Active Directory oder AD, wie es oft genannt wird, ist Microsofts eigene Version eines LDAP-Verzeichnisdienstes. Es gibt es seit Windows Server 2000 und ersetzte die damals veralteten Domänenverwaltungsfunktionen von Windows-Servern. Es ist ein äußerst komplexer Dienst, der sich um die Authentifizierung von Benutzern und Geräten, die Lokalisierung ihres Standorts und die Verwaltung von Zugriffsrechten kümmert. Da es so komplex ist, ist es keine Überraschung, dass mehrere Entwickler versucht haben, Tools zu entwickeln, die die Verwaltung von Active Directory erleichtern. Heute stellen wir Ihnen einige der besten Active Directory-Tools vor, die im Internet zu finden sind.
Wir werden zuerst eine allgemeine Diskussion über Verzeichnisdienste führen, was sie sind, ihren Zweck und ihre Nützlichkeit, und Ihnen einige Beispiele dafür geben. Als Nächstes sprechen wir über LDAP und X.500, zwei standardisierte Protokolle für Verzeichnisdienste. Anschließend sprechen wir kurz über die Entwicklung der Microsoft-Verzeichnisdienste. Dies bringt uns zum Kern unserer Angelegenheit, den besten Active Directory-Tools, die wir finden konnten. Wir geben Ihnen jeweils einen kurzen Überblick.
Inhaltsverzeichnis
Verzeichnisdienste, was sie sind
Wikipedia definiert einen Verzeichnisdienst als „eine Zuordnung zwischen den Namen von Ressourcen in einem Netzwerk und ihren jeweiligen Netzwerkadressen“. Und in seiner einfachsten Form ist das wirklich alles, was es ist. Also, fragen Sie sich vielleicht, ist das Domain Name System (DNS) ein Verzeichnisdienst? Die Antwort ist ein klares JA! Aber wenn es so einfach ist, warum ist Active Directory dann so komplex?
Active Directory implementiert, genau wie die meisten modernen Verzeichnisdienste, viel mehr Funktionalität als nur die Zuordnung von Namen zu Adressen. Sie bilden den Kern der Netzwerksicherheit und enthalten detaillierte Informationen über Benutzer (Benutzerkonten) und Ressourcen und stehen auch im Zentrum der Zugriffskontrollmechanismen der meisten Netzwerke. Der moderne Verzeichnisdienst ist eine Datenbank, in der die meisten Informationen über ein Netzwerk, seine Ressourcen und Benutzer gespeichert sind.
Ein Verzeichnisdienst ist eine hierarchische Datenbank von Objekten, die jeweils eine andere Entität darstellen. Einige Objekte stellen Benutzer dar, andere Computer oder andere verfügbare Ressourcen wie Netzwerkfreigaben. Andere Objekte sind Container für Objekte. Die hierarchische Struktur erleichtert das Auffinden einzelner Objekte und ermöglicht eine einfache Berechtigungsverwaltung, bei der Objekte Berechtigungen von ihren übergeordneten Objekten erben können.
Unser Ziel ist es jedoch nicht, Sie zu einem Verzeichnisdienstexperten zu machen, sondern Ihnen genügend Hintergrundinformationen zu geben, damit Sie besser verstehen, was Active Directory ist und woher es kommt. Werfen wir einen Blick auf einige reale Beispiele vergangener und gegenwärtiger Verzeichnisdienste, denen Sie möglicherweise begegnet sind.
Einige Beispiele
DNS ist einer der ersten Verzeichnisdienste. Es stammt aus den frühen Achtzigern. Es hatte – und hat immer noch – einen einzigen Hauptzweck: die Übersetzung von Hostnamen in IP-Adressen. Es ist noch heute weit verbreitet und eine der Grundlagen des Internets.
Der Netzwerkinformationsdienstoder NISwar die eigene Implementierung von Sun Microsystems eines DNS-ähnlichen Namensdienstes für sein Unix-Ökosystem.
ngut DVerzeichnis SDienstleistungen– später angerufen eDirectory– war der Verzeichnisdienst von Novell Netware-Netzwerken. Ähnlich wie das heutige Active Directory, war es ein allumfassendes System, das nicht nur zur Namensauflösung, sondern auch zur Authentifizierung und Zugriffskontrolle verwendet wurde.
NetInfo wurde von NEXT entwickelt und wurde, als Apple das Unternehmen übernahm, zum Verzeichnisdienst von Mac OS, bevor es durch ersetzt wurde OpenDirectory.
Endlich, NT-Domänen sind ein weiteres Beispiel für einen Verzeichnisdienst. Sie sind die Vorfahren von Active Directory. NT-Domänen wurden hauptsächlich für Zugriffssteuerungs- und Authentifizierungszwecke verwendet.
X.500 und LDAP, zwei Standards für Verzeichnisdienste
Im Informationszeitalter ist Interoperabilität wichtiger denn je, was dazu führt, dass in allen Bereichen Standards entstehen. Verzeichnisdienste unterscheiden sich nicht, es gibt zwei primäre Standards, LDAP und X.500
Der X.500-Standard, oder genauer gesagt die X.500-Serie von Standards, ist eine Gruppe von Spezifikationen der ITU-T, die verschiedene Aspekte elektronischer Verzeichnisdienste abdecken. Die ersten Iterationen stammen aus dem Jahr 1988, aber X.500 ist auch heute noch weit verbreitet.
Eines der Ziele eines Satzes von Standardprotokollen, wie sie von X.500 vorgeschlagen werden, besteht darin, die Interoperabilität sicherzustellen und es Systemen von verschiedenen Anbietern zu ermöglichen, miteinander zu interagieren. X.500 ist eigentlich ein Satz von neun einzelnen Protokollen
Das Lightweight Directory Access Protocol oder LDAP ist ein offenes, herstellerneutrales Industriestandard-Anwendungsprotokoll für den Zugriff auf und die Verwaltung verteilter Verzeichnisinformationsdienste über ein IP-Netzwerk. Heutzutage sind die meisten Implementierungen von Verzeichnisdiensten, einschließlich Microsofts Active Directory, LDAP-kompatibel.
LDAP war ursprünglich als leichtgewichtiges alternatives Protokoll für den Zugriff auf X.500-Verzeichnisdienste über den einfacheren TCP/IP-Protokollstapel gedacht. Daher schließen sich X.500 und LDAP nicht gegenseitig aus, sondern ergänzen sich. Beispielsweise besagt die LDAP-Spezifikation, dass die Struktur der Verzeichnisdienstdatenbank X.500-kompatibel sein muss.
LDAP-Clients können die Attribute von Objekten in einer Verzeichnisdienstdatenbank nicht nur lesen, sondern auch ändern. Dies bedeutet natürlich, dass LDAP sicher ist und einen Authentifizierungsmechanismus zum Schutz vor unbefugten Änderungen bietet.
Von der NT-Domäne zum Active Directory
Wie bereits erwähnt, waren Windows NT-Domänen die erste Form von Verzeichnisdiensten im Microsoft-Ökosystem. Wie Sie sich denken können, tauchten sie erstmals 1993 mit Windows NT auf. Sie hatten eine zentralisierte Datenbank, die sich auf einem Domänencontroller befand, der hauptsächlich für die Benutzerauthentifizierung zuständig war. Die Datenbank könnte aus Redundanzgründen auf mehreren Domänencontrollern repliziert werden, und um sicherzustellen, dass große Netzwerke mit mehreren Standorten Benutzer lokal authentifizieren können.
Mit Windows 2000 veröffentlichte Microsoft Active Directory. Es war eine dringend benötigte Verbesserung gegenüber den traditionellen Domänen, die seit Jahren verwendet wurden. Active Directory bietet mehrere verschiedene Dienste. An erster Stelle stehen die Domain-Dienste. Dies sind die Eckpfeiler von Windows-Netzwerken. Sie speichern Informationen über Mitglieder der Domäne, einschließlich Geräte und Benutzer, verifizieren ihre Anmeldeinformationen, authentifizieren sie und definieren ihre Zugriffsrechte.
Zu den weiteren wichtigen Diensten von Active Directory gehören Zertifikatsdienste, die eine lokale Public-Key-Infrastruktur bereitstellen. Sie können Public-Key-Zertifikate für den internen Gebrauch in einer Organisation erstellen, validieren und widerrufen. Solche Zertifikate können verwendet werden, um Dateien, E-Mails und Netzwerkverkehr zu verschlüsseln. Andere von Active Directory bereitgestellte Dienste umfassen Verbunddienste, eine Art Single-Sign-On-Mechanismus und Rechteverwaltungsdienste.
Die besten Active Directory-Tools
Das Hauptmerkmal von Active Directory ist, dass es groß und komplex ist. Und mit dieser Komplexität gehen Verwaltungsprobleme einher. Glücklicherweise wurden viele Tools von Drittanbietern entwickelt, um einige der AD-Verwaltungslasten zu bewältigen. Das sind die Tools, die wir recherchiert haben, und wir präsentieren Ihnen einige der besten, die wir finden konnten. Diese Liste ist alles andere als umfangreich, da es einfach viel zu viele Tools gibt.
1. SolarWinds Server & Application Monitor (KOSTENLOSE TESTVERSION)
SolarWinds ist dafür bekannt, einige der besten Tools für die Netzwerk- und Systemverwaltung zu entwickeln. Wir haben SolarWinds-Produkte unzählige Male vorgestellt, als wir beispielsweise die besten SNMP-Überwachungstools oder die besten NetFlow-Sammler und -Analysatoren überprüft haben. SolarWinds ist auch für seine kostenlosen Tools bekannt, aufgabenspezifische Tools, die sich an Administratoren richten.
Kein Wunder also, dass die SolarWinds-Server & Anwendungsmonitor steht auf unserer Liste. Und obwohl der unauffällige Name nicht vermuten lässt, dass es sich um ein Active Directory-Tool handelt, macht es seine breite Palette an Funktionen zu einem großartigen Tool zum Überwachen und Verwalten von Active Directory.
Beginnen wir damit, einen Blick darauf zu werfen, wie die SolarWinds-Server- und Anwendungsmonitor kann bei der AD-Verwaltung helfen. Erstens bietet das Tool eine Domänencontroller-Überwachung, die mehrere Betriebsparameter überwacht. Es wird Ihnen mitteilen, wenn die CPU-Auslastung zu hoch wird, wenn ein Benutzerkonto gesperrt ist oder wenn ein Anmeldeproblem vorliegt.
Die Software überwacht auch die NTDS-Objektzähler und trägt so zur Reduzierung der Serverüberlastung bei. Darüber hinaus gibt Ihnen SolarWinds Server and Application Monitor Einblick in verschiedene LDAP-Statistiken, darunter aktive LDAP-Threads, Bindungszeit, Clientsitzungen und erfolgreiche Bindungen und Suchen pro Sekunde.
Der SolarWinds Server- und Anwendungsmonitor kann Benachrichtigungen senden, wenn Verzeichnisserver nicht repliziert werden können, ein Ereignis, das Benutzer daran hindern kann, auf Ordner und Dateien zuzugreifen. Es bietet auch detaillierte Leistungsstatistiken in Bezug auf Verzeichnisdienste wie verteiltes Dateisystem, DFS-Replikation, Messaging zwischen Standorten, DNS-Client, Windows-Zeit, RPC, Server- und Workstation-Dienste und Active Directory-Domänendienste, um nur einige der wichtigsten zu nennen Einsen.
Aber wie der Name schon sagt, überwacht dieses Tool nicht nur Active Directory-Dienste, sondern auch die Server selbst und die darauf ausgeführten Anwendungen. Dieses Komplettpaket kann von den kleinsten Netzwerken bis hin zu großen Netzwerken mit mehreren Standorten und Hunderten von physischen und virtuellen Servern skaliert werden. Und es kann ebenso Server in Cloud-Umgebungen wie denen von Amazon Web Services und Microsoft Azure überwachen.
Der SolarWinds-Server- und Anwendungsüberwachung erkennt zunächst automatisch Hosts und Geräte in Ihrem Netzwerk. Anschließend erkennt ein zweiter Erkennungsscan Anwendungen, die auf jedem Server ausgeführt werden. Einmal eingerichtet und in Betrieb, kann die Verwendung dieses Tools dank seiner intuitiven Benutzeroberfläche kaum einfacher sein. Wenn Sie beispielsweise auf Knotendetail klicken, werden die Leistungs- und Zustandsinformationen des Knotens angezeigt.
Preise für die SolarWinds Server und Application Monitor beginnt bei knapp unter 2.995 US-Dollar und eine kostenlose 30-Tage-Testversion steht zum Download bereit.
2. Kostenlose Active Directory-Tools von ManageEngine
ManageEngine ist ein weiterer gebräuchlicher Name unter System- und Netzwerkadministratoren. Es macht den OpManager wohl zu einem der besten Tools zur Überwachung der IT-Infrastruktur. Und wie SolarWinds stellt auch ManageEngine einige großartige kostenlose Tools her. Tatsächlich haben sie mehr als fünfzehn kostenlose Active Directory-Tools die bei der Überwachung und Verwaltung Ihrer AD-Infrastruktur helfen können. Einige sind eigenständige Programme, während andere Powershell-Cmdlets sind. Eine großartige Sache an diesem Toolkit ist, dass die meisten Tools in einem gebündelt sind einmaliger Download. Mal sehen, was die interessantesten dieser Tools sind.
Der AD-Abfragetool ermöglicht es Ihnen, beliebige Attributdaten, die Sie benötigen, aus dem Active Directory zu lesen, wie Vorname, Nachname, Telefon, Adresse usw. eines Benutzerobjekts. Das Dienstprogramm kann auch bei der Abfrage von Active Directory-Gruppen- und Computerobjekten helfen.
Der CSV-Generator-Tool generiert eine CSV-Datei (wer hätte das gedacht?), die ein benutzerdefiniertes Array von benutzerdefinierten Active Directory-Attributen und ihren entsprechenden Werten enthält. Die resultierende Datei kann für die Massenverwaltung von Active Directory verwendet werden.
Der Suche nach letzter Anmeldung wird verwendet, um die letzte Anmeldezeit aller oder ausgewählter Benutzer in allen ausgewählten Domänencontrollern in der Domäne aufzulisten. Es wird normalerweise für Audit- und Bereinigungsaktivitäten verwendet.
Der Terminalsitzungs-Manager ist ein Powershell-Cmdlet, mit dem Sie mehrere Terminalsitzungen in einer Domäne von einem einzigen Punkt aus identifizieren und verwalten können. Damit können Terminalsitzungen für mehrere Benutzer über eine Domäne hinweg verwaltet, getrennt oder abgemeldet werden.
Der Active Directory-Replikations-Manager ermöglicht Administratoren, die Replikation von Daten in einer Domäne oder der gesamten Gesamtstruktur zu erzwingen. Es ermöglicht auch die Replikation von Daten zwischen zwei Domänencontrollern und listet umfassende Berichte über die letzte Replikation auf.
Der DMZ-Port-Analyzer ermöglicht Administratoren, den Status von Ports zu überprüfen, die von Anwendungen von Drittanbietern benötigt werden, um mit Active Directory zu arbeiten. Es kann verwendet werden, um entsprechende Ports auf Firewalls zu öffnen.
Der Melder für Domänencontrollerrollen listet alle Domänencontroller und ihre jeweiligen Rollen in der Domäne auf. Es kann Administratoren dabei helfen, alle zugeordneten Rollen eines Domänencontrollers zu identifizieren.
Der Lokaler Benutzer-Manager hilft Administratoren bei der Verwaltung von Benutzerkonten innerhalb der Domäne. Es bietet Informationen über lokale Benutzerkonten und ermöglicht auch die Verwaltung dieser Konten über eine komfortable Benutzeroberfläche.
Der Überwachungstool für Domänencontroller ist ein einfaches Tool, das die Domains automatisch erkennt und anzeigt. Es zeigt verschiedene Parameter von Domänencontrollern wie CPU-Auslastung, Festplattenauslastung und Speicherauslastung. Sie können auch andere Parameter wie Seitenlesevorgänge pro Sekunde, Seitenschreibvorgänge pro Sekunde, Dateilesevorgänge, Dateischreibvorgänge usw. anzeigen.
Der Kennwortrichtlinien-Manager ermöglicht es jedem Benutzer, die Kennwortrichtlinie der Domäne abzurufen und anzuzeigen. Außerdem können Benutzer mit Administratorrechten die Domänenkennwortrichtlinie bearbeiten.
Wie der Name schon sagt, die Berichtstool für leere Passwortbenutzer wird verwendet, um die Benutzerkonten zu finden, deren Kennwortfelder auf null gesetzt sind, und hilft Administratoren, sicherheitsrelevante Probleme zu vermeiden.
Der Suche nach Active Directory-Duplikaten ist ein Powershell-Dienstprogramm, mit dem Administratoren doppelte Einträge für Active Directory-Attribute in einer Domäne identifizieren können. Doppelte Einträge werden bequem aufgelistet und helfen Administratoren dabei, ein duplikatfreies Active Directory zu gewährleisten.
Der DNS-Reporter hilft Ihnen, Informationen zur DNS-Infrastruktur Ihres Netzwerks zu erhalten. Es kann die Details der verfügbaren DNS-Einträge, ihre entsprechenden Eintragstypen, IP-Adressen und die Dienstdetails anzeigen, indem Sie einfach einen Domänennamen eingeben.
Der Verwaltung von Dienstkonten wurde entwickelt, um Ihnen zu helfen, verwaltete Dienstkonten mit nur wenigen Klicks einfach zu erstellen, zu bearbeiten und zu löschen. Dieses Tool erfordert keine Kenntnisse von PowerShell, dem üblichen Tool, das zum Ausführen dieser Aufgaben verwendet wird.
Der Bericht über schwache Passwortbenutzer hilft bei der Suche nach schwachen Kennwörtern in Active Directory, indem es die Kennwörter der Benutzer mit einer Liste von über 100.000 häufig verwendeten schwachen Kennwörtern vergleicht. Sie können dann die Benutzer mit schwachen Passwörtern zwingen, ihre Passwörter bei der nächsten Anmeldung zu ändern.
3. Enow-Kompass
Kompass von ENow Software hilft Ihnen, versteckte Probleme in Ihrer Umgebung zu identifizieren, bevor sie kompromittiert wird. Es ermöglicht die Netzwerküberwachung Ihres Active Directory und aller Domänencontroller in Echtzeit. Kompass kann sicherstellen, dass Ihr Active Directory in Ordnung ist, indem es die DFS/FRS-Replikation überwacht. Es findet auch DNS-Namensauflösungsprobleme und hilft bei der Fehlerbehebung problematischer Anwendungen, damit Ihr AD reibungslos läuft.
Kompass hat über 50 Berichte, die die Prüfung der Domänen-Admins-Gruppe, die Identifizierung und Entfernung inaktiver Benutzerkonten und die Identifizierung von FSMO-Rollen beinhalten. Das Tool ist schnell installiert und einfach zu bedienen. Es verfügt über ein intuitives und benutzerfreundliches Dashboard, das hilft, Probleme frühzeitig zu erkennen, bevor sie zu Ausfällen werden.
Detaillierte Preisinformationen für Kompass erhalten Sie, indem Sie sich an den Enow-Vertrieb wenden und eine kostenlose 14-Tage-Testversion erhalten.
4. Anturis Active Directory-Überwachung
Die Hälfte der Arbeit bei der Verwaltung von Active Directory besteht darin, sicherzustellen, dass alle Dienste reibungslos laufen, und genau das ist es, was die Active Directory-Monitor von Anturis dreht sich alles um. Dieses Tool kann Sie per E-Mail, SMS oder Sprachanrufbenachrichtigung auf ungewöhnliche Situationen aufmerksam machen. Sie können auch die verwenden Active Directory-Monitor um Leistungsbasislinien für Ihre Active Directory-Server und Replikationsstruktur festzulegen, die es Ihnen ermöglichen, Leistungstrends zu erkennen und das Risiko von Engpässen zu verringern, bevor sie sich negativ auf Ihre AD-Leistung auswirken.
Der Active Directory-Monitor zeigt Ihnen Server- und LDAP-Sitzungen und legt Warnschwellen fest. Es zeigt Ihnen auch Kerberos- und NTLM-Authentifizierungen pro Sekunde, was Ihnen eine Vorstellung von der allgemeinen Serverlast gibt. Und da die Replikation einer der wichtigsten Aspekte von Active Directory ist, werden auch Replikationsleistungsmetriken wie Replikationsstatus, ausstehende DRA-Replikationssynchronisierungen und ausstehende DRA-Replikationsvorgänge überwacht.
Active Directory-Monitor ist ein Cloud-basierter Dienst und es sind mehrere Abonnementpläne zu Preisen erhältlich, die von 10 USD/Monat für 10 Monitore bis 650 USD/Monat für 1000 Monitore reichen. Eine kostenlose Version ist ebenfalls verfügbar, aber sie ist auf 5 Monitore beschränkt. Alle kostenpflichtigen Pläne haben jedoch eine kostenlose 30-Tage-Testversion.
5. Aktiver Quest-Administrator
Las auf unserer Liste ist die Suche Aktiver Administrator. Dies ist eine vollständige und integrierte Active Directory-Verwaltungssoftwarelösung. Es überbrückt die Lücken, die die Tools von Microsoft hinterlassen. Die Tools machen es einfacher und schneller, Auditing-Anforderungen und Sicherheitsanforderungen zu erfüllen. Es verfügt über Funktionen, die viele der wichtigsten Bereiche des AD-Managements ansprechen.
Zu den Hauptfunktionen des Tools gehört Active Administrator, der eine integrierte, proaktive Verwaltung bietet. Es verfügt auch über intuitive Berichterstellung und Warnmeldungen, mit denen Sie Änderungen schnell überwachen und melden können, indem Sie Ereignistyp, Benutzer und Datum sowie Anmelde- und Sperraktivitäten von Benutzern filtern. Sie können auch Ereigniswarnungen festlegen und auf Warnungen basierende Aktionen automatisieren.
Die Preise für Active Administrator gelten pro aktiviertem Benutzerkonto in Ihrem AD und beginnen bei 16,37 $ für eine unbefristete Lizenz mit einjährigem Support. Es muss eine Mindestlizenz für 20 Benutzerkonten erworben werden. Eine kostenlose 30-Tage-Testversion kann heruntergeladen werden.