Что такое дерево доменов
Использование модели доменного леса организации
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В модели доменного леса организации несколько автономных групп, каждый из которых является доменом в лесу. Каждая группа управляет администрированием службы на уровне домена, что позволяет им управлять определенными аспектами управления службами автономно, в то время как владелец леса управляет управлением службами на уровне леса.
На следующем рисунке показана модель доменного леса организации.
Автономность службы на уровне домена
Модель доменного леса организации обеспечивает делегирование полномочий для управления службами на уровне домена. В следующей таблице перечислены типы управления службами, которыми можно управлять на уровне домена.
| Тип управления службами | Связанные задачи |
|---|---|
| Управление операциями контроллера домена | — Создание и удаление контроллеров домена — Мониторинг работоспособности контроллеров домена — Управление службами, работающими на контроллерах домена; — Резервное копирование и восстановление каталога; |
| Настройка параметров на уровне домена | — Создание политик доменных и доменных учетных записей пользователей домена, таких как пароли, Kerberos и политики блокировки учетных записей. — Создание и применение групповая политика на уровне домена |
| Делегирование администрирования на уровне данных | — Создание подразделений (OU) и делегирование администрирования — Устранение проблем в структуре подразделений, которые владельцы подразделения не имеют достаточных прав доступа для исправления |
| Управление внешними довериями | — Установка отношений доверия с доменами за пределами леса |
Ответственность за другие типы управления службами, такие как управление схемой или топологией репликации, несет владелец леса.
Владелец домена
В модели доменного леса организации владельцы доменов отвечают за задачи управления службами на уровне домена. Владельцы доменов имеют полномочия на весь домен, а также доступ ко всем остальным доменам в лесу. По этой причине владельцы доменов должны быть доверенными лицами, выбранными владельцем леса.
Делегируйте управление службой на уровне домена владельцу домена, если выполняются следующие условия.
Все группы, участвующие в лесу, доверяют новому владельцу домена и методикам управления службами нового домена.
Новый владелец домена доверяет владельцу леса и всем остальным владельцам домена.
Все владельцы доменов в лесу согласуются с тем, что новый владелец домена имеет политики управления администраторами служб, а также стратегии и рекомендации по выбору, которые являются эквивалентными или более ограниченными.
Все владельцы доменов в лесу договариваются, что контроллеры домена, управляемые новым владельцем домена в новом домене, являются физически безопасными.
Обратите внимание, что если владелец леса делегирует Управление службой на уровне домена владельцу домена, другие группы могут не присоединиться к этому лесу, если он не доверяет этому владельцу домена.
Все владельцы доменов должны знать, что при изменении какого-либо из этих условий в будущем может потребоваться переместить организационные домены в развертывание нескольких лесов.
еще один способ снизить риски безопасности для домена Windows Server 2008 Active Directory — использовать разделение ролей администратора, которое требует развертывания контроллера домена только для чтения (RODC) в инфраструктуре Active Directory. RODC — это новый тип контроллера домена в операционной системе Windows Server 2008, где размещаются разделы Active Directory базы данных, предназначенные только для чтения. до выпуска Windows Server 2008 все действия по обслуживанию сервера на контроллере домена должны быть выполнены администратором домена. в Windows Server 2008 можно делегировать разрешения локального администратора для контроллера домена только для чтения другому пользователю домена, не предоставляя этому пользователю никаких прав администратора для домена или других контроллеров домена. Это позволяет Делегированному пользователю входить в RODC и выполнять обслуживание, например обновление драйвера на сервере. Однако этот делегированный пользователь не может войти в любой другой контроллер домена или выполнить другие административные задачи в домене. Таким образом, любой доверенный пользователь может делегировать возможность эффективного управления RODC без ущерба для безопасности остальной части домена. Дополнительные сведения о RODC см. в разделе AD DS: Read-Only контроллеры домена.
HOW-TO: Разбираемся с деревьями в лесу, изучая терминологию Active Directory
Высший уровень логической иерархии AD — это лес. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации.
В состав леса могут входить как один, так и несколько доменов. Все объекты, создаваемые внутри леса, имеют общий набор атрибутов. Например, объект «пользователь» содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и другие параметры. Меняя этот набор, мы меняем его для всех объектов леса. Такой набор называется схемой AD. Она описывает все объекты, которые мы можем создать, и их структуру.
По умолчанию первый домен, который создан в лесу, считается его корневым доменом. Под доменом понимается логическая группа пользователей и компьютеров, которые поддерживают централизованное администрирование и настройки безопасности. Домен также служит единицей для репликации — все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.
Домены принято именовать, используя пространство имен DNS. Доверие, в свою очередь, — это связь между двумя доменами, при которой устанавливаются разрешения на доступ к тем или иным объектам другого домена. Дерево — не что иное, как набор доменов, которые используют связанные пространства имен. К примеру, если домен называется xakep.ru, то дочерний домен test будет выглядеть как test.xakep.ru. Резюмируя, можно условно нарисовать такую схему: «Лес — дерево — домен».
Xakep #271. Сила четырех байтов
Чаще всего в организациях используют самую простую структуру. Один лес и в нем корневой домен, который содержит различные объекты, такие как пользователи и компьютеры. Развитая структура встречается в основном в крупных компаниях, с большим штатом ИТ-специалистов и разными уровнями ответственности. Зачастую полные права есть лишь у архитекторов, а рядовые администраторы имеют права только в своих доменах.
С первоначальной терминологией все. В одном из следующих выпусков расскажу о типах доверительных отношений.
Основные понятия и функции лесов ресурсов для доменных служб Azure Active Directory
Доменные службы Azure Active Directory (Azure AD DS) предоставляют возможность входа для устаревших локальных бизнес-приложений. Пользователи, группы и хэши паролей локальных и облачных пользователей синхронизируются с управляемым доменом Azure AD DS. Эти синхронизированные хэши паролей дают пользователям единый набор учетных данных, которые они могут использовать для локальных AD DS, Microsoft 365 и Azure Active Directory.
Хотя это защищенный метод с дополнительными преимуществами безопасности, некоторые организации не могут синхронизировать эти хэши паролей пользователей с Azure AD или Azure AD DS. Пользователи в организации могут не знать свой пароль, так как используют только проверку подлинности с помощью смарт-карты. Эти ограничения не позволяют некоторым организациям использовать Azure AD DS для переноса локальных классических приложений в Azure методом lift-and-shift.
В связи с этими потребностями и ограничениями можно создать управляемый домен, использующий лес ресурсов. В этой статье объясняется, что собой представляют леса и как они доверяют другим ресурсам, чтобы обеспечить безопасный метод проверки подлинности.
Что такое леса?
Лес — это логическая конструкция, используемая доменными службами Active Directory (AD DS) для группирования одного или нескольких доменов. Затем домены сохраняют объекты для пользователей или групп и предоставляют службы проверки подлинности.
На управляемых доменах Azure AD DS лес содержит только один домен. Локальные леса AD DS часто содержат много доменов. В крупных организациях, особенно после слияния и приобретения, у вас может быть несколько локальных лесов, каждый из которых будет содержать несколько доменов.
По умолчанию управляемый домен создается как лес объектов пользователя. Лес этого типа синхронизирует все объекты из Azure AD, включая учетные записи пользователей, созданные в локальной среде AD DS. Учетные записи пользователей могут напрямую проходить проверку подлинности в управляемом домене, например для входа в виртуальную машину, присоединенную к домену. Лес пользователей работает, когда хэши паролей можно синхронизировать и пользователи не используют единственный метод входа, например проверку подлинности с помощью смарт-карты.
В лесу ресурсов управляемого домена проверка подлинности пользователей осуществляется с помощью одностороннего доверия леса из локальных AD DS. При таком подходе пользовательские объекты и хэши паролей не синхронизируются с управляемым доменом. Пользовательские объекты и учетные данные существуют только в локальных AD DS. Такой подход позволяет предприятиям размещать в Azure ресурсы и платформы приложений, которым требуется классическая проверка подлинности, например LDAPS, Kerberos или NTLM, при этом устраняются проблемы проверки подлинности.
Леса ресурсов также предоставляют возможность переноса приложений методом lift-and-shift по одному компоненту за раз. Многие устаревшие локальные приложения являются многоуровневыми, часто используют веб-сервер или внешний интерфейс и множество компонентов, связанных с базами данных. Эти уровни затрудняют перемещение всего приложения в облако за один шаг. С помощью лесов ресурсов вы можете переносить приложение в облако поэтапно, чтобы упростить задачу.
Что такое отношения доверия?
Организациям, имеющим более одного домена, часто требуется, чтобы у пользователей был доступ к общим ресурсам в другом домене. Для доступа к этим общим ресурсам пользователи из одного домена должны пройти проверку подлинности в другом домене. Чтобы обеспечить эти возможности проверки подлинности и авторизации для клиентов и серверов в разных доменах, между двумя доменами должно быть установлено доверие.
Когда отношения доверия установлены, механизмы проверки подлинности для каждого домена доверяют проверки подлинности другого домена. Отношения доверия обеспечивают управляемый доступ к общим ресурсам в домене ресурсов (доверяющий домен) путем проверки того, что входящие запросы на проверку подлинности поступают из доверенного центра (доверенного домена). Отношения доверия действуют как мосты, которые пропускают только проверенные запросы проверки подлинности между доменами.
Способ передачи запросов на проверку подлинности в рамках отношений доверия зависит от настройки. Отношения доверия можно настроить одним из следующих способов:
Отношения доверия также можно настроить на обработку дополнительных отношений одним из следующих способов:
В некоторых случаях отношения доверия автоматически устанавливаются при создании доменов. В других случаях необходимо выбрать тип доверия и явно установить соответствующие связи. Конкретные типы отношений доверия и структура этих отношений зависят от того, как организована служба AD DS и существуют ли в сети разные версии Windows.
Отношения доверия между двумя лесами
Вы можете расширить доверительные отношения доменов в пределах одного леса на другой лес, вручную создав одностороннее или двустороннее доверие лесов. Доверие леса — это транзитивное доверие, существующее только между корневым доменом одного леса и корневым доменом второго.
Транзитивность доверия между лесами распространяется только на два леса-партнера. Доверие между лесами не распространяется на другие леса, которым доверяет один из партнеров.
Можно создавать различные конфигурации доверия между доменами и лесами в зависимости от структуры AD DS в организации. Azure AD DS поддерживает только односторонние отношения доверия между лесами. В этой конфигурации ресурсы управляемого домена могут доверять всем доменам в локальном лесу.
Поддержка технологии для отношений доверия
Отношения доверия используют различные службы и функции, такие как DNS, для поиска контроллеров домена в партнерских лесах. Отношения доверия также используют протоколы проверки подлинности NTLM и Kerberos и механизмы управления доступом и авторизации на основе Windows, чтобы обеспечить безопасную инфраструктуру связи между доменами и лесами в AD DS. Следующие службы и компоненты помогают поддерживать успешные отношения доверия.
AD DS требуется DNS для расположения и именования контроллера домена. Для успешной работы AD DS предоставляется следующая поддержка DNS:
Обычно развертывается пространство имен домена DNS, отражающее пространство имен домена AD DS. Если перед развертыванием AD DS существует пространство имен DNS, это пространство имен DNS обычно секционируется для AD DS, а также создается поддомен DNS и делегирование для корня леса AD DS. Затем добавляются дополнительные доменные имена DNS для каждого дочернего домена AD DS.
DNS также используется для поддержки расположения контроллеров домена AD DS. Зоны DNS заполняются записями ресурсов DNS, которые позволяют узлам и службам сети обнаруживать контроллеры домена AD DS.
Приложения и сетевой вход в систему
Приложения и служба сетевого входа в систему являются компонентами модели распределенного канала безопасности Windows. Приложения, интегрированные с Windows Server и AD DS, используют протоколы проверки подлинности для взаимодействия со службой сетевого входа в систему, чтобы можно было установить защищенный путь для проверки подлинности.
Протоколы проверки подлинности
Контроллеры домена AD DS проверяют подлинность пользователей и приложений с помощью одного из следующих протоколов:
Протокол проверки подлинности Kerberos версии 5
Протокол проверки подлинности NTLM
Проверка подлинности и управление доступом
Технологии авторизации и доверия работают совместно, чтобы обеспечить безопасную инфраструктуру связи между доменами и лесами в AD DS. Авторизация определяет уровень доступа пользователя к ресурсам в домене. Отношения доверия упрощают междоменную авторизацию пользователей, предоставляя путь для проверки подлинности пользователей в других доменах, чтобы их запросы к общим ресурсам в этих доменах можно было авторизовать.
Когда запрос на проверку подлинности, сделанный в доверяющем домене, проверяется доверенным доменом, он передается целевому ресурсу. Затем целевой ресурс определяет, следует ли авторизовать конкретный запрос, сделанный пользователем, службой или компьютером, в доверенном домене на основе конфигурации контроля доступа.
Отношения доверия предоставляют механизм для проверки запросов проверки подлинности, передаваемых в доверяющий домен. Механизмы управления доступом на компьютере ресурса определяют окончательный уровень доступа, предоставленный запрашивающему объекту в доверенном домене.
Руководство по лесам и доменам Active Directory
Active Directory является ключевым элементом в методах аутентификации для пользователей в системах Microsoft. Он также управляет проверкой компьютеров и устройств, подключенных к сети, а также может быть развернут как часть системы разрешений файлов.
Microsoft все больше полагается на систему Active Directory для обеспечения управления учетными записями пользователей для ряда своих продуктов. Например, AD лежит в основе методологии аутентификации пользователей для Exchange Server.
Мы подробно расскажем об инструментах, представленных ниже, но если у вас есть время только для краткого изложения, вот наш список из пяти Лучшие инструменты для управления лесами и доменами Active Directory:
Домены, деревья и леса
Концепция домена обычно понимается сетевым сообществом. Веб-сайт является доменом и идентифицируется во Всемирной паутине по доменному имени. Другое использование этого термина заключается в адресации в сети, где все компьютеры находятся в одном адресном пространстве, или ‘сфера.»
Несколько доменов могут быть связаны вместе в древовидная структура. Таким образом, вы можете иметь родительский домен с дочерние домены связано с этим. Дочерние домены наследуют адресное пространство родителя, поэтому дочерний домен является поддоменом. Вершина древовидной структуры является корневой домен. Вся группа родителей и детей образует дерево. Дочерний по отношению к одному домену также может быть родительским по отношению к другим доменам.
Итак, представьте себе группу доменов, которые имеют тот же адрес корневого домена, что и дерево. Как только вы увидите деревья, вы сможете понять, что такое лес: это коллекция деревьев.
Распространение и тиражирование
Если вы работаете в многосайтовой сети WAN, вам нужна единая система доступа к сети для всей организации. Расположение контроллера домена может иметь серьезное влияние на производительность, пользователям в удаленных местах приходится дольше ждать, чтобы войти в сеть. Наличие копий контроллера домена локально решает эту проблему.
Если у вас есть несколько копий одного контроллера домена в разных местах, у вас нет леса.
Модуль центрального администрирования Active Directory необходимо согласовать все копии чтобы убедиться, что все базы данных одинаковы. Это требует процесса репликации. Хотя база данных разрешений Active Directory распределена по сети, это не то, что официально считается ‘распределенная база данных.В распределенной базе данных коллекция записей разделена между несколькими серверами. Таким образом, вам нужно будет посетить каждый сервер, чтобы собрать полную базу данных. Это не относится к Active Directory, потому что каждый сервер (контроллер домена) имеет точная и полная копия базы данных.
Преимущества тиражирования
Реплицированный контроллер домена имеет несколько дополнительные преимущества для безопасности. Если один контроллер домена был случайно поврежден, вы можете заменить все исходные записи, скопировав базу данных с другого сайта. Если хакер получает учетные данные от одного из пользователей в сети, он может попытаться изменить разрешения, хранящиеся в локальном контроллере домена, чтобы получить высокие привилегии или более широкий доступ к ресурсам в сети. Эти изменения могут быть отменены после обнаружения.
Постоянное сравнение баз данных контроллеров домена обеспечивает ключевую меру безопасности. Процесс репликации также может помочь вам закрыть взломанный аккаунт по всей системе. Однако восстановление исходной базы данных и развертывание обновленных записей требует очень регулярных системных проверок и проверок целостности, чтобы быть эффективными.
Управление репликацией является ключевой задачей для сетевых администраторов, работающих с Active Directory. Дело в том, что может быть много локальных контроллеров домена может дать злоумышленникам возможность обойти сегмент сети и украсть или изменить данные прежде чем быть обнаруженным и заблокированным. Координация между копиями контроллеров домена может вскоре стать очень сложной и трудоемкой задачей. Это не может быть выполнено вручную в течение разумного периода времени. Вам необходимо использовать автоматизированные методы для частых проверок на всех контроллерах домена и обновления всех серверов при изменении разрешений, которые они содержат..
Определение леса
Чтобы иметь лес, вам нужно иметь несколько доменных деревьев. Этот сценарий может существовать, если вы хотите иметь разные разрешения для разных областей вашей сети. Таким образом, у вас может быть отдельный домен для каждого сайта, или вы можете захотеть оставить разрешения для определенных ресурсов или служб в вашей сети полностью отделенными от обычной системы сетевой аутентификации. Таким образом, домены могут перекрываться географически.
Сеть вашей компании может содержать много контроллеров домена и некоторые из них будут содержать одну и ту же базу данных, в то время как другие содержат разные разрешения.
Представьте, что ваша компания предоставляет услуги для пользователей в своей сети и хочет держите эти разрешения отдельно из ресурсов, доступных сотрудникам. Это создаст два отдельных домена. Если вы также используете Exchange Server для системы электронной почты вашей компании, у вас будет другой домен AD.
Хотя система электронной почты персонала, вероятно, будет иметь такое же доменное имя, что и веб-сайт, вы НЕ ДОЛЖНЫ хранить все домены с одинаковым корнем домена в одном и том же дереве. Таким образом, система электронной почты может иметь дерево одного домена, а пользовательская сеть может иметь отдельное дерево одного домена. Итак, в этом сценарии вы имеете дело с тремя отдельными доменами, которые образуют лес.
Возможно, вы захотите разделить внутреннюю сеть на подразделы по офисным функциям, поэтому у вас будет раздел с учетными записями и отдел продаж без возможности взаимодействия. Это будут два дочерних домена родительского домена персонала, образующие дерево.
Разделение домена персонала для создания дочерних доменов требует большего количества контроллеров домена. Вместо одного контроллера домена на сайт для сети сотрудников, теперь у вас есть три на сайт, что составляет 15 на пять сайтов.
Эти 15 штатных контроллеров домена должны быть реплицированы и скоординированы с отношениями древовидной структуры между тремя исходными доменами, сохраненными на каждом из пяти сайтов. Каждый из двух других контроллеров домена отличается и не будет частью процедур репликации домена персонала. На участке есть три дерева и один лес.
Как видно из этого относительно простого примера, сложность управления доменами, деревьями и лесами может быстро стать неуправляемой без комплексного инструмента мониторинга..
Глобальный каталог
Хотя разделение ресурсов на домены, субдомены и деревья может повысить безопасность, оно не устраняет автоматически видимость ресурсов в сети. Система называется Глобальный каталог (GC) перечисляет все ресурсы в лесу, и он реплицируется на каждый контроллер домена, который является членом этого леса.
Протокол, лежащий в основе GC, называется ‘транзитивная иерархия доверия.Это означает, что все элементы системы предполагаются добросовестными и не наносят ущерба безопасности сети в целом. Следовательно, записи аутентификации, введенные в одном домене, можно доверять для предоставления доступа к ресурсу, который зарегистрирован в другом домене..
Пользователи, получившие разрешения на ресурсы в одном домене, не получают автоматически доступ ко всем ресурсам, даже в пределах одного домена. Функция GC, которая делает ресурсы видимыми для все не означает, что все пользователи могут получить доступ ко всем ресурсам во всех доменах одного леса. Все, что GC перечисляет, является именем всех объектов в лесу. Члены других доменов не могут запрашивать даже атрибуты этих объектов в других деревьях и доменах..
Несколько лесов
Есть несколько сценариев, в которых вам может понадобиться более одного леса для вашего бизнеса. Из-за GC, если есть ресурсы, которые вы хотите сохранить в тайне от членов доменов, вам придется создать для них отдельный лес.
Если ваша компания приобретает другой бизнес, который уже использует Active Directory в своей сети, вы столкнетесь с рядом вариантов. То, как ваш бизнес взаимодействует с новой компанией, будет определять, как вы будете управлять сетью этого нового подразделения. Если ваша организация перейдет к бизнесу новой компании, а название и личность этой компании будут удалены, то вам нужно будет перенести всех пользователей и ресурсы приобретенного бизнеса на существующие домены, деревья и леса.
Службы федерации Active Directory
Active Directory запускает ряд служб, которые аутентифицировать различные аспекты вашей системы или помочь сплоченности между доменами. Одним из примеров услуги является Службы сертификатов Active Directory (AD CS), которая контролирует сертификаты открытых ключей для систем шифрования, таких как безопасность транспортного уровня. Служба, которая имеет отношение к доменам и лесам, является Службы федерации Active Directory (AD FS).
система единого входа обменивается токенами аутентификации между вашей реализацией AD и удаленной службой, поэтому, как только пользователи войдут в вашу сеть, им не нужно будет снова входить в участвующую удаленную службу единого входа.
Управление AD лесами и доменами
Относительно простая структура Active Directory может быстро стать неуправляемой, как только вы начнете создавать поддомены и несколько лесов.
Обычно, лучше ошибиться, чтобы получить как можно меньше доменов. Хотя разделение ресурсов на разные домены и поддомены имеет преимущества для безопасности, повышенная сложность архитектуры с несколькими экземплярами может затруднить отслеживание вторжений..
Если вы начинаете новую реализацию Active Directory с нуля, рекомендуется начать с одного домена в одном дереве, все содержится в одном лесу. Выберите инструмент управления AD, чтобы помочь вам в установке. Как только вы освоите управление доменом с помощью выбранного вами инструмента, вы можете рассмотреть возможность разделения вашего домена на поддомены, а также добавления большего количества деревьев или даже лесов..
Лучшие инструменты управления Active Directory
Не пытайтесь управлять своей системой аутентификации без помощи инструментов. Вы очень быстро ошеломитесь, если попытаетесь обойтись без специальных инструментов. к счастью, многие инструменты управления и мониторинга Active Directory бесплатны, таким образом, у вас нет проблемы с бюджетом, сдерживающей вас от попытки.
В настоящее время на рынке представлено много инструментов AD, поэтому вы потратите много времени на оценку программного обеспечения, если попытаетесь просмотреть все из них. Просто выбрать первый инструмент, который появляется на странице результатов поисковой системы, также является ошибкой. Чтобы облегчить ваш квест, мы составили список рекомендуемых инструментов для AD.
Связанный: Вы можете прочитать больше об этих опциях в следующих разделах этого руководства. Более длинный список программного обеспечения AD можно найти в разделе 12 лучших инструментов и программного обеспечения Active Directory..
1. SolarWinds Access Rights Manager (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
верхняя часть линии инструмента для управления AD является SolarWinds Access Rights Manager. Этот инструмент устанавливается на все версии Windows Server. Этот инструмент управления Active Directory способен контролировать реализации AD, которые работают для SharePoint, Exchange Server, и Windows File Share а также общий доступ к операционной системе.
Этот инструмент включает в себя большую автоматизацию, которая может помочь вам выполнить стандартные задачи без особых усилий. Эта категория задач включает в себя создание пользователя и есть также портал самообслуживания чтобы позволить существующим пользователям изменять свои собственные пароли.
Access Rights Manager круглосуточно отслеживает активность пользователей и доступ к ресурсам через система регистрации. Это позволяет вам обнаружить любое вторжение, даже если это происходит в нерабочее время или когда вы находитесь вне своего рабочего стола.
Утилита также имеет особенность анализа это может помочь вам решить, как оптимизировать реализацию AD. Access Rights Manager выделит неактивные учетные записи и поможет привести в порядок контроллеры домена, отсеяв оставленные учетные записи пользователей..
Инструменты отчетности в Access Rights Manager согласованы с требованиями органов по стандартам безопасности данных, поэтому вы можете применять правила и демонстрировать соответствие с помощью этого помощника AD.
Вы можете получить 30-дневную бесплатную пробную версию Access Rights Manager. Вырубленная версия инструмента доступна бесплатно. Это называется Анализатор разрешений SolarWinds для Active Directory.
SolarWinds Access Rights ManagerЗагрузить 30-дневную бесплатную пробную версию
Анализатор разрешений SolarWinds для Active DirectoryСкачать 100% БЕСПЛАТНЫЙ инструмент
2. Пакет администрирования SolarWinds для Active Directory (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)
SolarWinds производит еще один вариант мониторинга Active Directory с их Пакет Admin для Active Directory. Этот пакет инструментов включает в себя:
User Import Tool дает вам возможность создавать учетные записи пользователей оптом из файла CSV. Утилита удаления неактивной учетной записи пользователя поможет вам идентифицировать и закрыть неиспользуемые учетные записи пользователей. С помощью инструмента удаления неактивной учетной записи компьютера вы можете идентифицировать несуществующие записи устройства в ваших контроллерах домена Active Directory. Эта бесплатный инструмент расслоение работает на Windows Server.
Пакет администрирования SolarWinds для Active DirectoryСкачать пакет инструментов бесплатно на 100%
3. ManageEngine ADManager Plus (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
ManageEngine производит системы мониторинга ресурсов, и этот комплексный инструмент управления AD соответствует высокому стандарту компании. Вы можете управлять реализациями Active Directory для управления разрешениями для Офис 365, G-люкс, обмен, и Skype а также ваши права доступа к сети.
ADManager Plus имеет веб-интерфейс, поэтому он может работать в любой операционной системе. Вы можете создавать, редактировать и удалять объекты с вашего контроллера домена, включая массовые действия. Инструмент контролирует использование учетной записи так что вы можете обнаружить мертвые учетные записи и ряд инструментов управления AD можно автоматизировать с помощью утилиты.
Функция аудита и отчетности ADManager Plus поможет вам продемонстрировать соответствие SOX и HIPAA и другие стандарты безопасности данных.
Эта система доступна в стандартной и профессиональной версиях. Вы можете получить 30-дневную бесплатную пробную версию инструмента. Если вы решите не покупать после окончания пробного периода, программное обеспечение будет работать как ограниченная бесплатная версия.
ManageEngine ADManager Plus Скачать 30-дневную бесплатную пробную версию
4. Мониторинг Paessler Active Directory с помощью PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Песслера PRTG представляет собой набор инструментов, каждый из которых называется ‘датчик.Утилита включает в себя датчики Active Directory, которые помогают отслеживать реализацию AD. PRTG работает Windows Server и ты можешь используйте это бесплатно если вы активируете только 100 датчиков. Цена платного инструмента зависит от того, сколько датчиков вы активируете.
Датчики AD в PRTG отслеживают систему репликации Active Directory. Это гарантирует, что вся база данных будет скопирована во все версии контроллера домена, расположенные в вашей сети. Инструмент также регистрирует активность пользователей, чтобы помочь вам обнаружить неактивные учетные записи пользователей. Вы можете получить 30-дневную бесплатную пробную версию всей системы с неограниченным количеством датчиков..
Paessler Active Directory Мониторинг PRTGСкачать 30-дневную бесплатную пробную версию
5. Диаграмма топологии Microsoft Active Directory
Этот инструмент отображения от Microsoft является действительно полезным бесплатным помощником, когда вы управляете сложной реализацией AD. Создает карту в Visio это показывает отношения между всеми вашими доменами, деревьями и лесами. К сожалению, последняя версия Windows, на которой она может быть установлена, Windows 7 и последняя версия Windows Server который может запустить инструмент Windows Server 2008 R2. Вам также нужно установить Visio, чтобы использовать этот инструмент.
Управление Active Directory
Теперь, когда вы понимаете основы конфигураций Active Directory, вам следует рассмотреть возможность использования инструмента, который поможет вам управлять своей реализацией. Надеемся, что наше руководство поможет вам эффективнее использовать AD.
Используете ли вы какие-либо инструменты для управления Active Directory? Используете ли вы какие-либо инструменты из нашего списка? Оставьте сообщение в Комментарии раздел ниже, чтобы поделиться своим опытом с сообществом.