Active Directory je kritická součást organizace. Všechny podnikové aplikace používají subsystém ověřování služby Active Directory před povolením přístupu k aplikačním datům. Active Directory je základní komponenta, která musí pracovat efektivně, aby se zabránilo prostojům kritických podnikových aplikací. Pokud například interní aplikace zpracovává 100 požadavků na ověření a pokud řadič domény nereaguje včas na požadavky na ověření přicházející z aplikací, může to mít za následek ztrátu podniku. Podobně byste očekávali, že změny vytvořené na webu služby Active Directory budou co nejdříve replikovány na všechny ostatní weby služby Active Directory. Velkou otázkou je, jak tyto kontroly provádíte? Jako Microsoft MVP v adresářových službách jsem udělal mnoho zakázek s místními a globálními zákazníky na Active Directory health assessment. V minulosti jsem navrhoval jednotlivé skripty PowerShell pro kontrolu konkrétní komponenty služby Active Directory. Pracoval jsem však s mnoha dalšími automatizovanými nástroji, které s vámi mohu sdílet, takže si můžete vybrat ten nejlepší na základě vašich požadavků.
proč provádět hodnocení rizik služby Active Directory?
existuje několik důvodů, proč je třeba provést posouzení rizik a zdravotního stavu služby Active Directory, jak je uvedeno níže:
- účely auditu a dodržování předpisů: Pro velké organizace je jistě nutné, aby organizace byly v souladu se standardy SOX, PCI, HIPPA a GDPR. Mnoho produktů pro hodnocení rizik služby Active Directory se řídí pokyny stanovenými standardy shody.
- před přesunem do cloudu: pokud se vaše organizace rozhodla přesunout do cloudu, musíte zvážit kontrolu posouzení zdraví a rizik služby Active Directory. Než se rozhodnete přejít do cloudu, musí být provedena kontrola stavu služby Active Directory, která zahrnuje kontrolu zastaralých uživatelských účtů, zakázaných uživatelských a počítačových účtů a všech osamocených objektů, které nesmí být replikovány na Mohl. Podobně, pokud se rozhodnete implementovat řadiče domény v cloudu, musíte zkontrolovat replikaci, abyste se ujistili, že funguje správně.
- před provedením velké změny ve výrobním prostředí: před provedením velkých změn ve výrobním prostředí je vhodné provést důkladnou kontrolu všech komponent služby Active Directory. Kontroly, které provedete, ujistěte se, že služba Active Directory je zdravá před provedením velké změny, jako je implementace technologie, která je silně závislá na infrastruktuře a objektech služby Active Directory.
- sloučení s jinou společností: může být také nutné provést kontrolu stavu služby Active Directory před sloučením vašeho produkčního lesa služby Active Directory s doménou služby Active Directory jiné společnosti.
dostupné metody pro kontrolu stavu služby Active Directory
existuje několik metod dostupných na základě vašich požadavků, jako je použití skriptů Microsoft PowerShell, zapojení Microsoft ADRAP a Office 365 skener zdraví a rizik IT. I když existuje několik nástrojů k dispozici na trhu, které mohou nabídnout několik kontrol, ale ne všechny nástroje mohou provést kompletní posouzení zdraví a rizika Active Directory lesů. Například některé nástroje nemusí zahrnovat zdravotní kontroly, které jsou jistě nezbytné, a některé produkty mohou skutečně odhalit skryté problémy, což zase pomáhá zabránit narušení služby.
pomocí skriptů PowerShell
můžete použít skripty PowerShell ke kontrole každé komponenty služby Active Directory, ale potřebujete znát všechny komponenty,které chcete zkontrolovat jako součást kontroly stavu. Například jste se možná rozhodli zkontrolovat stav replikace lesa služby Active Directory, ale možná jste zapomněli zkontrolovat další součásti služby Active Directory, jako jsou Zásady skupiny, weby služby Active Directory atd. Ačkoli společnost Microsoft poskytuje potřebné rutiny PowerShell ke kontrole konkrétní komponenty služby Active Directory, může trvat měsíce, než navrhne skript PowerShell, který obsahuje kontroly, které mají být provedeny v důležitých aspektech služby Active Directory. Jako příklad můžete pomocí níže uvedeného příkazu PowerShell zkontrolovat stav replikace na webu služby Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
společnost Microsoft nabízí program hodnocení rizik služby Active Directory pro přední zákazníky. Program ADRAP pokrývá všechny kontroly, které mají být provedeny v prostředí služby Active Directory, a také vygeneruje zprávu o problémech odhalených nástrojem. Program ADRAP provádí Microsoft Premier Field Engineer, který je kvalifikován v procesu hodnocení. Ačkoli program ADRAP může odhalit všechny problémy s Active Directory pomocí nástroje Active Directory Snapshot Tool, je poměrně drahý a lze jej použít pouze pro jeden adresář Active Directory. Kromě jediného omezení lesa není nástroj ADRAP k dispozici zákazníkům, kteří nemají smlouvu premier. Pokud máte více lesů služby Active Directory, budete muset zaplatit za každý les služby Active Directory. Za zmínku stojí také to, že nástroj ADRAP lze používat pouze jeden rok.
O365 it Health and Risk Scanner
na trhu je k dispozici skvělý produkt s názvem O365 it Health and Risk Scanner. Skener O365 IT je navržen tak, aby provedl kompletní kontrolu stavu vašeho ekosystému Microsoft, který zahrnuje Active Directory, Hyper-V, Microsoft Exchange, SQL servery, Microsoft Azure, Office 365 atd. Produkt může provádět kompletní kontrolu stavu a rizik služby Active Directory a poskytovat problémy a doporučení k vyřešení problémů. Jedna dobrá věc o skeneru zdraví a rizik O365 je, že produkt je dynamický. To vám umožní vytvořit si vlastní zdravotní kontroly týkající se jakékoli technologie. Produkt O365 it Health and Risk Scanner se stává první volbou pro IT administrátory, IT architekty a poskytovatele spravovaných služeb. Jak můžete vidět na obrázku níže, můžete přidat zdravotní kontroly podle vašeho výběru kliknutím na štítky technologií a poté vytvořit profil hodnocení:
Použil jsem skener O365 pro mnoho našich zákazníků a považuji to za docela užitečné. Některé z pozoruhodných funkcí O365 it zdraví a rizika skeneru pomáhají při hledání kritické a vysoké zdravotní problémy a rizika v prostředí služby Active Directory, schopnost delegovat zdraví a hodnocení rizik úkoly pomocí delegování Add-On, schopnost naplánovat dynamické balíčky a být schopen generovat zprávy o hodnocení rizik a zdraví rychle a být schopen provést přizpůsobit zprávu podle vašich potřeb.
Active Directory hodnocení zdraví a rizik: Must-do
poskytli jsme přehled o tom, proč je nutné provést hodnocení zdraví a rizik služby Active Directory pro váš produkční adresář Active Directory. Poskytli jsme dostupné metody, které můžeme použít k provádění hodnocení zdraví a rizik lesů služby Active Directory. Zatímco nástroj Microsoft ADRAP může provádět hodnocení služby Active Directory, O365 it Health and Risk Scanner může provádět hodnocení zdraví a rizik celého ekosystému společnosti Microsoft.
doporučený obrázek: