Active Directory är en kritisk komponent för en organisation. Alla affärsapplikationer använder Active Directory-autentiseringsundersystemet innan åtkomst till applikationsdata kan tillåtas. Active Directory är en baskomponent som måste fungera effektivt för att undvika driftstopp för kritiska affärsapplikationer. Till exempel, om en egen utformad applikation behandlar 100 autentiseringsbegäranden och om domänkontrollanten inte svarar i tid på autentiseringsbegäranden som kommer från applikationer, kan detta leda till affärsförlust. På samma sätt kan du förvänta dig att ändringarna som skapats på en Active Directory-webbplats ska replikeras till alla andra Active Directory-webbplatser så snart som möjligt. Den stora frågan är hur du utför dessa kontroller? Som Microsoft MVP i katalogtjänster har jag gjort många engagemang med lokala och globala kunder på Active Directory health assessment. Tidigare brukade jag designa enskilda PowerShell-skript för att kontrollera en specifik komponent i Active Directory. Jag har dock arbetat med många andra automatiserade verktyg som jag kan dela med dig så att du kan välja det bästa baserat på dina krav.
varför utföra Active Directory riskbedömning?
det finns flera skäl till varför en Active Directory risk och hälsobedömning måste göras enligt nedan:
- revision och efterlevnad: För stora organisationer blir det verkligen nödvändigt att organisationerna följer Sox -, PCI -, HIPPA-och GDPR-standarderna. Många av Active Directory-riskbedömningsprodukterna följer riktlinjer som tillhandahålls av efterlevnadsstandarderna.
- innan du flyttar till molnet: om din organisation har beslutat att flytta till molnet måste du överväga en Active Directory health and risk assessment check. Innan du bestämmer dig för att flytta till molnet måste en Active Directory-hälsokontroll utföras som inkluderar kontroll av inaktuella användarkonton, inaktiverade användar-och datorkonton och eventuella föräldralösa objekt som inte får replikeras till kunde. På samma sätt, om du bestämmer dig för att implementera domänkontrollanter i molnet, måste du kontrollera replikering för att säkerställa att den fungerar korrekt.
- innan du gör en stor förändring i produktionsmiljön: innan du gör några stora förändringar i din produktionsmiljö är det lämpligt att göra en noggrann kontroll av alla Active Directory-komponenter. De kontroller som du utför ser till att Active Directory är hälsosamt innan du gör en stor förändring som att implementera en teknik som är starkt beroende av Active Directory-infrastruktur och objekt.
- sammanslagning med ett annat företag: Du kan också behöva utföra en Active Directory-hälsokontroll innan din produktion Active Directory-skog slås samman med ett annat företags Active Directory-skog.
tillgängliga metoder för Active Directory hälsokontroll
det finns flera metoder tillgängliga baserat på dina krav, till exempel att använda Microsoft PowerShell-skript, Microsoft Adrap Engagement och Office 365 It Health and Risk Scanner. Det finns flera verktyg tillgängliga på marknaden som kan erbjuda några kontroller men inte alla verktyg kan utföra en fullständig hälso-och riskbedömning av Active Directory-skogar. Till exempel kan vissa verktyg inte innehålla hälsokontroller som verkligen är nödvändiga och vissa produkter kan faktiskt avslöja dolda problem, vilket i sin tur hjälper till att undvika störningar i tjänsten.
använda PowerShell-skript
du kan använda PowerShell-skript för att kontrollera varje komponent i Active Directory, men du måste känna till alla komponenter du vill kontrollera som en del av hälsokontrollen. Du kanske till exempel har bestämt dig för att kontrollera Active Directory forest replication status men kanske har glömt att kontrollera andra komponenter i Active Directory, till exempel Grupprincip, Active Directory-webbplatser och så vidare. Även om Microsoft tillhandahåller nödvändiga PowerShell-cmdlets för att kontrollera en specifik Active Directory-komponent, kan det ta månader att utforma ett PowerShell-skript som innehåller kontroller som ska utföras på viktiga aspekter av Active Directory. Som ett exempel kan du använda kommandot nedan PowerShell kontrollera replikationsstatus på en Active Directory-webbplats:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft Adrap Engagement
Microsoft erbjuder Active Directory Risk Assessment Program för premier kunder. ADRAP-Programmet täcker alla kontroller som ska utföras i en Active Directory-miljö och genererar också en rapport om problem som upptäckts av verktyget. ADRAP-programmet utförs av Microsoft Premier Field Engineer som är kvalificerad i bedömningsprocessen. Även om adrap-programmet kan avslöja alla Active Directory-problem med Active Directory Snapshot-verktyget är det ganska dyrt och kan bara användas för en enda Active Directory-skog. Förutom enstaka skogsbegränsning är adrap-verktyget inte tillgängligt för kunder som inte har ett premier-kontrakt. Om du har flera Active Directory-skogar måste du betala för varje Active Directory-skog. Det är också värt att nämna att adrap-verktyget endast kan användas i ett år.
O365 It hälsa och Risk Scanner
det finns en stor produkt som finns på marknaden kallas O365 It hälsa och Risk Scanner. O365 IT-skannern är utformad för att utföra en fullständig hälsokontroll av ditt Microsoft-ekosystem som inkluderar Active Directory, Hyper-V, Microsoft Exchange, SQL-servrar, Microsoft Azure, Office 365 och så vidare. Produkten kan utföra fullständiga Active Directory-hälso-och riskkontroller och ge problem och rekommendationer för att åtgärda problemen. En bra sak om O365 It hälsa och Risk Scanner är att produkten är dynamisk. Det låter dig skapa egna hälsokontroller relaterade till vilken teknik som helst. O365 It Health and Risk Scanner-produkten blir det första valet för IT-administratörer, IT-arkitekter och hanterade tjänsteleverantörer. Som du kan se på skärmdumpen nedan kan du lägga till hälsokontroller efter eget val genom att klicka på tekniketiketterna och sedan skapa en bedömningsprofil:
jag har använt O365 IT-skannern för många av våra kunder och tycker att den är ganska användbar. Några av de anmärkningsvärda funktionerna i O365 It Health and Risk Scanner hjälper till att hitta de kritiska och höga hälsoproblemen och riskerna i Active Directory-miljön, förmåga att delegera hälso-och riskbedömningsuppgifter med hjälp av Delegationstillägg, förmåga att schemalägga dynamiska paket och snabbt kunna generera en risk-och hälsobedömningsrapport och kunna utföra anpassa rapporten efter dina behov.
Active Directory hälso-och riskbedömning: Ett måste
vi gav en översikt över varför det är nödvändigt att utföra en Active Directory health and risk assessment för din produktion Active Directory forest. Vi tillhandahöll tillgängliga metoder som vi kan använda för att utföra hälso-och riskbedömning av Active Directory-skogar. Medan Microsoft adrap-verktyget kan utföra en Active Directory-bedömning kan O365 It Health and Risk Scanner utföra hälso-och riskbedömning av hela Microsofts ekosystem.
utvalda bilder: