az Active Directory egy szervezet kritikus eleme. Minden üzleti alkalmazás az Active Directory hitelesítési alrendszert használja, mielőtt engedélyezné az alkalmazásadatokhoz való hozzáférést. Az Active Directory egy olyan alapkomponens, amelynek hatékonyan kell működnie a kritikus üzleti alkalmazások leállásának elkerülése érdekében. Például, ha egy házon belüli alkalmazás 100 hitelesítési kérelmet dolgoz fel, és ha a tartományvezérlő nem válaszol időben az alkalmazásokból érkező hitelesítési kérelmekre, ez üzleti veszteséget okozhat. Hasonlóképpen elvárható, hogy az Active Directory-webhelyen létrehozott módosítások a lehető leghamarabb megismétlődjenek az összes többi Active Directory-webhelyen. A nagy kérdés az, hogyan hajtja végre ezeket az ellenőrzéseket? A Directory Services Microsoft MVP – jeként számos kapcsolatot folytattam helyi és globális ügyfelekkel az Active Directory állapotfelmérésével kapcsolatban. A múltban egyedi PowerShell szkripteket terveztem az Active Directory egy adott összetevőjének ellenőrzésére. Azonban sok más automatizált eszközzel dolgoztam, amelyeket megoszthatok veled, így az Ön igényei alapján kiválaszthatja a legjobbat.
miért érdemes elvégezni az Active Directory kockázatértékelését?
számos oka van annak, hogy miért kell elvégezni az Active Directory kockázati és egészségügyi értékelését az alábbiak szerint:
- Audit és compliance célok: A nagy szervezetek számára minden bizonnyal szükségessé válik, hogy a szervezetek megfeleljenek a SOX, a PCI, a HIPPA és a GDPR szabványoknak. Az Active Directory kockázatértékelési termékei közül sok követi a megfelelőségi szabványok irányelveit.
- a felhőbe költözés előtt: ha a szervezet úgy döntött, hogy a felhőbe költözik, fontolja meg az Active Directory állapot-és kockázatértékelési ellenőrzését. Mielőtt úgy dönt, hogy a felhőbe költözik, el kell végeznie az Active Directory állapotellenőrzését, amely magában foglalja az elavult felhasználói fiókok, a letiltott felhasználói és számítógépes fiókok, valamint az árva objektumok ellenőrzését, amelyeket nem szabad megismételni a could-ban. Hasonlóképpen, ha úgy dönt, hogy a tartományvezérlőket a felhőben valósítja meg, ellenőriznie kell a replikációt, hogy megbizonyosodjon arról, hogy megfelelően működik-e.
- mielőtt nagy változást hajtana végre a termelési környezetben: mielőtt bármilyen nagy változtatást hajtana végre a termelési környezetben, tanácsos alaposan ellenőrizni az Active Directory összes összetevőjét. Az elvégzett ellenőrzések győződjön meg arról, hogy az Active Directory egészséges, mielőtt egy nagy változás, mint a végrehajtási technológia, amely nagymértékben függ az Active Directory infrastruktúra és objektumok.
- összevonás egy másik vállalattal: előfordulhat, hogy az Active Directory állapotfelmérését is el kell végeznie, mielőtt a termelési Active Directory-erdőt egyesítené egy másik vállalat Active Directory-erdőjével.
elérhető módszerek az Active Directory állapotfelméréséhez
az Ön igényei szerint számos módszer áll rendelkezésre, például a Microsoft PowerShell parancsfájlok, a Microsoft ADRAP Engagement és az Office 365 informatikai állapot-és Kockázatellenőrző használata. Bár számos olyan eszköz áll rendelkezésre a piacon, amely néhány ellenőrzést kínál, de nem minden eszköz képes az Active Directory-erdők teljes körű egészségügyi és kockázatértékelésére. Például előfordulhat, hogy egyes eszközök nem tartalmaznak feltétlenül szükséges egészségügyi ellenőrzéseket, és egyes termékek valóban feltárhatják a rejtett problémákat, amelyek viszont segítenek elkerülni a szolgáltatás zavarait.
PowerShell parancsfájlok használata
a PowerShell parancsfájlok segítségével ellenőrizheti az Active Directory minden összetevőjét, de ismernie kell az összes összetevőt, amelyet ellenőrizni szeretne az állapotfelmérés részeként. Előfordulhat például, hogy úgy döntött, hogy ellenőrzi az Active Directory erdő replikációs állapotát, de elfelejtette ellenőrizni az Active Directory egyéb összetevőit, például a csoportházirendet, az Active Directory-webhelyeket stb. Bár a Microsoft biztosítja a szükséges PowerShell parancsmagokat egy adott Active Directory-összetevő ellenőrzéséhez, hónapokba telhet egy PowerShell-parancsfájl megtervezése, amely az Active Directory fontos szempontjainak ellenőrzését tartalmazza. Például az alábbi PowerShell paranccsal ellenőrizheti a replikáció állapotát egy Active Directory-webhelyen:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
a Microsoft Active Directory kockázatértékelési programot kínál a premier ügyfelek számára. Az ADRAP program magában foglalja az Active Directory környezetben végrehajtandó összes ellenőrzést, valamint jelentést készít az eszköz által feltárt problémákról. Az ADRAP programot a Microsoft Premier helyszíni mérnöke végzi, aki képzett az értékelési folyamatban. Bár az ADRAP program az Active Directory Snapshot eszközzel képes feltárni az összes Active Directory-problémát, meglehetősen drága, és csak egyetlen Active Directory-erdőhöz használható. Az egyetlen erdő korlátozása mellett az ADRAP eszköz nem érhető el olyan ügyfelek számára, akik nem rendelkeznek premier szerződéssel. Ha több Active Directory-erdővel rendelkezik, akkor minden Active Directory-erdőért fizetnie kell. Érdemes megemlíteni, hogy az ADRAP eszköz csak egy évig használható.
O365 IT Health and Risk Scanner
van egy nagy termék elérhető a piacon az úgynevezett O365 IT Health and Risk Scanner. Az O365 informatikai szkenner célja, hogy végre egy teljes állapotfelmérés a Microsoft ökoszisztéma, amely magában foglalja az Active Directory, Hyper-V, Microsoft Exchange, SQL servers, Microsoft Azure, Office 365, és így tovább. A termék teljes Active Directory állapot-és kockázatellenőrzést hajthat végre, és problémákat és ajánlásokat adhat a problémák megoldására. Az O365 it Health and Risk Scanner egyik jó tulajdonsága, hogy a termék dinamikus. Ez lehetővé teszi, hogy saját technológiával kapcsolatos egészségügyi ellenőrzéseket hozzon létre. Az O365 it Health and Risk Scanner termék az első számú választás az IT adminok, IT építészek és menedzselt szolgáltatók számára. Amint az az alábbi képernyőképen látható, a technológiai címkékre kattintva hozzáadhatja az Ön által választott állapotellenőrzéseket, majd létrehozhat egy értékelési profilt:
sok ügyfelünk számára használtam az O365 informatikai szkennert, és nagyon hasznosnak találom. Az O365 it Health and Risk Scanner néhány figyelemre méltó tulajdonsága segít megtalálni a kritikus és magas egészségügyi problémákat és kockázatokat az Active Directory környezetben, az egészségügyi és kockázatértékelési feladatok delegálásának képessége a delegációs bővítmény használatával, a dinamikus csomagok ütemezésének képessége, valamint a kockázat-és egészségértékelési jelentés gyors létrehozása, valamint a jelentés testreszabása az Ön igényeinek megfelelően.
Active Directory egészség és kockázatértékelés: A must-do
áttekintést adtunk arról, hogy miért van szükség az Active Directory állapot-és kockázatértékelésére a termelési Active Directory-erdő esetében. Rendelkezésre álló módszereket biztosítottunk az Active Directory-erdők egészségügyi és kockázatértékelésére. Míg a Microsoft ADRAP eszköz képes az Active Directory felmérésére, az O365 informatikai egészségügyi és kockázati szkenner képes a teljes Microsoft ökoszisztéma állapotának és kockázatértékelésének elvégzésére.
Kiemelt kép: