény. Funkce GC, která zviditelňuje zdroje vše neznamená, že všichni uživatelé mají přístup ke všem prostředkům ve všech doménách stejné doménové struktury. Vše, co GC uvádí, je název všech objektů v doménové struktuře. Není možné, aby členové jiných domén dotazovali i atributy těchto objektů v jiných stromech a doménách.

Více lesů

Les není jen popisem všech stromů provozovaných stejnou administrační skupinou, existují společné prvky pro všechny domény, které jsou drženy na úrovni lesa. Tyto společné vlastnosti jsou popsány jakoschéma.„Schéma obsahuje návrh doménové struktury a všech databází řadičů domény v ní. To má sjednocující účinek, který je vyjádřen ve společné GC, která je replikována na všechny řadiče ve stejné doménové struktuře.

Existuje několik scénářů, ve kterých budete možná potřebovat udržovat více než jeden les pro vaše podnikání. Z důvodu GC, pokud existují zdroje, které chcete udržet zcela v tajnosti před členy domén, musíte pro ně vytvořit samostatnou doménovou strukturu..

Dalším důvodem, proč budete muset nastavit samostatnou doménovou strukturu, je instalace softwaru pro správu AD. Může být dobrý nápad vytvořit kopii sandboxu vašeho AD systému, abyste vyzkoušeli konfiguraci nového softwaru, než ji uvolníte v živém systému.

Pokud vaše společnost získá jiný podnik, který již ve své síti provozuje službu Active Directory, budete čelit řadě možností. Způsob, jakým vaše podnikání jedná s novou společností, bude určovat, jak provozujete síť této nové divize. Pokud bude podnikání nové společnosti převzato vaší organizací a název a identita této společnosti bude vyřazena, pak budete muset migrovat všechny uživatele a zdroje získaného podnikání do vašich stávajících domén, stromů a doménových struktur.

Pokud získaná společnost bude pokračovat v obchodování pod svým stávajícím názvem, pak bude pokračovat se svými současnými názvy domén, které nelze integrovat do vašich stávajících domén a stromů. Mohli byste přenést stromy této nové divize do svého stávajícího lesa. Jednodušší metodou je však ponechat získanou síť takovou, jaká je, a propojit lesy. Je možné vytvořit tranzitivní důvěryhodnou autoritu mezi dvěma nezávislými lesy. Tato akce musí být provedena ručně a rozšíří přístupnost a viditelnost zdrojů tak, aby se obě lesy efektivně sloučily na logické úrovni. Obě lesy můžete stále udržovat samostatně a toto propojení důvěry vám zajistí vzájemnou dostupnost.

Federační služby Active Directory

Služba Active Directory spouští řadu služeb, které autentizovat různé aspekty vašeho systému nebo napomáhají soudržnosti mezi doménami. Jedním příkladem služby je Certifikační služba Active Directory (AD CS), která řídí certifikáty veřejných klíčů pro šifrovací systémy, jako je například Transport Layer Security. Služba, která je relevantní pro domény a doménové struktury, je Federační služby Active Directory (AD FS).

AD FS je systém jednotného přihlášení, který rozšiřuje autentizaci vaší sítě na služby provozované jinými organizacemi. Příklady systémů, které lze zahrnout do této služby, jsou zařízení Google G-Suite a Office 365.

systém jednotného přihlášení vyměňuje autentizační tokeny mezi implementací služby AD a vzdálenou službou, takže jakmile se uživatelé přihlásí do vaší sítě, nebudou se muset znovu přihlásit k zúčastněné vzdálené službě SSO.

Správa doménových domén a domén AD

Relativně přímá struktura služby Active Directory se může rychle stát nezvládnutelnou, jakmile začnete vytvářet subdomény a více doménových struktur.

Obvykle, je lepší se mýlit k tomu, aby bylo co nejméně domén. Přestože rozdělení zdrojů na různé domény a subdomény má bezpečnostní výhody, zvýšená složitost architektury více instancí může ztěžovat sledování narušení..

Pokud zahajujete novou implementaci služby Active Directory od nuly, doporučujeme vám začít s jednou doménou v jednom stromu, vše obsažené v jednom lese. Vyberte si nástroj pro správu reklam, který vám pomůže s instalací. Jakmile jste se stali adeptem na správu vaší domény pomocí vybraného nástroje, můžete zvážit rozdělení vaší domény na subdomény a také přidat na více stromů nebo dokonce lesy.

Nejlepší nástroje pro správu služby Active Directory

Nezkoušejte to spravovat svůj autentizační systém bez pomoci nástrojů. Pokud se pokusíte obejít bez speciálních nástrojů, dostanete se velmi rychle. naštěstí, mnoho nástrojů pro správu a monitorování služby Active Directory je zdarma, takže nemáte problém s omezením rozpočtu, abyste jej vyzkoušeli.

V současné době existuje na trhu mnoho nástrojů AD, takže pokud se pokusíte zobrazit všechny z nich, nakonec strávíte spoustu času hodnocením softwaru. Jen vybrat první nástroj, který se objeví na stránce s výsledky vyhledávání, je také chyba. Pro usnadnění vašeho hledání, sestavili jsme seznam doporučených nástrojů pro AD.

Související: Další informace o těchto možnostech naleznete v dalších částech této příručky. Chcete-li získat delší seznam softwaru AD, podívejte se na 12 nejlepších nástrojů a softwaru služby Active Directory.

1. SolarWinds Správce přístupových práv (ZKUŠEBNÍ ZDARMA)

SolarWinds Správce přístupových práv

horní linie nástroje pro správu AD je SolarWinds Správce přístupových práv. Tento nástroj se instaluje na všechny verze Windows Server. Tento nástroj pro správu služby Active Directory je schopen dohlížet na implementace AD, které fungují SharePoint, Exchange Server, a Windows sdílení souborů stejně jako obecný přístup k operačnímu systému.

Tento nástroj zahrnuje mnoho automatizací, které vám mohou pomoci dokončit standardní úkoly s malým úsilím. Tato kategorie úkolů zahrnuje vytvoření uživatele a existuje také samoobslužný portál umožnit stávajícím uživatelům změnit svá vlastní hesla.

Správce přístupových práv sleduje nepřetržitě aktivitu uživatelů a přístup k prostředkům logovací systém. To vám umožní odhalit jakékoli narušení, i když k němu dojde mimo pracovní dobu nebo když jste mimo svůj pracovní stůl.

Nástroj také funkce analýzy které vám mohou pomoci rozhodnout se, jak optimalizovat implementaci vaší AD. Správce přístupových práv zvýrazní neaktivní účty a pomůže vám uspořádat řadiče domény tím, že odstraní opuštěné uživatelské účty.

Nástroje pro podávání zpráv ve Správci přístupových práv jsou koordinovány s požadavky orgánů standardů zabezpečení dat, takže pomocí tohoto asistenta AD můžete vynutit pravidla a prokázat shodu..

Můžete získat 30denní bezplatnou zkušební verzi Správce přístupových práv. Zkrácená verze nástroje je k dispozici zdarma. Tomu se říká SolarWinds Permissions Analyzer for Active Directory.

SolarWinds Access Rights ManagerStáhněte 30denní zkušební verzi ZDARMA

SolarWinds Permissions Analyzer for Active DirectoryDownload 100% FREE Tool

2. Balíček pro správu SolarWinds pro Active Directory (ZDARMA NÁSTROJ)

Balíček pro správu SolarWinds

SolarWinds produkuje další možnost sledování Active Directory s jejich Balíček administrátorů pro službu Active Directory. Tato sada nástrojů zahrnuje:

  • Neaktivní nástroj pro odstranění uživatelského účtu
  • Neaktivní nástroj pro odstranění účtu počítače
  • Nástroj pro import uživatelů

Nástroj pro import uživatelů vám dává možnost hromadně vytvářet uživatelské účty ze souboru CSV. Pomůže vám nástroj Neaktivní odstranění uživatelského účtu identifikovat a zrušit nepoužívané uživatelské účty. Pomocí nástroje pro odstranění účtu neaktivní počítače můžete identifikovat zaniklé záznamy zařízení v řadičích domény Active Directory. Tento bezplatný nástroj svazek běží dál Windows Server.

Balíček SolarWinds Admin Bundle pro Active DirectoryDownload 100% ZDARMA balíček nástrojů

3. ManageEngine ADManager Plus (ZKUŠEBNÍ ZDARMA)

ManageEngine ADManager Plus

ManageEngine vyrábí systémy pro sledování zdrojů a tento komplexní nástroj pro správu AD je zapsán na vysoké úrovni společnosti. Implementace služby Active Directory můžete spravovat pro správu oprávnění Kancelář 365, G-Suite, Výměna, a Skype stejně jako vaše přístupová práva k síti.

ADManager Plus má webové rozhraní, takže může běžet na jakémkoli operačním systému. Můžete vytvořit, upravit a odstranit objekty z řadiče domény, včetně hromadných akcí. Nástroj sleduje používání účtu takže můžete najít mrtvé účty a pomocí nástroje lze automatizovat řadu nástrojů pro správu reklam.

Funkce auditu a podávání zpráv v ADManager Plus vám pomůže prokázat shodu s SOX a HIPAA a další standardy zabezpečení dat.

Tento systém je k dispozici ve verzích Standard a Professional. Můžete získat 30denní bezplatnou zkušební verzi nástroje. Pokud se rozhodnete nekupovat po uplynutí zkušební doby, bude software nadále fungovat jako omezená bezplatná verze.

ManageEngine ADManager PlusStáhněte 30denní zkušební verzi ZDARMA

4. Paessler Active Directory Monitoring s PRTG (ZKUŠEBNÍ ZDARMA)

PRTG Active Directory

Paesslerův PRTG je svazek nástrojů, z nichž každý se nazývá ‘senzor.'Nástroj obsahuje senzory Active Directory, které vám pomohou sledovat implementaci vaší AD. PRTG běží dál Windows Server a ty můžeš používat to zdarma pokud aktivujete pouze 100 senzorů. Cena placeného nástroje závisí na tom, kolik senzorů aktivujete.

AD senzory v PRTG sledují replikační systém Active Directory. Tím je zajištěno, že je úplná databáze zkopírována do všech verzí řadičů domény, které jsou umístěny v síti. Tento nástroj také protokolová aktivitu uživatelů, která vám pomůže odhalit neaktivní uživatelské účty. Můžete získat 30denní bezplatnou zkušební verzi celého systému s neomezeným počtem senzorů.

Paessler Active Directory Monitoring PRTGStáhněte 30denní zkušební verzi ZDARMA

5. Diagramový diagram topologie Microsoft Active Directory

Schéma topologie Microsoft Active Directory

Tento mapovací nástroj od společnosti Microsoft je opravdu užitečným pomocníkem při správě komplikované implementace AD. Vytvoří mapu v Visio která ukazuje vztah mezi všemi vašimi doménami, stromy a lesy. Bohužel nejnovější verze systému Windows, na kterou lze nainstalovat, je Windows 7 a nejnovější verzi Windows Server který může nástroj spustit Windows Server 2008 R2. Abyste mohli tento nástroj používat, musíte mít také nainstalované Visio.

Správa Active Directory

Nyní, když rozumíte základům konfigurací služby Active Directory, byste měli zvážit použití nástroje, který vám pomůže se správou implementace. Doufejme, že náš průvodce vás nastavil na cestě k efektivnějšímu spuštění služby AD.

Používáte ke správě služby Active Directory nějaké nástroje? Používáte některý z nástrojů na našem seznamu? Nechte zprávu v Komentáře sekci níže a podělte se o své zkušenosti s komunitou.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

1 + 9 =