O Active Directory, ou AD, como é frequentemente chamado, é a versão da própria Microsoft de um serviço de diretório LDAP. Ele existe desde o Windows Server 2000 e substituiu os recursos de gerenciamento de domínio antigos dos servidores Windows. É um serviço extremamente complexo que se encarrega de autenticar usuários e equipamentos, identificar sua localização e gerenciar direitos de acesso. Por ser tão complexo, não é surpresa que vários desenvolvedores tenham tentado criar ferramentas que aliviem a dor de gerenciar o Active Directory. Hoje, estamos trazendo para você algumas das melhores ferramentas do Active Directory que podem ser encontradas na Internet.
Primeiro faremos uma discussão geral sobre os serviços de diretório, o que são, sua finalidade e utilidade, e daremos alguns exemplos deles. A seguir, falaremos sobre LDAP e X.500, dois protocolos padronizados relacionados a serviços de diretório. Em seguida, falaremos brevemente sobre a evolução dos serviços de diretório da Microsoft. Isso nos levará ao cerne do nosso assunto, as melhores ferramentas do Active Directory que pudemos encontrar. Faremos uma breve revisão de cada um.
últimas postagens
Serviços de diretório, o que são
A Wikipedia define um serviço de diretório como “um mapeamento entre os nomes dos recursos em uma rede e seus respectivos endereços de rede”. E em sua forma mais simples, isso é realmente tudo o que é. Então, você pode perguntar, o Domain Name System (DNS) é um serviço de diretório? A resposta é um sim retumbante! Mas se é tão simples, por que o Active Directory é tão complexo?
O Active Directory, assim como a maioria dos serviços de diretório modernos, implementa muito mais funcionalidades do que apenas mapear nomes para endereços. Eles estão no centro da segurança da rede e conterão informações detalhadas sobre usuários (contas de usuário) e recursos e também estão no centro dos mecanismos de controle de acesso da maioria das redes. O serviço de diretório moderno é um banco de dados onde está armazenada a maioria das informações sobre uma rede, seus recursos e usuários.
Um serviço de diretório é um banco de dados hierárquico de objetos, cada um representando uma entidade diferente. Alguns objetos representam usuários, alguns representam computadores ou outros recursos disponíveis, como compartilhamentos de rede. Outros objetos são recipientes para objetos. A estrutura hierárquica facilita a localização de qualquer objeto único e permite o fácil gerenciamento de permissões, onde os objetos podem herdar permissões de seu pai.
Nosso objetivo não é torná-lo um especialista em serviços de diretório, mas fornecer informações básicas suficientes para entender melhor o que é o Active Directory e de onde ele vem. Vamos dar uma olhada em alguns exemplos reais de serviços de diretório passados e presentes que você pode ter encontrado.
Alguns exemplos
DNS é um dos primeiros serviços de diretório. Ela remonta ao início dos anos oitenta. Ele tinha – e ainda tem – um único propósito primário: traduzir nomes de host em endereços IP. Ainda está em uso generalizado hoje e é uma das bases da Internet.
O Serviço de informações de redeou NISfoi a própria implementação da Sun Microsystems de um serviço de nomes semelhante ao DNS para seu ecossistema Unix.
Novelha Dreitor Sserviços-mais tarde chamado eDirectory— era o serviço de diretório das redes Novell Netware. Um pouco semelhante ao que o Active Directory é hoje, era um sistema abrangente não apenas usado para resolução de nomes, mas também para autenticação e controle de acesso.
NetInfo foi desenvolvido pela NEXT e, quando a Apple adquiriu a empresa, tornou-se o serviço de diretório do Mac OS antes de ser substituído por Diretório aberto.
Finalmente, Domínios NT são outro exemplo de um serviço de diretório. Eles são os ancestrais do Active Directory. Os domínios NT foram usados principalmente para fins de controle de acesso e autenticação.
X.500 e LDAP, dois padrões de serviços de diretório
Na era da informação, a interoperabilidade é mais importante do que nunca, o que faz com que surjam padrões em todos os campos. Os serviços de diretório não são diferentes, existem dois padrões principais, LDAP e X.500
O padrão X.500, ou mais precisamente a série de padrões X.500, é um grupo de especificações do ITU-T que abrange vários aspectos dos serviços de diretório eletrônico. As primeiras iterações datam de 1988, mas o X.500 ainda está em uso generalizado hoje.
Um dos objetivos de um conjunto de protocolos padrão propostos pelo X.500 é garantir a interoperabilidade e permitir que sistemas de diferentes fornecedores interajam. X.500 é na verdade um conjunto de nove protocolos individuais
O Lightweight Directory Access Protocol, ou LDAP, é um protocolo de aplicativo padrão do setor, aberto e neutro em relação ao fornecedor, para acessar e manter serviços de informações de diretório distribuído em uma rede IP. Hoje, a maioria das implementações de serviços de diretório, incluindo o Active Directory da Microsoft, são compatíveis com LDAP.
O LDAP foi originalmente concebido como um protocolo alternativo leve para acessar serviços de diretório X.500 por meio da pilha de protocolos TCP/IP mais simples. Como tal, X.500 e LDAP não são mutuamente exclusivos e, em vez disso, são complementares. Por exemplo, a especificação LDAP afirma que a estrutura do banco de dados de serviços de diretório deve ser compatível com X.500.
Os clientes LDAP podem não apenas ler os atributos de objetos em um banco de dados de serviços de diretório, mas também modificá-los. Isso, é claro, significa que o LDAP é seguro e oferece um mecanismo de autenticação para proteção contra modificações não autorizadas.
Do domínio NT para o Active Directory
Conforme declarado anteriormente, os domínios do Windows NT foram a primeira forma de serviço de diretório no ecossistema da Microsoft. Como você poderia ter adivinhado, eles apareceram pela primeira vez com o Windows NT, em 1993. Eles tinham um banco de dados centralizado localizado em um controlador de domínio que era o principal responsável pela autenticação do usuário. O banco de dados pode ser replicado em vários controladores de domínio para redundância e para garantir que grandes redes de vários sites possam autenticar os usuários localmente.
Com o Windows 2000, a Microsoft lançou o Active Directory. Era uma melhoria muito necessária em relação aos domínios tradicionais que eram usados há anos. O Active Directory fornece vários serviços diferentes. Em primeiro lugar estão os serviços de domínio. Esses são os pilares das redes Windows. Eles armazenam informações sobre membros do domínio, incluindo dispositivos e usuários, verificam suas credenciais, autenticam-nos e definem seus direitos de acesso.
Outros serviços importantes do Active Directory incluem Serviços de Certificados que fornecem uma infraestrutura de chave pública local. Eles podem criar, validar e revogar certificados de chave pública para uso interno em uma organização. Esses certificados podem ser usados para criptografar arquivos, e-mails e tráfego de rede. Outros serviços fornecidos pelo Active Directory incluem serviços de federação, um tipo de mecanismo de logon único e serviços de gerenciamento de direitos.
As melhores ferramentas do Active Directory
A principal característica do Active Directory é que ele é grande e complexo. E com essa complexidade vêm as dores de cabeça da administração. Felizmente, muitas ferramentas foram desenvolvidas por terceiros para lidar com alguns dos encargos administrativos do AD. Essas são as ferramentas que pesquisamos e apresentamos algumas das melhores que encontramos. Esta lista está longe de ser extensa, pois existem ferramentas demais por aí.
1. SolarWinds Server & Application Monitor (AVALIAÇÃO GRATUITA)
A SolarWinds é conhecida por fazer algumas das melhores ferramentas de administração de rede e sistema. Apresentamos o produto SolarWinds inúmeras vezes quando, por exemplo, analisamos as melhores ferramentas de monitoramento SNMP ou os melhores coletores e analisadores NetFlow. A SolarWinds também é famosa por suas ferramentas gratuitas, ferramentas específicas para tarefas destinadas a administradores.
Não é surpresa, então, que o Servidor SolarWinds & Monitor de aplicativos está na nossa lista. E embora seu nome despretensioso possa não levar ninguém a pensar que esta é uma ferramenta do Active Directory, sua ampla gama de funcionalidades o torna uma ótima ferramenta para monitorar e gerenciar o Active Directory.
Vamos começar dando uma olhada em como o Monitor de servidor e aplicativo SolarWinds pode ajudar no gerenciamento do AD. Primeiro, a ferramenta apresenta o monitoramento do controlador de domínio que monitora vários parâmetros operacionais. Ele informará quando o uso da CPU estiver muito alto, quando uma conta de usuário for bloqueada ou quando houver um problema de login.
O software também monitorará os contadores de objetos NTDS, ajudando a reduzir a sobrecarga do servidor. Além disso, o SolarWinds Server e o Application Monitor fornecem informações sobre várias estatísticas do LDAP, incluindo threads ativos do LDAP, tempo de vinculação, sessões de cliente e vinculações e pesquisas bem-sucedidas por segundo.
O SolarWinds Monitor de servidor e aplicativo pode enviar notificações quando os servidores de diretório falham na replicação, um evento que pode impedir que os usuários acessem pastas e arquivos. Ele também fornece estatísticas detalhadas de desempenho relacionadas a serviços de diretório, como sistema de arquivos distribuído, replicação DFS, mensagens entre sites, cliente DNS, horário do Windows, RPC, serviços de servidor e estação de trabalho e serviços de domínio do Active Directory, apenas para citar alguns dos mais significativos. uns.
Mas, como o próprio nome indica, essa ferramenta não apenas monitorará os serviços do Active Directory, mas também os próprios servidores e os aplicativos executados neles. Este pacote completo pode ser dimensionado desde as menores redes até grandes redes de vários sites com centenas de servidores físicos e virtuais. E também pode monitorar servidores em ambientes de nuvem, como os da Amazon Web Services e Microsoft Azure.
O Monitor de servidor e aplicativo SolarWinds inicialmente descobrirá automaticamente hosts e dispositivos em sua rede. Em seguida, uma segunda varredura de descoberta detectará os aplicativos em execução em cada servidor. Uma vez instalado e funcionando, o uso desta ferramenta dificilmente pode ser mais fácil, graças à sua interface de usuário intuitiva. Clicar em Node Detail, por exemplo, exibe as informações de desempenho e integridade do nó.
Preço para o Servidor SolarWinds e Monitor de aplicativos começa em pouco menos de US$ 2.995 e uma versão de avaliação gratuita de 30 dias está disponível para download.
2. Ferramentas gratuitas do ManageEngine Active Directory
ManageEngine é outro nome comum entre administradores de sistema e rede. Isso torna o OpManager, sem dúvida, uma das melhores ferramentas de monitoramento de infraestrutura de TI. E, como o SolarWinds, o ManageEngine também oferece ótimas ferramentas gratuitas. Na verdade, eles têm mais de quinze ferramentas gratuitas do Active Directory que podem ajudar a monitorar e administrar sua infraestrutura do AD. Alguns são programas autônomos, enquanto outros são cmdlets do Powershell. Uma grande coisa sobre este kit de ferramentas é que a maioria das ferramentas são agrupadas em um download único. Vamos ver quais são as mais interessantes dessas ferramentas.
O Ferramenta de consulta do anúncio permite que você leia todos os dados de atributo necessários do Active Directory, como o nome de um objeto de usuário, o sobrenome, o telefone, o endereço e assim por diante. O utilitário também pode ajudar a consultar objetos Grupo e Computador do Active Directory.
O Ferramenta Gerador de CSV irá gerar um arquivo CSV (quem teria pensado?) que contém uma matriz personalizada de atributos do Active Directory especificados pelo usuário e seus valores correspondentes. O arquivo resultante pode ser usado para gerenciamento em massa do Active Directory.
O Localizador do último logon é usado para listar a hora do último logon de todos ou de usuários selecionados em todos os controladores de domínio selecionados no domínio. Normalmente é usado para atividades de auditoria e limpeza.
O Gerenciador de Sessão de Terminal é um cmdlet do Powershell que você pode usar para identificar e gerenciar várias sessões de terminal em um domínio a partir de um único ponto. Com ele, sessões de terminal para vários usuários em um domínio podem ser gerenciadas, desconectadas ou desconectadas.
O Gerenciador de replicação do Active Directory permite que os administradores forcem a replicação de dados em um domínio ou em toda a floresta. Ele também permite a replicação de dados entre dois controladores de domínio e listará relatórios abrangentes sobre a última replicação.
O Analisador de porta DMZ permite que os administradores verifiquem o status das portas exigidas por qualquer aplicativo de terceiros para trabalhar com o Active Directory. Ele pode ser usado para abrir portas apropriadas em firewalls.
O Relator de funções do controlador de domínio lista todos os controladores de domínio e suas respectivas funções no domínio. Ele pode ajudar os administradores a identificar qualquer função associada de um controlador de domínio.
O Gerenciador de usuários locais ajuda os administradores a gerenciar contas de usuário dentro do domínio. Ele fornece informações sobre contas de usuários locais e também permite o gerenciamento dessas contas usando uma interface de usuário conveniente.
O Ferramenta de monitoramento do controlador de domínio é uma ferramenta simples que descobre automaticamente os domínios e os exibe. Ele mostrará vários parâmetros de controladores de domínio, como utilização da CPU, utilização do disco e utilização da memória. Você também pode visualizar outros parâmetros como leituras de página por segundo, gravações de página por segundo, leituras de arquivos, gravações de arquivos etc.
O Gerenciador de políticas de senha permite que qualquer usuário recupere e visualize a política de senha do domínio. Ele também permite que usuários com direitos administrativos editem a política de senha do domínio.
Como o próprio nome indica, o Ferramenta de relatório de usuários de senha vazia é usado para localizar as contas de usuário com campos de senha definidos como nulos, ajudando os administradores a evitar problemas relacionados à segurança.
O Localizador de duplicatas do Active Directory é um utilitário Powershell que permite aos administradores identificar entradas duplicadas para atributos do Active Directory em um domínio. As entradas duplicadas são convenientemente listadas, ajudando os administradores a garantir um Active Directory sem duplicatas.
O Repórter DNS ajuda você a obter informações relacionadas à infraestrutura de DNS de sua rede. Ele pode exibir os detalhes dos registros DNS disponíveis, seus tipos de registro correspondentes, endereços IP e os detalhes do serviço simplesmente inserindo um nome de domínio.
O Gerenciamento de contas de serviço foi desenvolvido para ajudar você a criar, editar e excluir facilmente contas de serviço gerenciadas com apenas alguns cliques. Essa ferramenta não requer conhecimento do PowerShell, a ferramenta usual usada para realizar essas tarefas.
O Relatório de usuários de senha fraca ajuda a encontrar senhas fracas no Active Directory comparando as senhas dos usuários com uma lista de mais de 100.000 senhas fracas comumente usadas. Você pode então forçar os usuários com senhas fracas a alterar suas senhas na próxima vez que fizerem logon.
3. Agora Bússola
Bússola da ENow Software ajuda a identificar problemas ocultos em seu ambiente antes que ele seja comprometido. Ele permite o monitoramento de rede em tempo real do seu Active Directory e de todos os controladores de domínio. Bússola pode garantir que seu Active Directory esteja íntegro monitorando a replicação DFS/FRS. Ele também encontrará problemas de resolução de nomes DNS e ajudará a solucionar problemas de aplicativos problemáticos para ajudá-lo a manter seu AD funcionando sem problemas.
Bússola tem mais de 50 relatórios que incluem a auditoria do Domain Admins Group, a identificação e remoção de contas de usuário inativas e a identificação de funções FSMO. A ferramenta é rápida de instalar e fácil de usar. Ele apresenta um painel intuitivo e fácil de usar que ajuda a identificar problemas antes que eles se tornem indisponíveis.
Informações detalhadas sobre preços para Bússola pode ser obtido entrando em contato com as vendas da Enow e uma avaliação gratuita de 14 dias pode ser obtida.
4. Monitor do Active Directory Anturis
Metade do trabalho de gerenciar o Active Directory é garantir que todos os serviços funcionem sem problemas e é exatamente isso que o Monitor do Active Directory de Anturis é tudo. Esta ferramenta pode alertá-lo sobre situações anormais por e-mail, SMS ou notificações de chamadas de voz. Você também pode usar o Monitor do Active Directory para estabelecer linhas de base de desempenho para seus servidores Active Directory e estrutura de replicação, permitindo que você reconheça as tendências de desempenho e ajude a reduzir o risco de gargalos antes que eles tenham um impacto negativo no desempenho do AD.
O Monitor do Active Directory mostrará sessões de servidor e LDAP e definirá limites de alerta. Ele também mostrará autenticações Kerberos e NTLM por segundo, dando uma ideia da carga geral do servidor. E como a replicação é um dos aspectos mais importantes do Active Directory, as métricas de desempenho de replicação, como status de replicação, sincronizações de replicação pendentes de DRA e operações de replicação pendentes de DRA, também são monitoradas.
Monitor do Active Directory é um serviço baseado em nuvem e vários planos de assinatura estão disponíveis a preços que variam de US$ 10/mês para 10 monitores a US$ 650/mês para 1.000 monitores. Uma versão gratuita também está disponível, mas é limitada a 5 monitores. No entanto, todos os planos pagos têm uma avaliação gratuita de 30 dias.
5. Administrador ativo da Quest
Las na nossa lista é o Busca Administrador ativo. Esta é uma solução de software de gerenciamento Active Directory completa e integrada. Ele preenche as lacunas que as ferramentas da Microsoft deixam para trás. As ferramentas tornarão mais fácil e rápido atender aos requisitos de auditoria e às necessidades de segurança. Ele possui recursos que abordam muitas das áreas mais importantes do gerenciamento do AD.
Entre os principais recursos da ferramenta, o Active Administrator oferece administração integrada e proativa. Ele também possui relatórios e alertas intuitivos, permitindo monitorar e relatar rapidamente as alterações filtrando o tipo de evento, usuário e data, bem como a atividade de login e bloqueio do usuário. Você também pode definir alertas de eventos e automatizar ações baseadas em alertas.
O preço do Administrador Ativo é por conta de usuário habilitada em seu AD e começa em US$ 16,37 para uma licença perpétua com suporte de um ano. Uma licença mínima para 20 contas de usuário deve ser adquirida. Uma versão de avaliação gratuita de 30 dias pode ser baixada.