Active Directory jest kluczowym komponentem dla organizacji. Wszystkie aplikacje biznesowe korzystają z podsystemu uwierzytelniania Active Directory, zanim będzie można zezwolić na dostęp do danych aplikacji. Active Directory jest podstawowym komponentem, który musi działać skutecznie, aby uniknąć przestojów krytycznych aplikacji biznesowych. Na przykład, jeśli zaprojektowana przez siebie aplikacja przetwarza 100 żądań uwierzytelniania, a kontroler domeny nie odpowiada w odpowiednim czasie na żądania uwierzytelniania pochodzące z aplikacji, może to spowodować utratę firmy. Podobnie można oczekiwać, że zmiany utworzone w witrynie Active Directory zostaną jak najszybciej zreplikowane do wszystkich innych witryn Active Directory. Pytanie brzmi: jak pan przeprowadza te kontrole? Jako Microsoft MVP w usługach katalogowych wykonałem wiele zleceń z lokalnymi i globalnymi klientami w zakresie oceny stanu usługi Active Directory. W przeszłości projektowałem Indywidualne skrypty PowerShell, aby sprawdzić konkretny składnik Active Directory. Pracowałem jednak z wieloma innymi zautomatyzowanymi narzędziami, którymi mogę się z Tobą podzielić, abyś mógł wybrać najlepsze w oparciu o swoje wymagania.
po co przeprowadzać ocenę ryzyka w Active Directory?
istnieje kilka powodów, dla których należy przeprowadzić ocenę ryzyka i stanu zdrowia Usługi Active Directory, wymienionych poniżej:
- cele audytu i zgodności: W przypadku dużych organizacji z pewnością konieczne staje się przestrzeganie standardów SOX, PCI, HIPPA i GDPR. Wiele produktów do oceny ryzyka Active Directory stosuje się do wytycznych zawartych w standardach zgodności.
- przed przejściem do chmury: jeśli Twoja organizacja zdecydowała się na przejście do chmury, musisz rozważyć sprawdzenie stanu i oceny ryzyka usługi Active Directory. Zanim zdecydujesz się na przejście do chmury, należy przeprowadzić kontrolę stanu usługi Active Directory, która obejmuje sprawdzenie starych kont użytkowników, kont wyłączonych użytkowników i kont komputerów oraz wszelkich osieroconych obiektów, których nie wolno replikować do moga. Podobnie, jeśli zdecydujesz się wdrożyć kontrolery domeny w chmurze, musisz sprawdzić replikację, aby upewnić się, że działa poprawnie.
- przed dokonaniem dużych zmian w środowisku produkcyjnym: przed dokonaniem dużych zmian w środowisku produkcyjnym wskazane jest dokładne sprawdzenie wszystkich komponentów Active Directory. Przeprowadzana kontrola upewnia się, że Usługa Active Directory jest sprawna przed dokonaniem dużych zmian, takich jak wdrożenie technologii, która jest w dużym stopniu zależna od infrastruktury i obiektów usługi Active Directory.
- łączenie się z inną firmą: przed połączeniem lasu produkcyjnego Active Directory z lasem Active Directory innej firmy może być również konieczne przeprowadzenie kontroli stanu Active Directory.
dostępne metody sprawdzania stanu usługi Active Directory
w zależności od wymagań użytkownika dostępnych jest kilka metod, takich jak używanie skryptów Microsoft PowerShell, Microsoft Adrap Engagement i Office 365 it Health and Risk Scanner. Chociaż na rynku dostępnych jest kilka narzędzi, które mogą oferować kilka kontroli, ale nie wszystkie narzędzia mogą przeprowadzić pełną ocenę stanu zdrowia i ryzyka lasów Active Directory. Na przykład niektóre narzędzia mogą nie obejmować kontroli stanu zdrowia, które są z pewnością konieczne, a niektóre produkty mogą faktycznie odkryć ukryte problemy, co z kolei pomaga uniknąć zakłóceń w świadczeniu usług.
używanie skryptów PowerShell
możesz użyć skryptów PowerShell, aby sprawdzić każdy składnik Active Directory, ale musisz znać wszystkie komponenty, które chcesz sprawdzić w ramach kontroli stanu. Na przykład, być może zdecydowałeś się sprawdzić status replikacji lasu w usłudze Active Directory, ale mogłeś zapomnieć o sprawdzeniu innych składników usługi Active Directory, takich jak zasady grupy, witryny usługi Active Directory i tak dalej. Chociaż Microsoft udostępnia niezbędne polecenia cmdlet PowerShell do sprawdzenia określonego komponentu Active Directory, zaprojektowanie skryptu PowerShell, który zawiera kontrole, które należy wykonać w ważnych aspektach Active Directory, może potrwać miesiące. Na przykład za pomocą poniższego polecenia PowerShell można sprawdzić status replikacji w witrynie Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft oferuje program do oceny ryzyka Active Directory dla klientów premier. Program ADRAP obejmuje wszystkie kontrole, które mają być wykonywane w środowisku Active Directory, a także generuje raport o problemach wykrytych przez narzędzie. Program ADRAP jest wykonywany przez Microsoft Premier Field Engineer, który jest wykwalifikowany w procesie oceny. Chociaż program ADRAP może wykryć wszystkie problemy z Active Directory za pomocą narzędzia migawki Active Directory, jest dość drogi i może być używany tylko dla jednego lasu Active Directory. Oprócz pojedynczego ograniczenia lasu, narzędzie ADRAP nie jest dostępne dla klientów, którzy nie mają umowy premier. Jeśli posiadasz wiele lasów Active Directory, będziesz musiał zapłacić za każdy Las Active Directory. Warto również wspomnieć, że narzędzie ADRAP może być używane tylko przez rok.
O365 it Health and Risk Scanner
na rynku dostępny jest świetny produkt o nazwie O365 it Health and Risk Scanner. Skaner IT O365 został zaprojektowany do przeprowadzenia pełnej kontroli stanu ekosystemu firmy Microsoft, który obejmuje Active Directory, Hyper-V, Microsoft Exchange, serwery SQL, Microsoft Azure, Office 365 i tak dalej. Produkt może przeprowadzić pełną kontrolę stanu i ryzyka usługi Active Directory oraz dostarczyć problemy i zalecenia w celu ich rozwiązania. Jedną dobrą rzeczą w O365 it Health and Risk Scanner jest to, że produkt jest dynamiczny. Pozwala na tworzenie własnych kontroli zdrowia związanych z dowolną technologią. Produkt O365 it Health and Risk Scanner staje się pierwszym wyborem dla administratorów IT, architektów IT i dostawców usług zarządzanych. Jak widać na poniższym zrzucie ekranu, możesz dodać wybrane testy stanu, klikając etykiety technologii, a następnie utworzyć profil oceny:
używałem skanera IT O365 dla wielu naszych klientów i uważam go za bardzo przydatny. Niektóre z godnych uwagi funkcji skanera O365 it Health and Risk Scanner pomagają w znalezieniu krytycznych i wysokich problemów zdrowotnych oraz zagrożeń w środowisku Active Directory, możliwości delegowania zadań związanych z oceną zdrowia i ryzyka za pomocą dodatku delegowania, możliwości planowania dynamicznych pakietów i szybkiego generowania raportu oceny ryzyka i stanu zdrowia oraz możliwości dostosowania raportu do własnych potrzeb.
ocena stanu zdrowia i ryzyka w Active Directory: Niezbędnik
przedstawiliśmy przegląd powodów, dla których konieczne jest przeprowadzenie oceny stanu zdrowia i ryzyka Active Directory dla twojej produkcji. Dostarczyliśmy dostępne metody, które możemy wykorzystać do przeprowadzenia oceny zdrowia i ryzyka lasów Active Directory. Podczas gdy narzędzie Microsoft ADRAP może przeprowadzić ocenę usługi Active Directory, O365 it Health and Risk Scanner może przeprowadzić ocenę stanu zdrowia i ryzyka całego ekosystemu firmy Microsoft.
polecany obraz: