Active Directory è un componente critico per un’organizzazione. Tutte le applicazioni aziendali utilizzano il sottosistema di autenticazione Active Directory prima di consentire l’accesso ai dati dell’applicazione. Active Directory è un componente di base che deve funzionare in modo efficace al fine di evitare tempi di inattività per le applicazioni aziendali critiche. Ad esempio, se un’applicazione progettata internamente elabora 100 richieste di autenticazione e se il controller di dominio non risponde in modo tempestivo alle richieste di autenticazione provenienti dalle applicazioni, ciò potrebbe comportare una perdita aziendale. Allo stesso modo, ci si aspetterebbe che le modifiche create in un sito di Active Directory vengano replicate in tutti gli altri siti di Active Directory il prima possibile. La grande domanda è come si fa a eseguire questi controlli? Come Microsoft MVP in Servizi di directory, ho fatto molti impegni con clienti locali e globali sulla valutazione della salute di Active Directory. In passato, ho usato per progettare singoli script PowerShell per controllare un componente specifico di Active Directory. Tuttavia, ho lavorato con molti altri strumenti automatici che posso condividere con voi in modo da poter scegliere quello migliore in base alle vostre esigenze.
Perché eseguire la valutazione del rischio di Active Directory?
Ci sono diversi motivi per cui una valutazione del rischio e della salute di Active Directory deve essere eseguita come elencato di seguito:
- Finalità di audit e conformità: Per le grandi organizzazioni, diventa certamente necessario che le organizzazioni siano conformi agli standard SOX, PCI, HIPPA e GDPR. Molti dei prodotti di valutazione del rischio di Active Directory seguono le linee guida fornite dagli standard di conformità.
- Prima di passare al cloud: se l’organizzazione ha deciso di passare al cloud, è necessario considerare un controllo di valutazione dello stato e del rischio di Active Directory. Prima di decidere di passare al cloud, è necessario eseguire un controllo dello stato di Active Directory che include il controllo degli account utente obsoleti, degli account utente e computer disabilitati e di eventuali oggetti orfani che non devono essere replicati nel could. Allo stesso modo, se si decide di implementare i controller di dominio nel cloud, è necessario verificare la replica per assicurarsi che funzioni correttamente.
- Prima di effettuare un grande cambiamento nell’ambiente di produzione: prima di apportare grandi cambiamenti nell’ambiente di produzione, è consigliabile eseguire un controllo approfondito su tutti i componenti di Active Directory. I controlli che si eseguono assicurarsi che Active Directory è sano prima di fare un grande cambiamento, come l’implementazione di una tecnologia che è fortemente dipendente dall’infrastruttura di Active Directory e oggetti.
- Fusione con un’altra società: è inoltre possibile richiedere di eseguire un controllo dello stato di Active Directory prima che la foresta di Active Directory di produzione venga unita alla foresta di Active Directory di un’altra società.
Metodi disponibili per Active Directory health check
Sono disponibili diversi metodi in base alle proprie esigenze, ad esempio l’utilizzo di script Microsoft PowerShell, Microsoft ADRAP Engagement e Office 365 IT Health and Risk Scanner. Mentre ci sono diversi strumenti disponibili sul mercato che possono offrire alcuni controlli, ma non tutti gli strumenti possono eseguire una valutazione completa della salute e del rischio delle foreste di Active Directory. Ad esempio, alcuni strumenti potrebbero non includere controlli sanitari che sono certamente necessari e alcuni prodotti possono effettivamente scoprire problemi nascosti, che, a loro volta, aiutano a evitare interruzioni nel servizio.
Utilizzo degli script PowerShell
È possibile utilizzare gli script PowerShell per controllare ogni componente di Active Directory, ma è necessario conoscere tutti i componenti che si desidera controllare come parte del controllo dello stato. Ad esempio, è possibile che si sia deciso di controllare lo stato della replica della foresta di Active Directory, ma che si sia dimenticato di controllare altri componenti di Active Directory, ad esempio Criteri di gruppo, siti di Active Directory e così via. Sebbene Microsoft fornisca i cmdlet PowerShell necessari per controllare uno specifico componente di Active Directory, potrebbero essere necessari mesi per progettare uno script PowerShell che contenga controlli da eseguire su aspetti importanti di Active Directory. Ad esempio, utilizzando il seguente comando PowerShell è possibile controllare lo stato della replica in un sito di Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft offre il programma di valutazione del rischio di Active Directory per i clienti premier. Il programma ADRAP copre tutti i controlli da eseguire in un ambiente Active Directory e anche generare un rapporto sui problemi scoperti dallo strumento. Il programma ADRAP viene eseguito da Microsoft Premier Field Engineer che è qualificato nel processo di valutazione. Sebbene il programma ADRAP possa scoprire tutti i problemi di Active Directory utilizzando lo strumento Snapshot di Active Directory, è piuttosto costoso e può essere utilizzato solo per una singola foresta di Active Directory. Oltre alla limitazione della foresta singola, lo strumento ADRAP non è disponibile per i clienti che non hanno un contratto premier. Se hai più foreste di Active Directory ti verrà richiesto di pagare per ogni foresta di Active Directory. Vale anche la pena ricordare che lo strumento ADRAP può essere utilizzato solo per un anno.
O365 IT Health and Risk Scanner
C’è un grande prodotto disponibile sul mercato chiamato O365 IT Health and Risk Scanner. Lo scanner IT O365 è progettato per eseguire un controllo completo dello stato dell’ecosistema Microsoft che include Active Directory, Hyper-V, Microsoft Exchange, SQL server, Microsoft Azure, Office 365 e così via. Il prodotto può eseguire controlli completi di salute e rischio di Active Directory e fornire problemi e raccomandazioni per risolvere i problemi. Una cosa buona di O365 IT Health and Risk Scanner è che il prodotto è dinamico. Esso consente di creare i propri controlli sanitari relativi a qualsiasi tecnologia. Il prodotto O365 IT Health and Risk Scanner sta diventando la prima scelta per amministratori IT, architetti IT e fornitori di servizi gestiti. Come si può vedere nello screenshot qui sotto, è possibile aggiungere controlli di salute di vostra scelta facendo clic sulle etichette di tecnologia e quindi creare un profilo di valutazione:
Ho usato lo scanner IT O365 per molti dei nostri clienti e lo trovo molto utile. Alcune delle caratteristiche degne di nota del O365 IT Health and Risk Scanner stanno aiutando a trovare i problemi critici e elevati di salute e rischi nell’ambiente Active Directory, capacità di delegare attività di valutazione della salute e del rischio utilizzando Delega Add-On, capacità di pianificare pacchetti dinamici ed essere in grado di generare un rapporto di valutazione del rischio e della salute in modo rapido ed essere in grado di eseguire personalizzare il rapporto in base alle proprie esigenze.
Valutazione dello stato di salute e del rischio di Active Directory: Un must-do
Abbiamo fornito una panoramica del motivo per cui è necessario eseguire una valutazione dello stato e del rischio di Active Directory per la foresta di Active Directory di produzione. Abbiamo fornito metodi disponibili che possiamo utilizzare per eseguire la valutazione della salute e del rischio delle foreste di Active Directory. Mentre lo strumento Microsoft ADRAP può eseguire una valutazione di Active Directory, O365 IT Health and Risk Scanner può eseguire la valutazione della salute e del rischio dell’ecosistema Microsoft completo.
Immagine in primo piano: