Active Directory este o componentă critică pentru o organizație. Toate aplicațiile de afaceri utilizează subsistemul de autentificare Active Directory înainte de a putea fi permis accesul la datele aplicației. Active Directory este o componentă de bază care trebuie să funcționeze eficient pentru a evita perioadele de nefuncționare pentru aplicațiile critice de afaceri. De exemplu, dacă o aplicație proiectată intern procesează 100 de cereri de autentificare și dacă controlerul de domeniu nu răspunde în timp util la cererile de autentificare provenite de la aplicații, Acest lucru ar putea duce la pierderi de afaceri. În mod similar, v-ați aștepta ca modificările create într-un site Active Directory să fie reproduse la toate celelalte site-uri Active Directory cât mai curând posibil. Marea întrebare este cum efectuați aceste verificări? Ca Microsoft MVP în Directory Services, am făcut multe angajamente cu clienții locali și globali privind evaluarea sănătății Active Directory. În trecut, obișnuiam să proiectez scripturi PowerShell individuale pentru a verifica o componentă specifică a Active Directory. Cu toate acestea, am lucrat cu multe alte instrumente automate pe care le pot împărtăși cu dvs., astfel încât să puteți alege cel mai bun pe baza cerințelor dvs.
de ce să efectuați evaluarea riscurilor Active Directory?
există mai multe motive pentru care trebuie efectuată o evaluare a riscului și a sănătății Active Directory, după cum urmează:
- scopuri de Audit și conformitate: Pentru organizațiile mari, devine cu siguranță necesar ca organizațiile să respecte standardele SOX, PCI, HIPPA și GDPR. Multe dintre produsele Active Directory de evaluare a riscurilor respectă liniile directoare furnizate de standardele de conformitate.
- înainte de a vă deplasa în cloud: dacă organizația dvs. a decis să se mute în cloud, trebuie să luați în considerare o verificare de evaluare a sănătății și a riscurilor Active Directory. Înainte de a vă decide să vă mutați în cloud, trebuie efectuată o verificare de sănătate Active Directory, care include verificarea conturilor de utilizator învechite, a conturilor de utilizator și a computerului dezactivate și a oricăror obiecte orfane care nu trebuie reproduse în ar putea. În mod similar, dacă decideți să implementați controlere de domeniu în cloud, trebuie să verificați replicarea pentru a vă asigura că funcționează corect.
- înainte de a face o schimbare mare în mediul de producție: înainte de a face orice schimbări mari în mediul de producție, este recomandabil să efectuați o verificare amănunțită a tuturor componentelor Active Directory. Verificările pe care le efectuați asigurați-vă că Active Directory este sănătos înainte de a face o schimbare mare, cum ar fi implementarea unei tehnologii care depinde în mare măsură de infrastructura și obiectele Active Directory.
- fuzionarea cu o altă companie: puteți solicita, de asemenea, să efectuați o verificare de sănătate a Active Directory înainte ca producția dvs. Active Directory forest să fie fuzionată cu Active Directory forest a altei companii.
metode disponibile pentru Active Directory health check
există mai multe metode disponibile pe baza cerințelor dvs., cum ar fi utilizarea scripturilor Microsoft PowerShell, Microsoft ADRAP Engagement și Office 365 it Health and Risk Scanner. Deși există mai multe instrumente disponibile pe piață care pot oferi câteva verificări, dar nu toate instrumentele pot efectua o evaluare completă a sănătății și a riscurilor pădurilor Active Directory. De exemplu, unele instrumente ar putea să nu includă controale de sănătate care sunt cu siguranță necesare, iar unele produse pot descoperi de fapt probleme ascunse, care, la rândul lor, ajută la evitarea perturbării serviciului.
utilizarea scripturilor PowerShell
puteți utiliza scripturile PowerShell pentru a verifica fiecare componentă a Active Directory, dar trebuie să cunoașteți toate componentele pe care doriți să le verificați ca parte a verificării de sănătate. De exemplu, este posibil să fi decis să verificați starea de replicare a pădurii Active Directory, dar este posibil să fi uitat să verificați alte componente ale Active Directory, cum ar fi politica de grup, Site-urile Active Directory și așa mai departe. Deși Microsoft furnizează cmdleturile PowerShell necesare pentru a verifica o anumită componentă Active Directory, este posibil să dureze luni de zile pentru a proiecta un script PowerShell care conține verificări care trebuie efectuate asupra aspectelor importante ale Active Directory. De exemplu, folosind comanda PowerShell de mai jos puteți verifica starea de replicare într-un site Active Directory:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
Microsoft oferă programul de evaluare a riscurilor Active Directory pentru clienții premier. Programul ADRAP acoperă toate verificările care trebuie efectuate într-un mediu Active Directory și generează, de asemenea, un raport privind problemele descoperite de instrument. Programul ADRAP este realizat de Microsoft Premier Field Engineer care este calificat în procesul de evaluare. Deși programul ADRAP poate descoperi toate problemele Active Directory folosind instrumentul Active Directory Snapshot, este destul de scump și poate fi folosit doar pentru o singură pădure Active Directory. În plus față de limitarea unică a pădurilor, instrumentul ADRAP nu este disponibil pentru clienții care nu au un contract premier. Dacă aveți mai multe păduri Active Directory, vi se va cere să plătiți pentru fiecare pădure Active Directory. De asemenea, merită menționat faptul că instrumentul ADRAP poate fi utilizat doar un an.
O365 it Sănătate și risc Scanner
există un produs de mare disponibile în piață numit O365 it Sănătate și risc Scanner. Scanerul IT O365 este conceput pentru a efectua o verificare completă a stării de sănătate a ecosistemului Microsoft care include Active Directory, Hyper-V, Microsoft Exchange, servere SQL, Microsoft Azure, Office 365 și așa mai departe. Produsul poate efectua verificări complete de sănătate și risc Active Directory și poate oferi probleme și recomandări pentru a remedia problemele. Un lucru bun despre O365 it Health and Risk Scanner este că produsul este dinamic. Vă permite să vă creați propriile controale de sănătate legate de orice tehnologie. Produsul O365 it Health and Risk Scanner devine prima alegere pentru administratorii IT, arhitecții IT și furnizorii de servicii gestionate. După cum puteți vedea în captura de ecran de mai jos, puteți adăuga verificări de sănătate la alegere făcând clic pe etichetele tehnologiei și apoi creați un profil de evaluare:
am folosit scanerul IT O365 pentru mulți dintre clienții noștri și îl găsesc destul de util. Unele dintre caracteristicile notabile ale scanerului O365 it Health and Risk ajută la găsirea problemelor și riscurilor de sănătate critice și ridicate în mediul Active Directory, capacitatea de a delega sarcini de evaluare a sănătății și a riscurilor prin utilizarea suplimentului de Delegare, capacitatea de a programa pachete dinamice și de a putea genera rapid un raport de evaluare a riscurilor și a sănătății și de a putea efectua personalizați raportul în funcție de nevoile dvs.
Active Directory sănătate și evaluarea riscurilor: Un must-do
am oferit o imagine de ansamblu a motivului pentru care este necesar să efectuați o evaluare a sănătății și a riscurilor Active Directory pentru producția dvs. Active Directory forest. Am furnizat metode disponibile pe care le putem folosi pentru a efectua evaluarea sănătății și a riscurilor pădurilor Active Directory. În timp ce instrumentul Microsoft ADRAP poate efectua o evaluare Active Directory, O365 it Health and Risk Scanner poate efectua evaluarea sănătății și a riscurilor ecosistemului Microsoft complet.
Imagine recomandată: