Active Directory ist eine kritische Komponente für eine Organisation. Alle Geschäftsanwendungen verwenden das Active Directory-Authentifizierungssubsystem, bevor der Zugriff auf Anwendungsdaten zugelassen werden kann. Active Directory ist eine Basiskomponente, die effektiv arbeiten muss, um Ausfallzeiten für kritische Geschäftsanwendungen zu vermeiden. Wenn beispielsweise eine intern entwickelte Anwendung 100 Authentifizierungsanforderungen verarbeitet und der Domänencontroller nicht rechtzeitig auf die von Anwendungen kommenden Authentifizierungsanforderungen reagiert, kann dies zu Geschäftsverlusten führen. In ähnlicher Weise erwarten Sie, dass die an einem Active Directory-Standort erstellten Änderungen so schnell wie möglich auf alle anderen Active Directory-Standorte repliziert werden. Die große Frage ist, wie führen Sie diese Kontrollen durch? Als Microsoft MVP im Bereich Verzeichnisdienste habe ich viele Engagements mit lokalen und globalen Kunden im Bereich Active Directory Health Assessment durchgeführt. In der Vergangenheit habe ich einzelne PowerShell-Skripte entworfen, um eine bestimmte Komponente des Active Directory zu überprüfen. Ich habe jedoch mit vielen anderen automatisierten Tools gearbeitet, die ich mit Ihnen teilen kann, damit Sie das beste basierend auf Ihren Anforderungen auswählen können.
Warum eine Active Directory-Risikobewertung durchführen?
Es gibt mehrere Gründe, warum eine Active Directory-Risiko- und Integritätsbewertung wie unten aufgeführt durchgeführt werden muss:
- Audit- und Compliance-Zwecke: Für große Organisationen wird es sicherlich notwendig, dass die Organisationen die SOX-, PCI-, HIPPA- und GDPR-Standards einhalten. Viele der Active Directory-Risikobewertungsprodukte folgen den Richtlinien der Compliance-Standards.
- Vor dem Wechsel in die Cloud: Wenn sich Ihre Organisation für den Wechsel in die Cloud entschieden hat, müssen Sie eine Active Directory-Integritäts- und Risikobewertungsprüfung in Betracht ziehen. Bevor Sie sich für den Wechsel in die Cloud entscheiden, muss eine Active Directory-Integritätsprüfung durchgeführt werden, die die Überprüfung veralteter Benutzerkonten, deaktivierter Benutzer- und Computerkonten sowie verwaister Objekte umfasst, die nicht in die Cloud repliziert werden dürfen. Wenn Sie sich für die Implementierung von Domänencontrollern in der Cloud entscheiden, müssen Sie die Replikation überprüfen, um sicherzustellen, dass sie ordnungsgemäß funktioniert.
- Bevor Sie eine große Änderung in der Produktionsumgebung vornehmen: Bevor Sie große Änderungen in Ihrer Produktionsumgebung vornehmen, sollten Sie eine gründliche Überprüfung aller Active Directory-Komponenten durchführen. Die Überprüfungen, die Sie durchführen, stellen sicher, dass Active Directory fehlerfrei ist, bevor Sie eine große Änderung vornehmen, z. B. eine Technologie implementieren, die stark von der Active Directory-Infrastruktur und den Objekten abhängt.
- Zusammenführen mit einem anderen Unternehmen: Möglicherweise müssen Sie auch eine Active Directory-Integritätsprüfung durchführen, bevor Ihre Produktions-Active Directory-Gesamtstruktur mit der Active Directory-Gesamtstruktur eines anderen Unternehmens zusammengeführt wird.
Verfügbare Methoden für die Active Directory-Integritätsprüfung
Basierend auf Ihren Anforderungen stehen verschiedene Methoden zur Verfügung, z. B. die Verwendung von Microsoft PowerShell-Skripten, Microsoft ADRAP Engagement und Office 365 IT Health and Risk Scanner. Es gibt zwar mehrere Tools auf dem Markt, die einige Überprüfungen anbieten können, aber nicht alle Tools können eine vollständige Integritäts- und Risikobewertung von Active Directory-Gesamtstrukturen durchführen. Beispielsweise enthalten einige Tools möglicherweise keine Integritätsprüfungen, die sicherlich erforderlich sind, und einige Produkte können tatsächlich versteckte Probleme aufdecken, was wiederum dazu beiträgt, Unterbrechungen des Dienstes zu vermeiden.
Verwenden von PowerShell-Skripten
Sie können PowerShell-Skripte verwenden, um jede Komponente von Active Directory zu überprüfen. Beispielsweise haben Sie möglicherweise beschlossen, den Replikationsstatus der Active Directory-Gesamtstruktur zu überprüfen, aber möglicherweise vergessen, andere Komponenten des Active Directory wie Gruppenrichtlinien, Active Directory-Standorte usw. zu überprüfen. Obwohl Microsoft die erforderlichen PowerShell-Cmdlets zum Überprüfen einer bestimmten Active Directory-Komponente bereitstellt, kann es Monate dauern, ein PowerShell-Skript zu entwerfen, das Prüfungen für wichtige Aspekte von Active Directory enthält. Mit dem folgenden PowerShell-Befehl können Sie beispielsweise den Replikationsstatus an einem Active Directory-Standort überprüfen:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft bietet das Active Directory-Risikobewertungsprogramm für Premier-Kunden an. Das ADRAP-Programm deckt alle Prüfungen ab, die in einer Active Directory-Umgebung durchgeführt werden müssen, und erstellt auch einen Bericht über vom Tool aufgedeckte Probleme. Das ADRP-Programm wird von einem Microsoft Premier Field Engineer durchgeführt, der für den Bewertungsprozess qualifiziert ist. Obwohl das ADRAP-Programm alle Active Directory-Probleme mithilfe des Active Directory-Snapshot-Tools aufdecken kann, ist es recht teuer und kann nur für eine einzelne Active Directory-Gesamtstruktur verwendet werden. Neben der Beschränkung auf eine einzige Gesamtstruktur steht das ADRAP-Tool Kunden ohne Premier-Vertrag nicht zur Verfügung. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, müssen Sie für jede Active Directory-Gesamtstruktur bezahlen. Erwähnenswert ist auch, dass das ADRAP-Tool nur für ein Jahr verwendet werden kann.
O365 IT Gesundheits- und Risikoscanner
Es gibt ein großartiges Produkt auf dem Markt namens O365 IT Gesundheits- und Risikoscanner. Der O365 IT Scanner wurde entwickelt, um eine vollständige Integritätsprüfung Ihres Microsoft-Ökosystems durchzuführen, das Active Directory, Hyper-V, Microsoft Exchange, SQL Server, Microsoft Azure, Office 365 usw. umfasst. Das Produkt kann vollständige Active Directory-Integritäts- und Risikoprüfungen durchführen und Probleme und Empfehlungen zur Behebung der Probleme bereitstellen. Eine gute Sache an O365 IT Health and Risk Scanner ist, dass das Produkt dynamisch ist. Sie können damit Ihre eigenen Zustandsprüfungen für jede Technologie erstellen. Das Produkt O365 IT Health and Risk Scanner wird zur ersten Wahl für IT-Administratoren, IT-Architekten und Managed Service Provider. Wie Sie im Screenshot unten sehen können, können Sie Zustandsprüfungen Ihrer Wahl hinzufügen, indem Sie auf die Technologieetiketten klicken und dann ein Bewertungsprofil erstellen:
Ich habe den O365 IT Scanner für viele unserer Kunden verwendet und finde ihn sehr nützlich. Einige der bemerkenswerten Funktionen des O365 IT Health and Risk Scanners helfen bei der Suche nach kritischen und hohen Gesundheitsproblemen und Risiken in der Active Directory-Umgebung, die Fähigkeit, Gesundheits- und Risikobewertungsaufgaben mithilfe des Delegierungs-Add-Ons zu delegieren, dynamische Pakete zu planen und in der Lage zu sein, schnell einen Risiko- und Gesundheitsbewertungsbericht zu erstellen und den Bericht an Ihre Bedürfnisse anzupassen.
Active Directory-Integritäts- und Risikobewertung: Ein Muss
Wir haben einen Überblick darüber gegeben, warum es notwendig ist, eine Active Directory-Integritäts- und Risikobewertung für Ihre Active Directory-Gesamtstruktur in der Produktion durchzuführen. Wir haben verfügbare Methoden bereitgestellt, mit denen wir die Zustands- und Risikobewertung von Active Directory-Gesamtstrukturen durchführen können. Während das Microsoft ADRAP-Tool eine Active Directory-Bewertung durchführen kann, kann der O365 IT Health and Risk Scanner eine Zustands- und Risikobewertung des gesamten Microsoft-Ökosystems durchführen.
Ausgewähltes Bild: