Active Directory是Microsoft系统中用户身份验证方法中的关键元素。它还可以管理对连接到网络的计算机和设备的验证,还可以作为文件权限系统的一部分进行部署.
Microsoft越来越依赖Active Directory系统为其一系列产品提供用户帐户管理。例如, AD是Exchange Server用户身份验证方法的核心.
我们将详细介绍下面提供的工具,但是如果您只有时间来做个总结,以下是我们列出的五个工具 用于管理Active Directory林和域的最佳工具:
- SolarWinds访问权限管理器(免费试用) 监督Windows,SharePoint,Exchange Server和Windows文件共享的AD实施.
- 用于Active Directory的SolarWinds管理员捆绑包(免费工具) 三种免费工具可帮助您管理AD中的访问权限.
- ManageEngine ADManager Plus(免费试用) Active Directory的一个有吸引力的前端,它将管理对Office 365,G-Suite,Exchange和Skype的权限以及标准的Windows实用程序访问权限.
- 使用PRTG进行Paessler Active Directory监视 涵盖网络,服务器和应用程序的三合一系统监视工具。包括用于管理AD复制的AD监视器.
- Microsoft Active Directory拓扑图绘制程序 一个不错的免费工具,可以生成您的AD结构的布局,以便通过Visio进行解释.
领域,树木和森林
网络社区通常都了解域的概念。网站是一个域名,在万维网上通过域名进行标识。该术语的另一种用法是在所有计算机都位于同一地址空间内的网络上进行寻址,即“范围.’
在Active Directory术语中,域是一个单一身份验证数据库覆盖的网络区域。该数据库的存储称为 域控制器.
每个人都知道现实世界中的森林-这是一个被树木覆盖的区域。那么,Active Directory中的树在哪里??
几个域可以链接在一起 树状结构. 因此,您可以 父域 与 子域 链接到它。子域继承了父域的地址空间,因此子域是一个子域。树形结构的顶部是 根域. 整个父母和孩子的关系构成了树。一个域的子级也可以是其他域的父级.
因此,请考虑一组与树共享相同的根域地址的域。一旦看到树木,就可以算出森林是什么: 它是树木的集合.
分发和复制
森林的概念因其是独特树木的集合而稍微复杂化了。在大型网络上, 复制域控制器 并在系统周围的不同服务器上拥有多个副本-这可以加快访问速度.
如果您运行多站点WAN,则您希望为整个组织使用通用的网络访问系统。域控制器的位置可以有一个 对性能的严重影响, 偏远地区的用户必须等待更长的时间才能登录网络。在本地拥有域控制器的副本可以解决此问题.
当您在不同位置拥有同一域控制器的多个副本时,就没有目录林.
Active Directory的中央管理模块 需要协调所有副本 确保所有数据库完全相同。这需要复制过程。尽管Active Directory权限数据库是分布在整个网络中的,但并不是官方认为的“分布式数据库.’在分布式数据库中,记录的集合分散在多个服务器之间。因此,您将需要访问每台服务器以收集完整的数据库。 Active Directory并非如此,因为每个服务器(域控制器)都有 数据库的准确且完整的副本.
复制的好处
一个复制的域控制器有几个 安全的其他好处. 如果一个域控制器意外损坏,则可以通过从另一站点复制数据库来替换所有原始记录。如果黑客从网络上的一个用户那里获取凭据,他可能会尝试更改本地域控制器中持有的权限,以获取高特权或对网络上的资源进行更广泛的访问。一旦发现这些更改,便可以回滚.
域控制器数据库上的不断比较提供了一种关键的安全措施。复制过程也可以帮助您 关闭被盗帐户 遍及整个系统。但是,恢复原始数据库和推出更新的记录需要非常定期的系统扫描和完整性检查,以便有效.
复制管理是操作Active Directory的网络管理员的一项关键任务。可以有许多本地域控制器的事实 可以使入侵者有机会潜入网络的某个部分并窃取或更改数据 在被发现并锁定之前。域控制器副本之间的协调很快将成为一项非常复杂且耗时的任务. 无法在合理的时间内手动执行. 您需要使用自动方法来对所有域控制器进行频繁检查,并在更改其包含的权限时更新所有服务器。.
定义森林
为了拥有一个森林,您需要有几个域树。如果您想拥有这种情况,可能会存在 网络不同区域的权限不同. 因此,每个站点可能有一个单独的域,或者您可能希望将网络上某些资源或服务的权限与常规网络身份验证系统完全分开。因此,域可以在地理上重叠.
您的公司网络可能包含 许多域控制器 其中一些将包含相同的数据库,而其他一些将包含不同的权限.
假设您的公司在自己的网络上为用户运行服务,并希望 将这些权限分开 从员工获得的资源中。它将创建两个单独的域。如果还为公司电子邮件系统运行Exchange Server,则将有另一个AD域.
尽管员工电子邮件系统可能具有与网站相同的域名,但是您不必将具有相同域根的所有域都保留在同一树中。因此,电子邮件系统可以具有一个单域树,而用户网络可以具有一个单独的单域树。因此,在这种情况下,您要处理三个独立的域,这两个域构成一个林.
Exchange域很可能只有一个域控制器,因为电子邮件系统的实际服务器仅驻留在一个位置,因此只需要访问一个身份验证数据库。用户域可能只需要位于网关服务器上的一个位置即可。然而, 您可以为公司的每个站点实现一个员工域控制器实例. 因此,您可能有七个域控制器,五个用于人员域,一个用于用户域,一个用于电子邮件域.
您可能需要按办公室功能将内部网络划分为多个子部分,因此您将拥有一个没有互操作性的客户部分和销售部分。这将是上级职员域的两个子域,形成一棵树.
将员工网络与用户网络分开的原因之一是出于安全性考虑。内部系统对隐私的需求甚至可能扩展到 为该员工网络创建一个单独的域名, 不需要让公众知道。此举将强制创建单独的树,因为一棵树中不能包含不同的域名。尽管电子邮件系统和用户访问系统分别只有一个域,但是它们也都代表一棵树。同样,如果您决定使用 不同的域名, 由于其域名不同,因此无法合并到第一个站点的管理中.
拆分人员域以创建子域需要更多域控制器。现在,每个站点不再只有三个站点控制器用于员工网络,而是每个站点只有三个域控制器,从而在五个站点中共有15个.
需要复制这15个员工域控制器,并与五个站点中每个站点上保留的三个原始域之间的树结构关系进行协调。其他两个域控制器中的每一个都是不同的,并且 不会成为复制程序的一部分 员工领域。该地点有三棵树和一棵森林.
从这个相对简单的示例中可以看到,如果没有一个全面的监视工具,管理域,树和林的复杂性将很快变得难以管理。.
全球目录
尽管将资源分为域,子域和树可以增强安全性,但并不能自动消除网络中资源的可见性。一个名为 全球目录 (GC)列出林中的所有资源,并将其复制到属于该林成员的每个域控制器.
支持GC的协议称为“传递信任等级.’这意味着系统的所有元素都是善意的,对整个网络的安全性无害。因此,可以信任在一个域中输入的身份验证记录,以授予对在另一域中注册的资源的访问权限.
在一个域中获得资源权限的用户即使在同一个域中也不会自动访问所有资源。使资源可见的GC功能 全部并不意味着所有用户都可以访问同一林的所有域中的所有资源. GC列出的所有内容都是林中所有对象的名称。其他域的成员甚至无法查询其他树和域中那些对象的属性.
多个森林
森林不仅是对同一管理组运行的所有树的描述,而且所有域的公共元素都位于森林级别。这些常见功能被描述为“图式.’该架构包含目录林及其中所有域控制器数据库的设计。这具有统一的效果,在通用GC中表示出来,该通用GC复制到同一林中的所有控制器.
在某些情况下,您可能需要维护 一个以上的森林 为您的业务。由于存在GC,如果您想对域成员完全保密,则必须为其创建一个单独的林。.
您可能需要设置单独的林的另一个原因是,如果要安装AD管理软件。创建AD系统的沙箱副本以尝试配置新软件,然后再将其散布到实际系统中可能是个好主意。.
如果您的公司收购了另一家已经在其网络上运行Active Directory的企业,那么您将面临许多选择。您与新公司的业务往来将决定您如何运营该新部门的网络。如果新公司的业务将由您的组织接管,并且该公司的名称和身份将被淘汰,那么 您将需要将所收购业务的所有用户和资源迁移到您现有的域,树和林中.
如果被收购公司将以其现有名称进行交易,则 它将继续使用其当前域名, 无法集成到您现有的域和树中。您可以将这个新部门的树木移植到您现有的森林中。但是,一种更简单的方法是保留已获取的网络不变,并将林链接在一起。有可能 在两个独立林之间创建可传递信任权限. 必须手动执行此操作,它将扩展资源的可访问性和可见性,以便有效地使两个林在逻辑级别上合并。您仍然可以分别维护两个林,并且信任链接将为您提供相互可访问性.
Active Directory联合身份验证服务
Active Directory运行许多服务,这些服务 验证系统的不同方面 或帮助领域之间的凝聚力。服务的一个例子是 Active Directory证书服务 (AD CS),用于控制加密系统(例如传输层安全性)的公钥证书。与域和林相关的服务是 Active Directory联合身份验证服务 (AD FS).
AD FS是一个单点登录系统,它将您的网络身份验证扩展到其他组织运行的服务。可以包含在此服务中的系统示例包括Google G-Suite工具和Office 365.
的 单点登录系统 在您的AD实现和远程服务之间交换身份验证令牌,因此,一旦用户登录到您的网络,他们将无需再次登录到参与的SSO远程服务.
管理AD林和域
一旦开始创建子域和多个林,Active Directory的相对简单的结构可能很快变得难以管理。.
通常, 最好尽量减少域名. 尽管将资源分成不同的域和子域具有安全优势,但是多实例体系结构增加的复杂性可能使入侵跟踪变得困难.
如果要从头开始新的Active Directory实施,建议您 从一棵树中的一个域开始, 全部都被一个森林所包围选择一个AD管理工具以帮助您进行安装。一旦您精通使用所选工具来管理域,就可以考虑将域划分为子域,还可以添加更多的树甚至林.
最好的Active Directory管理工具
在没有辅助工具的情况下,不要试图通过管理身份验证系统来获得帮助。如果您尝试不使用专业工具,您将很快不知所措。幸好, 许多Active Directory管理和监视工具都是免费的, 这样您就不会有预算问题,无法尝试.
目前,市场上有许多AD工具,因此,如果尝试预览所有工具,最终将花费大量时间评估软件。仅选择出现在搜索引擎结果页面中的第一个工具也是一个错误。为了减轻您的追求, 我们已经为广告编辑推荐了一系列工具.
相关:您可以在本指南的下一部分中阅读有关这些选项的更多信息。有关AD软件的更多列表,请查看12种最佳Active Directory工具和软件。.
1. SolarWinds访问权限管理器(免费试用)
的 顶部工具 对于广告管理是 SolarWinds访问权限管理器. 此工具可安装在所有版本的 Windows服务器. 此Active Directory管理工具能够监督针对以下情况运行的AD实施: 的SharePoint, 交换服务器, 和 Windows文件共享 以及一般的操作系统访问权限.
该工具包括许多自动化功能,可以帮助您轻松完成标准任务。这类任务包括 用户创建 还有 自助服务门户 使现有用户可以更改自己的密码.
访问权限管理器全天候跟踪用户活动和资源访问 测井系统. 这样,即使在工作时间以外或不在办公桌旁时,也可以发现任何入侵.
该实用程序还具有 分析功能 可以帮助您决定如何优化广告实施。访问权限管理器将突出显示不活动的帐户,并通过清除废弃的用户帐户来帮助您整理域控制器.
访问权限管理器中的报告工具已与数据安全标准机构的要求进行了协调,因此您可以通过此AD助手强制执行规则并证明合规性.
您可以获得访问权限管理器的30天免费试用。该工具的精简版是免费提供的。这称为 用于Active Directory的SolarWinds权限分析器.
SolarWinds访问权限管理器下载30天免费试用版
用于Active Directory的SolarWinds权限分析器下载100%免费工具
2.用于Active Directory的SolarWinds Admin捆绑包(免费工具)
SolarWinds与其一起提供了另一个Active Directory监视选项 Active Directory管理员捆绑包. 这套工具包括:
- 无效的用户帐户删除工具
- 无效的计算机帐户删除工具
- 用户导入工具
用户导入工具使您能够 批量创建用户帐户 来自CSV文件。不活跃的用户帐户删除实用程序可以帮助您 识别并关闭未使用的用户帐户. 使用不活动的计算机帐户删除工具,您可以 识别失效的设备记录 在您的Active Directory域控制器中。这个 免费工具 捆绑运行 Windows服务器.
用于Active Directory的SolarWinds管理员捆绑包下载100%免费工具捆绑包
3. ManageEngine ADManager Plus(免费试用)
ManageEngine生产资源监视系统,并且此全面的AD管理工具已按照公司的高标准编写。您可以管理Active Directory实施来管理以下权限: Office 365, G套房, 交换, 和 Skype的 以及您的网络访问权限.
ADManager Plus具有基于Web的界面,因此可以在任何操作系统上运行。您可以从域控制器创建,编辑和删除对象,包括批量操作. 该工具监视帐户使用情况 这样您就可以发现死账,并且可以通过该实用工具自动使用许多AD管理工具.
ADManager Plus的审核和报告功能可帮助您证明是否符合 SOX 和 HIPAA 和其他数据安全标准.
该系统有标准版和专业版。您可以免费使用该工具30天。如果您决定在试用期结束后不购买,该软件将继续作为受限制的免费版本运行.
ManageEngine ADManager Plus下载30天免费试用版
4.使用PRTG进行Paessler Active Directory监视(免费试用)
佩斯勒的PRTG 是一整套工具,每个工具都称为“传感器.’该实用程序包括Active Directory传感器,可帮助您监视AD实施。 PRTG运行 Windows服务器 你可以 免费使用 如果您仅激活100个传感器。付费工具的价格取决于您激活的传感器数量.
PRTG中的AD传感器会跟踪Active Directory的复制系统。这样可以确保将完整的数据库复制到网络周围的所有域控制器版本。该工具还记录用户活动,以帮助您检测不活动的用户帐户。您可以免费获得30天免费试用的完整系统.
Paessler Active Directory监视PRTG下载30天免费试用版
5. Microsoft Active Directory拓扑图绘制程序
当您管理复杂的AD实现时,Microsoft提供的此映射工具是一个非常有用的免费助手。它在中创建地图 Visio 该图显示了您所有域,树木和森林之间的关系。不幸的是,可以安装的最新版本的Windows是 Windows 7的 和最新版本 Windows服务器 可以运行该工具的是 Windows Server 2008 R2. 您还需要安装Visio才能使用此工具.
活动目录管理
既然您已了解Active Directory配置的基础知识,则应考虑使用一种工具来帮助您管理实施。希望我们的指南为您提供了更有效运行AD的途径.
您是否使用任何工具来管理Active Directory?您是否使用我们列表中的任何工具?在留言 注释 以下部分与社区分享您的经验.
其他域中。在这种情况下,您需要创建一个新的森林,以便将两个公司的网络分开管理。在这种情况下,您需要考虑如何管理两个森林之间的信任关系,以便用户可以访问两个网络中的资源。无论您选择哪种方法,都需要使用适当的工具来管理Active Directory林和域。以上提到的五个工具都是管理Active Directory的最佳工具之一,可以帮助您轻松管理网络中的用户和资源。