Active Directory er en kritisk komponent for en organisation. Alle forretningsapplikationer bruger undersystemet Active Directory authentication, før adgang til applikationsdata kan tillades. Active Directory er en basiskomponent, der skal fungere effektivt for at undgå driftsstop for kritiske forretningsapplikationer. Hvis en in-house designet applikation for eksempel behandler 100 godkendelsesanmodninger, og hvis domænecontrolleren ikke reagerer rettidigt på godkendelsesanmodningerne fra applikationer, kan dette resultere i forretningstab. På samme måde forventer du, at de ændringer, der er oprettet på et Active Directory-sted, replikeres til alle andre Active Directory-sider så hurtigt som muligt. Det store spørgsmål er, hvordan udfører du disse kontroller? Som Microsoft MVP i Directory Services har jeg lavet mange engagementer med lokale og globale kunder om Active Directory health assessment. Tidligere plejede jeg at designe individuelle Strømshell-scripts for at kontrollere en bestemt komponent i Active Directory. Jeg har dog arbejdet med mange andre automatiserede værktøjer, som jeg kan dele med dig, så du kan vælge den bedste baseret på dine krav.
hvorfor udføre Active Directory risikovurdering?
der er flere grunde til, hvorfor en Active Directory-risiko-og sundhedsvurdering skal udføres som anført nedenfor:
- revisions-og overholdelsesformål: For store organisationer, bliver det helt sikkert nødvendigt, at organisationerne er i overensstemmelse med
, PCI, HIPPA og GDPR standarder. Mange af Active Directory-risikovurderingsprodukterne følger retningslinjerne fra compliance-standarderne. - før du flytter til skyen: hvis din organisation har besluttet at flytte til skyen, skal du overveje en Active Directory-sundheds-og risikovurderingskontrol. Før du beslutter dig for at flytte til skyen, skal der udføres en Active Directory-sundhedskontrol, der inkluderer kontrol af uaktuelle brugerkonti, deaktiverede bruger-og computerkonti og eventuelle forældreløse objekter, der ikke må replikeres til kunne. Tilsvarende, hvis du beslutter at implementere domænecontrollere i skyen, skal du kontrollere replikering for at sikre, at den fungerer korrekt.
- før du foretager en stor ændring i produktionsmiljøet: før du foretager store ændringer i dit produktionsmiljø, anbefales det at foretage en grundig kontrol af alle Active Directory-komponenter. De kontroller, du udfører, sørger for, at Active Directory er sundt, før du foretager en stor ændring, såsom implementering af en teknologi, der er stærkt afhængig af Active Directory-infrastruktur og objekter.
- sammenlægning med en anden virksomhed: du kan også kræve at udføre et Active Directory-sundhedstjek, før din produktion Active Directory forest flettes med en anden virksomheds Active Directory forest.
tilgængelige metoder til Active Directory-sundhedstjek
der er flere tilgængelige metoder baseret på dine krav, f.eks. Mens der findes flere værktøjer på markedet, der kan tilbyde et par kontroller, men ikke alle værktøjer kan udføre en komplet sundheds-og risikovurdering af Active Directory-skove. For eksempel kan nogle værktøjer ikke omfatte sundhedskontrol, der helt sikkert er nødvendige, og nogle produkter kan faktisk afdække skjulte problemer, som igen hjælper med at undgå forstyrrelser i tjenesten.
brug af scripts
du kan bruge scripts til at kontrollere hver komponent i Active Directory, men du skal kende alle komponenter, du gerne vil kontrollere som en del af sundhedstjekket. For eksempel har du måske besluttet at kontrollere Active Directory forest replication status, men måske har glemt at kontrollere andre komponenter i Active Directory som Gruppepolitik, Active Directory sites og så videre. Selvom Microsoft leverer de nødvendige cmdlet ‘ er til at kontrollere en bestemt Active Directory-komponent, kan det tage måneder at designe et Active Directory-script, der indeholder kontroller, der skal udføres på vigtige aspekter af Active Directory. Som et eksempel kan du ved hjælp af nedenstående kommando kontrollere replikationsstatus på et Active Directory-sted:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft tilbyder Active Directory risikovurdering Program til premier kunder. ADRAP-programmet dækker alle kontroller, der skal udføres i et Active Directory-miljø, og genererer også en rapport om problemer, der er afdækket af værktøjet. ADRAP-programmet udføres af Microsoft Premier Field Engineer, der er kvalificeret i vurderingsprocessen. Selvom ADRAP-programmet kan afdække alle Active Directory-problemer ved hjælp af Active Directory Snapshot-værktøjet, er det ret dyrt og kan kun bruges til en enkelt Active Directory-skov. Ud over enkelt skovbegrænsning er ADRAP-værktøjet ikke tilgængeligt for kunder, der ikke har en premier-kontrakt. Hvis du har flere Active Directory-skove, skal du betale for hver Active Directory-skov. Det er også værd at nævne, at ADRAP-værktøjet kun kan bruges i et år.
O365 it Health and Risk Scanner
der er et godt produkt tilgængeligt på markedet kaldet O365 it Health and Risk Scanner. O365 it-Scanneren er designet til at udføre en komplet sundhedstjek af dit Microsoft-økosystem, der inkluderer Active Directory, Hyper-V, Microsoft-udveksling, Microsoft-servere, Microsoft Active Directory, Office 365 osv. Produktet kan udføre komplet Active Directory sundhed og risiko kontrol og give spørgsmål og anbefalinger til at løse problemerne. En god ting ved O365 it Health and Risk Scanner er, at produktet er dynamisk. Det giver dig mulighed for at oprette dine egne sundhedstjek relateret til enhver teknologi. O365 it Health and Risk Scanner-produktet bliver det første valg for IT-administratorer, it-arkitekter og administrerede tjenesteudbydere. Som du kan se på skærmbilledet nedenfor, kan du tilføje sundhedstjek efter eget valg ved at klikke på teknologimærkaterne og derefter oprette en vurderingsprofil:
jeg har brugt O365 it-scanneren til mange af vores kunder og finder den ganske nyttig. Nogle af de bemærkelsesværdige funktioner i O365 it Health and Risk Scanner hjælper med at finde de kritiske og høje sundhedsmæssige problemer og risici i Active Directory-miljøet, evne til at delegere sundheds-og risikovurderingsopgaver ved hjælp af Delegation Add-on, evne til at planlægge dynamiske pakker og være i stand til at generere en risiko-og sundhedsvurderingsrapport hurtigt og være i stand til at udføre tilpas rapporten efter dine behov.
Active Directory sundheds-og risikovurdering: Et must-do
vi gav et overblik over, hvorfor det er nødvendigt at udføre en Active Directory-sundheds-og risikovurdering for din produktion Active Directory forest. Vi leverede tilgængelige metoder, som vi kan bruge til at udføre sundheds-og risikovurdering af Active Directory-skove. Mens Microsoft ADRAP-værktøjet kan udføre en Active Directory-vurdering, kan O365 it Health and Risk Scanner udføre sundheds-og risikovurdering af det komplette Microsoft-økosystem.
Udvalgt billede: