Einführung in Active Directory-Domänen und -Gesamtstrukturen

Seit seiner Einführung vor ziemlich genau 20 Jahren mit der Einführung von Windows 2000 Server Edition im Februar 1999 ist Active Directory eine Schlüsselkomponente des Microsoft-Server-Ökosystems. Sein Hauptzweck ist das Aufbewahren von Informationen über vernetzte Ressourcen. Computernetzwerke können ziemlich kompliziert sein. Folglich neigt Active Directory auch dazu, kompliziert zu sein, weshalb unser Hauptziel heute darin besteht, Ihnen eine Einführung in Active Directory-Domänen und -Gesamtstrukturen zu geben.

Wir beabsichtigen nicht, Sie zu Active Directory-Experten zu machen, aber wir hoffen, etwas Licht in dieses komplizierte Thema zu bringen. Angesichts der relativ hohen Komplexität der Technologie ist es auch nicht verwunderlich, dass mehrere Tools von Drittanbietern entwickelt wurden, um verschiedene Aspekte von Active Directory zu überwachen und/oder zu verwalten. Wir werden uns also ansehen, was einige von ihnen für Sie tun können.

So planen wir unsere Reise in den Kern von Active Directory: Wir beginnen damit, jegliche Verwirrung zu beseitigen, die es mit dem Konzept der Domäne geben könnte. Es ist ein Schlüsselelement von AD, aber auch ein Schlüsselelement des Internets, und dennoch handelt es sich um zwei völlig unterschiedliche Arten von Domänen, die nicht verwechselt werden sollten. Anschließend stellen wir Active Directory vor, was es ist und woher es kommt. Als Nächstes besprechen wir AD-Domänen und die Bäume, die wir verwenden, um ihre Struktur darzustellen. In der Natur wird eine Gruppe von Bäumen als Wald bezeichnet. Nun, dasselbe gilt für Active Directory, wie wir gleich sehen werden. Das Verwalten und Überwachen von Active Directory wird unsere nächste Aufgabe sein, und schließlich werden wir, während wir uns mit diesem Thema befassen, einige der besten Überwachungs- und Verwaltungstools für Active Directory besprechen.

Verwirrung vermeiden – Was ist eine Domain?

Eine Domäne kann viele Dinge sein, je nachdem, in welchem ​​Bereich Sie tätig sind. Und selbst in der Informationstechnologie wird der Begriff Domäne für zwei sehr unterschiedliche Dinge verwendet. Die erste Art von Domain, mit der die meisten Computernutzer – selbst diejenigen, die keine Informatiker sind – vertraut sind, ist die Internet-Domain. Es ist eine Gruppe von Internetressourcen, die zu einer bestimmten Organisation gehören. Domänennamen werden verwendet, um auf verschiedene Ressourcen unter Verwendung benutzerfreundlicher(er) Namen statt kryptischer IP-Adressen zuzugreifen. Beispielsweise ist wdzwdz.com der Domainname dieser Website. Microsoft.com ist ein weiterer bekannter Domainname und ich bin mir ziemlich sicher, dass Ihnen leicht Dutzende weitere einfallen werden.

Der andere Ort, an dem der Begriff Domäne häufig verwendet wird, bezieht sich auf Active Directory. Eine Active Directory-Domäne ist eine Gruppe von Ressourcen (merken Sie die Ähnlichkeit mit den vorherigen Domänen?), die von einer einzigen Authentifizierungsdatenbank abgedeckt werden. Wir werden AD-Domänen in Kürze ausführlicher beschreiben. Im Moment ist es wichtig zu verstehen, dass derselbe Begriff verwendet wird, um zwei völlig voneinander unabhängige Konzepte zu definieren, und dass es wichtig ist, sie nicht zu verwechseln, da sie definitiv nicht dasselbe sind.

Active Directory auf den Punkt gebracht

Die erste Frage, die im Allgemeinen zu Active Directory gestellt wird, lautet: Was ist das genau? Die Antwort ist einfach, es handelt sich um Microsofts Implementierung eines LDAP-Verzeichnisdienstes. Diese Antwort ist zwar absolut exakt, aber möglicherweise nutzlos und wirft mehr Fragen auf, als sie beantwortet.

Lass uns graben. Erstens ist ein Verzeichnisdienst im Zusammenhang mit Computernetzwerken eine Datenbank, die Informationen über jede einzelne Komponente eines Netzwerks enthält. Unter Komponenten verstehen wir jeden Computer und Server, aber auch jeden Benutzer oder jede Benutzergruppe oder jedes Verzeichnis. Sie können es sich wie ein Telefonbuch vorstellen. Jede Ressource, die eine andere Ressource finden muss, sucht sie im Verzeichnis.

Der LDAP-Teil unserer ersten Antwort ist ein Akronym für Lightweight Directory Access Protocol. Einfach ausgedrückt definiert LDAP, wie Informationen über Ressourcen in der Datenbank gespeichert werden und wie auf diese Informationen zugegriffen werden kann. Es handelt sich um ein Industriestandardprotokoll, das von mehreren Anbietern gemeinsam genutzt wird, was leider nicht bedeutet, dass verschiedene Implementierungen interoperabel sind.

Eine Active Directory-Struktur ist eine hierarchische Organisation von Objekten. Es gibt drei Hauptkategorien von Objekten: Ressourcen (z. B. Computer oder Drucker), Dienste (z. B. E-Mail) und Benutzer (Benutzerkonten und Benutzergruppen). Active Directory stellt Informationen über die Objekte bereit, organisiert sie und steuert ihren Zugriff und ihre Sicherheit. Es ist in jeder Hinsicht eine Datenbank von Einträgen, wobei jeder Eintrag einen Namen und einen Satz von Attributen hat. Jedes Attribut hat einen Namen, einen Typ und einen oder mehrere Werte. Attribute werden im Schema der Datenbank definiert.

Sie können sich die hierarchische Struktur einer Active Directory-Datenbank wie die eines Dateisystems vorstellen. Und genau wie ein Dateisystem Container (als Verzeichnisse oder Ordner bezeichnet) hat, hat AD sie auch. Sie werden Organisationseinheiten (OU) genannt und helfen, verwandte Dinge zusammenzufassen. Systemadministratoren können nach Belieben Organisationseinheiten erstellen, und es ist beispielsweise nicht ungewöhnlich, einzelne Organisationseinheiten für jede Abteilung einer Organisation zu sehen.

Active Directory-Domänen

Da wir nun alle auf derselben Seite sind, was Active Directory ist, werfen wir einen Blick auf Domänen. Interessanterweise sind Domänen mehrere Jahre älter als Active Directory. Noch bevor Microsoft 1999 seinen eigenen LDAP-Verzeichnisdienst herausbrachte, gab es Domains schon seit den Anfängen von Windows NT. In einem typischen Netzwerk von Windows-Servern ist mindestens einer von ihnen – und häufig zwei oder mehr – als Domänencontroller konfiguriert. Sie sind die Server, die die Domänendatenbank hosten, wodurch Benutzer authentifiziert und der Zugriff auf Ressourcen kontrolliert werden. Die Informationen, die sie besitzen, werden zwischen ihnen repliziert. Und nicht zuletzt sind die Objekte einer Domäne hierarchisch organisiert.

Die Bäume und der Wald

Eine Baumanalogie wird häufig verwendet, um hierarchische Strukturen wie eine Domäne zu beschreiben. Aber mit Active Directory hat Microsoft beschlossen, diese Analogie noch einen Schritt weiter zu führen und nennt eine hierarchische Struktur von Domänen einen Baum. Denken Sie daran, dass eine Domäne eine Gruppe von Ressourcen ist, die von einer Datenbank gesteuert wird, aber ein Baum kann aus verschiedenen Gründen aus mehreren Domänen bestehen. Dies ist etwas, was in größeren Organisationen durchaus üblich ist, und es ist überhaupt nicht ungewöhnlich, eine Domäne für jede Abteilung eines großen Unternehmens zu sehen. Und für noch größere Organisationen können Bäume in, Sie haben es erraten, Wäldern gruppiert werden. Dies ist das oberste Element in Active Directory und alles andere stammt davon ab.

Verwalten und Überwachen von Active Directory

Überwachung ist alles! Wenn Sie ein Netzwerk- oder Systemadministrator sind, haben Sie diesen Satz wahrscheinlich unzählige Male gehört. Und weisst du was? Es ist alles! Überwachung ist eine der besten Möglichkeiten, um den Überblick zu behalten. Es gibt verschiedene Arten von Überwachungstools, mit denen Sie genau die Art von Metriken erhalten, nach denen Sie suchen. Beispielsweise berichtet die Bandbreitenüberwachung über die Nutzung verschiedener Segmente eines Netzwerks, die CPU-Überwachung zeigt die CPU-Messwerte Ihrer Server an. Die meisten Betriebsmetriken von Systemen und Netzwerken können überwacht werden. Der Hauptvorteil der Verwendung von Überwachungstools besteht darin, dass sie größtenteils automatisch sind. Sie müssen sie nicht ständig beobachten. Wann immer etwas ungewöhnlich ist, werden Sie von Ihrem/Ihren Überwachungstool(s) gewarnt.

Im Fall von Active Directory können mehrere Parameter überwacht werden. Beispielsweise könnten Domänencontroller – die Server, auf denen die Datenbank einer Domäne gespeichert ist – auf Reaktion und Leistung überwacht werden. Änderungen an Zugriffsrechten könnten ebenfalls mit einigem Vorteil überwacht werden. Anmeldungen – insbesondere fehlgeschlagene – sind ein weiterer Parameter, der überwacht werden sollte, da er ein Hinweis auf böswillige Aktivitäten sein könnte.

Active Directory Management ist etwas anderes. Mehrere Tools werden von Microsoft bereitgestellt, um Sie bei der Verwaltung von Active Directory zu unterstützen. Mit ihnen können Sie Objekte erstellen, Rechte zuweisen und im Allgemeinen die meisten alltäglichen Aktivitäten im Zusammenhang mit der AD-Verwaltung ausführen. Einige dieser Tools können sich jedoch als ziemlich umständlich oder unpraktisch in der Verwendung erweisen, und mehrere Anbieter haben sich verstärkt, um verschiedene Active Directory-Verwaltungstools anzubieten, die die Aufgabe der Verwaltung von Active Directory erheblich erleichtern können.

Die besten AD-Tools

Wir haben den Markt nach einigen der besten Active Directory-Tools durchforstet. Was wir heute für Sie haben, ist eine Mischung aus Überwachungstools – einige AD-spezifisch und einige generisch – und Verwaltungstools. Sie alle können Ihnen – und das war eines unserer wichtigsten Aufnahmekriterien – bei Ihren täglichen Aufgaben im Zusammenhang mit Active Directory helfen. Einige sind sicherheitsorientiert, während andere leistungsorientiert sind.

1- SolarWinds Access Rights Manager (KOSTENLOSE TESTVERSION)

SolarWinds ist einer der besten Herausgeber von Netzwerk- und Systemverwaltungssoftware. Sein Flaggschiff namens Network Performance Monitor punktet durchweg unter den Top-Systemen zur Überwachung der Netzwerkbandbreite. Darüber hinaus ist das Unternehmen auch für seine kostenlose Software bekannt. Wir sprechen von kleineren Tools, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren eingehen. Zwei großartige Beispiele für diese kostenlosen Tools sind der Advanced Subnet Calculator und der Kiwi Syslog Server.

Trotz eines etwas irreführenden Namens, der Sie glauben lassen könnte, dass es sich nur um Objektberechtigungen handelt, the SolarWinds-Zugriffsrechte-Manager zielt in erster Linie darauf ab, die Bereitstellung und Aufhebung der Bereitstellung, Verfolgung und Überwachung von Benutzern zu vereinfachen. Es bietet auch eine leistungsstarke und einfache Möglichkeit, Benutzerberechtigungen zu verwalten und zu überwachen, um sicherzustellen, dass keine unnötigen Berechtigungen erteilt werden.

Eine der größten Stärken dieses Produkts ist sein intuitives Benutzerverwaltungs-Dashboard, mit dem Sie Benutzerzugriffe auf verschiedene Dateien und Ordner erstellen, ändern, löschen, aktivieren und deaktivieren können. Es enthält rollenspezifische Vorlagen, mit denen Benutzer problemlos auf bestimmte Ressourcen in Ihrem Netzwerk zugreifen können.

Ebenfalls sehr interessant und ziemlich einzigartig sind die SolarWinds-Zugriffsrechte-ManagerBerichtsfunktionen von . Die Software kann Berichte erstellen, die im Falle von Streitigkeiten oder eventuellen Rechtsstreitigkeiten als Beweismittel verwendet werden können. Detaillierte Berichte zu Prüfungszwecken und zur Einhaltung von Spezifikationen, die durch für Ihr Unternehmen geltende regulatorische Standards festgelegt sind, sind ebenfalls verfügbar. Berichte lassen sich schnell und einfach mit wenigen Klicks erstellen. Sie können alle Informationen enthalten, die Sie nützlich finden. Beispielsweise könnten Protokollaktivitäten in Active Directory und Dateiserverzugriffe in einen Bericht aufgenommen werden. Es ist Sache des Benutzers, sie so zusammengefasst oder detailliert zu gestalten, wie er es benötigt.

Angriffe und/oder Datenlecks treten häufig auf, wenn Benutzer auf Ordner und/oder deren Inhalte zugreifen, die keine Zugriffsberechtigung haben oder haben sollten. Dies ist eine häufige Situation, wenn Benutzern weitreichender Zugriff auf Ordner oder Dateien gewährt wird. Der SolarWinds-Zugriffsrechte-Manager kann Ihnen helfen, diese Art von Lecks und unbefugten Änderungen an vertraulichen Daten und Dateien zu verhindern. Es bietet Administratoren eine visuelle Darstellung der Berechtigungen für mehrere Dateiserver und lässt einen einfach und visuell sehen, wer welche Berechtigungen für welche Datei hat.

Preise für die SolarWinds-Zugriffsrechte-Manager basiert auf der Anzahl der aktivierten Benutzer innerhalb von Active Directory. Im SolarWinds-Sprachgebrauch ist ein aktivierter Benutzer entweder ein aktives Benutzerkonto oder ein Dienstkonto. Die Preise für das Produkt beginnen bei 2.995 $ für bis zu 100 aktive Benutzer. Für mehr Benutzer (bis zu 10.000) erhalten Sie detaillierte Preise, indem Sie sich an den Vertrieb von SolarWinds wenden. Wenn Sie das Tool vor dem Kauf testen möchten, können Sie eine kostenlose unbegrenzte 30-Tage-Testversion erhalten.

2- SolarWinds Server and Application Monitor (KOSTENLOSE TESTVERSION)

Der SolarWinds Server und Application Monitor wurde entwickelt, um Administratoren dabei zu helfen, Server, ihre Betriebsparameter, ihre Prozesse und die darauf ausgeführten Anwendungen zu überwachen. Es ist eines der besten Tools, mit denen Sie Ihre Active Directory-Domänencontroller und die kritischen Dienste, die sie ausführen müssen, überwachen können. Aber das Tool überwacht auch einige oder alle Ihre Server. Es kann problemlos von den kleinsten Netzwerken zu großen Netzwerken mit Hunderten von Servern – sowohl physisch als auch virtuell – skaliert werden, die über mehrere Standorte verteilt sind.

Die von SolarWinds Server and Application Monitor angebotene Active Directory-Leistungsüberwachung gibt Ihnen Einblick in Active Directory-Probleme im Zusammenhang mit Benutzerkonten, wie z. B. Kontoerstellung, Kennwortänderung und Zurücksetzungsversuche, deaktivierte und gelöschte Benutzerkonten. Es bietet auch Informationen zu Domänen- und Systemrichtlinienänderungen und Datenwiederherstellung sowie Einblicke in Firewall-Einstellungen und andere Systemänderungen und aktuell ausgeführte Dienste. Das Tool ermöglicht auch die Überwachung von LDAP-Sitzungen. Da sich die Anzahl der verbundenen Clients auf die Serverlast auswirkt, überwacht das Tool die NTDS-Objektzähler, um eine mit einer bestimmten LDAP-Sitzung verbundene Serverüberlastung zu verhindern. Darüber hinaus kann die Software Einblicke in erweiterte Statistiken wie aktive LDAP-Threads, Bindungszeit, Clientsitzungen, erfolgreiche Bindungen/Sek. und Suchen/Sek.

Die Erstkonfiguration des Produkts erfolgt schnell und einfach mit Hilfe eines zweistufigen automatischen Erkennungsprozesses. Der erste Durchlauf erkennt jeden Server und der zweite findet Anwendungen auf jedem erkannten Server. Obwohl dieser Vorgang einige Zeit in Anspruch nehmen kann, kann er beschleunigt werden, indem Sie eine Liste mit bestimmten zu suchenden Anwendungen bereitstellen. Sobald das Tool betriebsbereit ist, macht die benutzerfreundliche GUI die Verwendung zum Kinderspiel. Das Dashboard des Tools kann personalisiert werden und ermöglicht es Ihnen, Informationen entweder in einem Tabellen- oder Grafikformat anzuzeigen.

Der Preis für SolarWinds Server and Application Monitor beginnt bei 2.995 US-Dollar und basiert auf der Anzahl der überwachten Komponenten, Knoten und Volumes. Eine kostenlose 30-Tage-Testversion steht zum Download bereit, falls Sie das Produkt vor dem Kauf ausprobieren möchten.

3- Kostenlose AD-Tools von ManageEngine

ManageEngine ist ein weiterer bekannter Name bei System- und Netzwerkadministratoren. Das ManageEngine OpManager-Paket gehört zu den Top-Tools zur Überwachung der IT-Infrastruktur. Wie einige seiner Konkurrenten stellt ManageEngine einige großartige kostenlose Tools her. Und wenn es um Active Directory geht, bietet das Unternehmen nicht weniger als fünfzehn kostenlose Tools an, die bei der Überwachung und Verwaltung Ihrer AD-Infrastruktur helfen können. Es gibt eine Kombination aus eigenständigen Programmen und Powershell-Cmdlets. Die meisten Tools sind in einem einzigen Download gebündelt, daher sollte es kein großes Problem sein, sie zu erhalten. Mal sehen, was die interessantesten dieser Tools sind.

AD-Abfragetoolwie der Name schon sagt, ermöglicht es Ihnen, beliebige Attributdaten, die Sie benötigen, aus dem Active Directory zu lesen
Suche nach letzter Anmeldung wird verwendet, um die letzte Anmeldezeit aller oder ausgewählter Benutzer in allen ausgewählten Domänencontrollern in der Domäne aufzulisten. Es wird normalerweise für Audit- und Bereinigungsaktivitäten verwendet.
Active Directory-Replikations-Manager ermöglicht Administratoren die Replikation von Daten in einer Domäne und bietet umfassende Berichte über die letzte Replikation.
Melder für Domänencontrollerrollen listet alle Domänencontroller und ihre jeweiligen Rollen in der Domäne auf.
Überwachungstool für Domänencontroller ist ein einfaches, aber leistungsstarkes Werkzeug. Domänen werden automatisch erkannt und angezeigt, wobei wichtige Parameter von Domänencontrollern wie CPU-Auslastung, Festplattenauslastung und Speicherauslastung angezeigt werden.

Kennwortrichtlinien-Manager ermöglicht es einem, die Kennwortrichtlinie der Domäne abzurufen, anzuzeigen und zu bearbeiten – vorausgesetzt, er verfügt über die entsprechenden Rechte.
Suche nach Active Directory-Duplikaten ist ein Powershell-Dienstprogramm, mit dem Administratoren doppelte Einträge für Active Directory-Attribute in einer Domäne identifizieren können.
Verwaltung von Dienstkonten wurde entwickelt, um Ihnen zu helfen, verwaltete Dienstkonten mit nur wenigen Klicks einfach zu erstellen, zu bearbeiten und zu löschen.
Bericht über schwache Passwortbenutzer hilft bei der Suche nach schwachen Kennwörtern in Active Directory, indem es die Kennwörter der Benutzer mit einer Liste von über 100.000 häufig verwendeten schwachen Kennwörtern vergleicht.

Dies sind nur einige der vielen kostenlosen Active Directory-Tools, die von ManageEngine bereitgestellt werden. Während die Verwendung separater Tools für jede einzelne Aufgabe wahrscheinlich nicht so praktisch ist wie die Verwendung eines integrierten Tools mit allen integrierten Funktionen, ist der Preis dieser Tools kaum zu schlagen und könnte sie sicherlich zu einer erwägenswerten Option machen.

4- Aktiver Administrator

Der letzte auf unserer Liste ist Active Administrator von Quest Software, jetzt Teil von Dell. Dies ist eine vollständige und integrierte Active Directory-Verwaltungssoftwarelösung. Es überbrückt die Lücken, die einige Tools von Microsoft hinterlassen. Dies ist die Art von Tool, das es einfacher und schneller machen kann, sowohl Sicherheits- als auch Auditanforderungen zu erfüllen. Es verfügt über Funktionen, die viele der wichtigsten Bereiche des AD-Managements ansprechen.

Zu den Hauptfunktionen des Tools gehört Active Administrator, der eine integrierte, proaktive Verwaltung bietet. Dies ist auch ein sehr leistungsfähiges Überwachungstool mit intuitiver Berichterstellung und Benachrichtigung, mit dem Sie Änderungen schnell erkennen und darüber berichten können, indem Sie nach Ereignistyp, Benutzer und Datum sowie Benutzeranmeldung und -sperraktivität filtern. Sie können auch Ereigniswarnungen festlegen und automatisch warnungsbasierte Aktionen starten.

Die Preise für Active Administrator gelten pro aktiviertem Benutzerkonto in Ihrem Active Directory und beginnen bei 16,37 $ für eine unbefristete Lizenz mit einjährigem Support. Es muss eine Mindestlizenz für 20 Benutzerkonten erworben werden. Eine kostenlose 30-Tage-Testversion kann heruntergeladen werden.