o Active Directory é um componente crítico para uma organização. Todos os aplicativos de negócios usam o subsistema de autenticação do Active Directory antes que o acesso aos dados do aplicativo possa ser permitido. O Active Directory é um componente base que deve estar funcionando efetivamente para evitar tempos de inatividade para aplicativos de negócios críticos. Por exemplo, se um aplicativo projetado internamente processar 100 solicitações de autenticação e se o controlador de domínio não responder em tempo hábil às solicitações de autenticação provenientes de aplicativos, isso pode resultar em perda de negócios. Da mesma forma, você esperaria que as alterações criadas em um site do Active Directory fossem replicadas para todos os outros sites do Active Directory o mais rápido possível. A grande questão é como você executa essas verificações? Como MVP da Microsoft em Serviços de diretório, fiz muitos compromissos com clientes locais e globais na avaliação de integridade do Active Directory. No passado, eu costumava projetar scripts PowerShell individuais para verificar um componente específico do Active Directory. No entanto, trabalhei com muitas outras ferramentas automatizadas que posso compartilhar com você para que você possa escolher a melhor com base em suas necessidades.
por que realizar a avaliação de risco do Active Directory?
existem várias razões pelas quais uma avaliação de risco e saúde do Active Directory deve ser feita conforme listado abaixo:
- fins de auditoria e conformidade: Para grandes organizações, torna-se certamente necessário que as organizações estejam em conformidade com os padrões SOX, PCI, HIPPA e GDPR. Muitos dos produtos de Avaliação de risco do Active Directory seguem as diretrizes fornecidas pelos padrões de Conformidade.
- Antes de mudar para a nuvem: se sua organização decidiu mudar para a nuvem, você deve considerar uma verificação de avaliação de risco e saúde do Active Directory. Antes de decidir mover para a nuvem, uma verificação de integridade do Active Directory deve ser executada, incluindo a verificação de contas de usuário obsoletas, contas de usuário e computador desativadas e quaisquer objetos órfãos que não devem ser replicados para o poderia. Da mesma forma, se você decidir implementar controladores de domínio na nuvem, deverá verificar a replicação para garantir que ela esteja funcionando corretamente.
- Antes de fazer uma grande mudança no ambiente de produção: antes de fazer grandes mudanças em seu ambiente de produção, é aconselhável realizar uma verificação completa de todos os componentes do Active Directory. As verificações que você executa garantem que o Active Directory esteja saudável antes de fazer uma grande mudança, como a implementação de uma tecnologia fortemente dependente da infraestrutura e dos objetos do Active Directory.
- mesclando com outra empresa: você também pode precisar executar uma verificação de integridade do Active Directory antes que sua floresta do Active Directory de produção seja mesclada com a floresta do Active Directory de outra empresa.
métodos disponíveis para verificação de integridade do Active Directory
existem vários métodos disponíveis com base em seus requisitos, como o uso de scripts do Microsoft PowerShell, o envolvimento do Microsoft ADRAP e o Office 365 it Health and Risk Scanner. Embora existam várias ferramentas disponíveis no mercado que podem oferecer algumas verificações, mas nem todas as ferramentas podem realizar uma avaliação completa da saúde e do risco das florestas do Active Directory. Por exemplo, algumas ferramentas podem não incluir verificações de integridade que certamente são necessárias e alguns produtos podem realmente descobrir problemas ocultos, que, por sua vez, ajudam a evitar interrupções no serviço.
usando scripts do PowerShell
você pode usar scripts do PowerShell para verificar cada componente do Active Directory, mas precisa saber todos os componentes que deseja verificar como parte da verificação de integridade. Por exemplo, você pode ter decidido verificar o status de replicação florestal do Active Directory, mas pode ter esquecido de verificar outros componentes do Active Directory, como Diretiva de grupo, sites do Active Directory e assim por diante. Embora a Microsoft forneça os cmdlets PowerShell necessários para verificar um componente específico do Active Directory, pode levar meses para projetar um script PowerShell que contenha verificações a serem executadas em aspectos importantes do Active Directory. Como exemplo, usando o comando PowerShell abaixo, você pode verificar o status da replicação em um site do Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft Adrap Engagement
a Microsoft oferece um programa de Avaliação de risco do Active Directory para clientes premier. O programa ADRAP cobre todas as verificações a serem realizadas em um ambiente do Active Directory e também gera um relatório sobre problemas descobertos pela ferramenta. O programa ADRAP é realizado pelo engenheiro de campo Microsoft Premier, qualificado no processo de avaliação. Embora o programa ADRAP possa descobrir todos os problemas do Active Directory usando a Ferramenta de Instantâneo do Active Directory, ele é muito caro e só pode ser usado para uma única floresta do Active Directory. Além da limitação de floresta única, a ferramenta ADRAP não está disponível para clientes que não possuem um contrato premier. Se você tiver várias florestas do Active Directory, será necessário pagar por cada floresta do Active Directory. Também vale a pena mencionar que a ferramenta ADRAP pode ser usada apenas por um ano.
O365 it Health and Risk Scanner
existe um ótimo produto disponível no mercado chamado O365 it Health and Risk Scanner. O O365 it Scanner foi projetado para realizar uma verificação de integridade completa do seu ecossistema Microsoft que inclui Active Directory, Hyper-V, Microsoft Exchange, servidores SQL, Microsoft Azure, Office 365 e assim por diante. O produto pode realizar verificações completas de integridade e risco do Active Directory e fornecer problemas e recomendações para corrigir os problemas. Uma coisa boa sobre o O365 it Health and Risk Scanner é que o produto é dinâmico. Ele permite que você crie seus próprios exames de saúde relacionados a qualquer tecnologia. O produto O365 it Health and Risk Scanner está se tornando a primeira escolha para administradores de TI, arquitetos de TI e provedores de serviços gerenciados. Como você pode ver na captura de tela abaixo, você pode adicionar verificações de integridade de sua escolha clicando nos rótulos de tecnologia e, em seguida, criar um perfil de avaliação:
eu usei o O365 it Scanner para muitos de nossos clientes e acho bastante útil. Algumas das características notáveis do O365 de Saúde e Risco do Scanner estão a ajudar a encontrar os críticos e de alta problemas de saúde e riscos no ambiente do Active Directory, capacidade para delegado de saúde e de avaliação de riscos de tarefas usando Delegação Add-On, capacidade de programação dinâmica packs e ser capaz de gerar um risco de saúde e relatório de avaliação de forma rápida e ser capaz de realizar personalizar o relatório de acordo com suas necessidades.
avaliação de saúde e risco do Active Directory: Um must-do
fornecemos uma visão geral de por que é necessário realizar uma avaliação de risco e saúde do Active Directory para sua floresta do Active Directory de produção. Fornecemos métodos disponíveis que podemos usar para realizar a avaliação de saúde e risco de florestas do Active Directory. Embora a ferramenta Microsoft ADRAP possa realizar uma avaliação do Active Directory, o O365 it Health and Risk Scanner pode realizar uma avaliação de saúde e risco do ecossistema completo da Microsoft.
imagem em destaque: