Active Directory, ili skraćeno AD, predstavlja Microsoftovu verziju LDAP direktorijumske usluge. Postoji još od Windows Server 2000 i zamenio je zastarele funkcije upravljanja domenom koje su postojale na prethodnim verzijama Windows servera. To je izuzetno kompleksna usluga koja se bavi autentifikacijom korisnika i uređaja, preciznim određivanjem njihove lokacije i upravljanjem pravima pristupa. S obzirom na njenu složenost, ne iznenađuje što su mnogi programeri pokušali da kreiraju alate koji olakšavaju upravljanje Active Directory-jem. Danas ćemo predstaviti neke od najboljih alata za Active Directory koji se mogu pronaći na internetu.
Prvo ćemo razmotriti opšte karakteristike direktorijumskih usluga, njihovu svrhu i korisnost, uz nekoliko primera. Zatim ćemo se osvrnuti na LDAP i X.500, dva standardizovana protokola koja se odnose na direktorijumske usluge. Nakon toga, ukratko ćemo se pozabaviti evolucijom Microsoftovih direktorijumskih servisa. Sve ovo će nas dovesti do glavne teme – najboljih alata za Active Directory koje smo uspeli da pronađemo. Daćemo vam kratak pregled svakog od njih.
Šta su direktorijumske usluge?
Vikipedija definiše direktorijumsku uslugu kao „preslikavanje između imena resursa u mreži i njihovih odgovarajućih mrežnih adresa.“ U svojoj najjednostavnijoj formi, to je suština ove usluge. Možda se pitate, da li je sistem imena domena (DNS) direktorijumska usluga? Odgovor je definitivno DA! Ali, ako je to tako jednostavno, zašto je onda Active Directory toliko kompleksan?
Active Directory, kao i većina savremenih direktorijumskih servisa, implementira mnogo više funkcionalnosti od prostog mapiranja imena u adrese. Oni su centralni deo bezbednosti mreže i sadrže detaljne informacije o korisnicima (korisničkim nalozima) i resursima, a takođe su ključni za mehanizme kontrole pristupa većine mreža. Savremena direktorijumska usluga predstavlja bazu podataka u kojoj se čuva većina informacija o mreži, njenim resursima i korisnicima.
Direktorijumska usluga je hijerarhijska baza podataka objekata, od kojih svaki predstavlja drugačiji entitet. Neki objekti predstavljaju korisnike, drugi računare ili druge dostupne resurse, poput mrežnih deljenja. Ostali objekti su kontejneri za druge objekte. Hijerarhijska struktura olakšava pronalaženje bilo kog pojedinačnog objekta i omogućava jednostavno upravljanje dozvolama, gde objekti mogu nasleđivati dozvole od svog „roditelja“.
Naš cilj nije da vas učinimo stručnjakom za direktorijumske usluge, već da vam pružimo dovoljno osnovnih informacija da bolje razumete šta je Active Directory i odakle potiče. Pogledajmo neke primere iz stvarnog života, kako prošlih, tako i sadašnjih direktorijumskih usluga, sa kojima ste se možda već susreli.
Nekoliko primera
DNS je jedna od najstarijih direktorijumskih usluga. Datira iz ranih osamdesetih. Njegova primarna svrha je bila – i još uvek jeste – prevođenje imena hostova u IP adrese. I danas je u širokoj upotrebi i jedan je od temelja interneta.
Mrežni informacioni servis, ili NIS, bila je implementacija usluge imenovanja slična DNS-u, koju je razvila kompanija Sun Microsystems za svoj Unix ekosistem.
Novell Directory Services— kasnije nazvan eDirectory—bio je direktorijumski servis za Novell NetWare mreže. Sličan onome što je danas Active Directory, bio je to sveobuhvatan sistem koji se nije koristio samo za rešavanje imena, već i za autentifikaciju i kontrolu pristupa.
NetInfo je razvijen od strane kompanije NeXT i, nakon što je Apple kupio kompaniju, postao je direktorijumski servis za Mac OS, pre nego što je zamenjen sa OpenDirectory.
Konačno, NT domeni su još jedan primer direktorijumske usluge. Oni su prethodnici Active Directory-ja. NT domeni su primarno korišćeni za kontrolu pristupa i autentifikaciju.
X.500 i LDAP, dva standarda za direktorijumske usluge
U informatičkom dobu, interoperabilnost je važnija nego ikada, što dovodi do pojave standarda u svim oblastima. Direktorijumske usluge nisu izuzetak. Postoje dva glavna standarda, LDAP i X.500.
Standard X.500, tačnije serija standarda X.500, jeste grupa specifikacija ITU-T koja pokriva nekoliko aspekata usluga elektronskog imenika. Prve iteracije datiraju iz 1988. godine, ali X.500 je i dalje u širokoj upotrebi.
Jedan od ciljeva skupa standardnih protokola, kako je predloženo od strane X.500, jeste da obezbedi interoperabilnost i omogući interakciju sistema različitih proizvođača. X.500 je zapravo skup od devet pojedinačnih protokola.
Lightweight Directory Access Protocol (Protokol za laki pristup direktorijumu), ili LDAP, jeste otvoreni, proizvođački neutralan, industrijski standardni aplikacioni protokol za pristup i održavanje distribuiranih informacionih direktorijumskih usluga preko IP mreže. Danas je većina implementacija direktorijumskih usluga, uključujući Microsoftov Active Directory, kompatibilna sa LDAP-om.
LDAP je prvobitno zamišljen kao lagana, alternativna metoda za pristup X.500 direktorijumskim servisima putem jednostavnijeg TCP/IP protokola. Stoga, X.500 i LDAP se međusobno ne isključuju, već se dopunjuju. Na primer, LDAP specifikacija nalaže da struktura baze podataka direktorijumskih usluga mora biti usklađena sa X.500.
LDAP klijenti mogu ne samo čitati atribute objekata u bazi podataka direktorijumskih usluga, već ih i menjati. Ovo, naravno, znači da je LDAP bezbedan i da nudi mehanizam za autentifikaciju radi zaštite od neovlašćenih modifikacija.
Od NT domena do Active Directory-ja
Kao što je ranije pomenuto, Windows NT domeni su bili prvi oblik direktorijumske usluge u Microsoftovom ekosistemu. Prvi put su se pojavili sa Windows NT, daleke 1993. godine. Imali su centralizovanu bazu podataka koja se nalazila na kontroleru domena, koji je primarno bio zadužen za autentifikaciju korisnika. Baza podataka se mogla replicirati na nekoliko kontrolera domena radi redundancije i kako bi se osiguralo da velike mreže sa više lokacija mogu lokalno da autentifikuju korisnike.
Sa Windows 2000, Microsoft je predstavio Active Directory. To je bilo preko potrebno poboljšanje u odnosu na tradicionalne domene koji su se koristili godinama. Active Directory pruža nekoliko različitih usluga. Prvo i najvažnije su usluge domena. To su temelj Windows mreža. One čuvaju informacije o članovima domena, uključujući uređaje i korisnike, verifikuju njihove akreditive, potvrđuju njihovu autentičnost i definišu njihova prava pristupa.
Druge važne usluge Active Directory-ja uključuju sertifikacione usluge, koje obezbeđuju infrastrukturu javnog ključa. One mogu kreirati, potvrditi i opozvati sertifikate javnog ključa za internu upotrebu u organizaciji. Takvi sertifikati se mogu koristiti za šifrovanje datoteka, e-pošte i mrežnog saobraćaja. Ostale usluge koje pruža Active Directory uključuju usluge federacije, vrstu mehanizma jedinstvene prijave, i usluge upravljanja pravima.
Najbolji alati za Active Directory
Glavna karakteristika Active Directory-ja je da je veliki i kompleksan. Sa tom složenošću dolazi i glavobolja administracije. Srećom, razvijeni su mnogi alati od strane trećih lica kako bi se olakšalo opterećenje AD administracije. To su alati koje smo istražili i predstavljamo vam neke od najboljih koje smo mogli da pronađemo. Ova lista nije sveobuhvatna, jer jednostavno postoji previše alata.
1. SolarWinds Server & Application Monitor (besplatna probna verzija)
Poznato je da SolarWinds proizvodi neke od najboljih alata za mrežnu i sistemsku administraciju. U više navrata smo predstavljali SolarWinds proizvode, kada smo, na primer, pregledali najbolje SNMP alate za praćenje ili najbolje NetFlow kolektore i analizatore. SolarWinds je takođe poznat po svojim besplatnim alatima, alatima za specifične zadatke namenjenim administratorima.
Ne iznenađuje, stoga, da je SolarWinds Server & Application Monitor na našoj listi. Iako njegovo skromno ime možda ne bi sugerisalo da je ovo alat za Active Directory, njegov širok spektar funkcionalnosti ga čini odličnim alatom za praćenje i upravljanje Active Directory-jem.
Počnimo tako što ćemo razmotriti kako SolarWinds Server & Application Monitor može pomoći u upravljanju AD. Prvo, alat ima nadzor kontrolera domena koji prati nekoliko operativnih parametara. Obavestiće vas kada upotreba CPU-a postane prevelika, kada je korisnički nalog zaključan ili kada postoji problem sa prijavljivanjem.
Softver će takođe pratiti brojače NTDS objekata, pomažući u smanjenju preopterećenja servera. Štaviše, SolarWinds Server & Application Monitor vam daje uvid u nekoliko LDAP statistika, uključujući LDAP aktivne niti, vreme vezivanja, klijentske sesije i uspešna povezivanja i pretrage u sekundi.
SolarWinds Server & Application Monitor može slati obaveštenja kada serveri direktorijuma ne uspeju da se repliciraju, što je događaj koji može sprečiti korisnike da pristupe fasciklama i datotekama. Takođe pruža detaljnu statistiku učinka u vezi sa direktorijumskim uslugama, kao što su distribuirani sistem datoteka, DFS replikacija, razmena poruka između sajtova, DNS klijent, Windows vreme, RPC, usluge servera i radnih stanica, i usluge domena Active Directory, da navedemo samo neke od najznačajnijih.
Ali, kao što i ime govori, ovaj alat neće samo nadgledati usluge Active Directory-ja, već i same servere i aplikacije koje se na njima pokreću. Ovaj kompletan paket može se primeniti od najmanjih mreža do velikih mreža sa više lokacija, sa stotinama fizičkih i virtuelnih servera. Takođe može nadgledati servere u okruženjima u oblaku, kao što su Amazon Web Services i Microsoft Azure.
SolarWinds Server & Application Monitor će inicijalno automatski otkriti hostove i uređaje na vašoj mreži. Zatim će drugo skeniranje otkriti aplikacije koje rade na svakom serveru. Jednom kada se pokrene, korišćenje ovog alata teško da može biti lakše, zahvaljujući intuitivnom korisničkom interfejsu. Klikom na „Detalji o čvoru“, na primer, prikazuju se performanse čvora i informacije o njegovom stanju.
Cene za SolarWinds Server & Application Monitor počinju od nešto ispod 2.995 dolara, a dostupna je besplatna probna verzija od 30 dana za preuzimanje.
2. Besplatni alati ManageEngine Active Directory
ManageEngine je još jedno poznato ime među sistemskim i mrežnim administratorima. Oni stoje iza OpManager-a, verovatno jednog od najboljih alata za praćenje IT infrastrukture. Kao i SolarWinds, ManageEngine takođe proizvodi neke odlične besplatne alate. U stvari, imaju više od petnaest besplatnih alata za Active Directory koji mogu pomoći u nadgledanju i administriranju vaše AD infrastrukture. Neki su samostalni programi, dok su drugi PowerShell cmdleti. Jedna sjajna stvar u vezi sa ovim kompletom alata je da se većina alata u paketu može pojedinačno preuzeti. Pogledajmo šta je najinteresantnije od ovih alata.
AD Query Tool vam omogućava da pročitate sve podatke o atributima koji su vam potrebni iz Active Directory-ja, kao što su ime, prezime, telefon, adresa, itd. Uslužni program takođe može pomoći u ispitivanju objekata grupa Active Directory-ja i računara.
CSV Generator Tool će generisati CSV datoteku (ko bi pomislio?) koja sadrži prilagođen niz korisnički definisanih atributa Active Directory-ja i njihovih odgovarajućih vrednosti. Dobijena datoteka se može koristiti za grupno upravljanje Active Directory-jem.
Last Logon Finder se koristi za navođenje vremena poslednjeg prijavljivanja svih ili odabranih korisnika na sve odabrane kontrolere domena u domenu. Obično se koristi za revizije i aktivnosti čišćenja.
Terminal Session Manager je PowerShell cmdlet koji možete koristiti za identifikaciju i upravljanje više terminalskih sesija u domenu iz jedne tačke. Pomoću njega se može upravljati, prekinuti ili odjaviti terminalska sesija za više korisnika širom domena.
Active Directory Replication Manager omogućava administratorima da nametnu replikaciju podataka u domenu ili celoj šumi. Takođe omogućava replikaciju podataka između dva kontrolera domena i pruža sveobuhvatne izveštaje o poslednjoj replikaciji.
DMZ Port Analyzer omogućava administratorima da provere status portova potrebnih bilo kojoj aplikaciji treće strane za rad sa Active Directory-jem. Može se koristiti za otvaranje odgovarajućih portova na zaštitnim zidovima.
Domain Controller Role Reporter navodi sve kontrolere domena i njihove odgovarajuće uloge u domenu. Može pomoći administratorima da identifikuju bilo koju pridruženu ulogu kontrolera domena.
Local User Manager pomaže administratorima da upravljaju korisničkim nalozima unutar domena. Pruža informacije o lokalnim korisničkim nalozima i takođe omogućava upravljanje tim nalozima koristeći pogodan korisnički interfejs.
Domain Controller Monitoring Tool je jednostavan alat koji automatski otkriva domene i prikazuje ih. Prikazaće različite parametre kontrolera domena, kao što su korišćenje CPU-a, korišćenje diska i korišćenje memorije. Takođe možete videti druge parametre, kao što su broj čitanja stranice u sekundi, broj pisanja stranice u sekundi, čitanje datoteke, pisanje datoteke, itd.
Password Policy Manager omogućava svakom korisniku da preuzme i pogleda politiku lozinki za domen. Takođe omogućava korisnicima sa administrativnim pravima da uređuju politiku lozinki za domen.
Kao što i samo ime sugeriše, Blank Password User Logon Tool se koristi za pronalaženje korisničkih naloga sa poljima lozinke postavljenim na null, pomažući administratorima da izbegnu probleme vezane za bezbednost.
Active Directory Duplicate Finder je PowerShell uslužni program koji omogućava administratorima da identifikuju duple unose za atribute Active Directory-ja u domenu. Duplikati unosa su pregledno navedeni, što pomaže administratorima da obezbede Active Directory bez duplikata.
DNS Reporter vam pomaže da dobijete informacije vezane za DNS infrastrukturu vaše mreže. Može da prikaže detalje o dostupnim DNS zapisima, njihovim odgovarajućim tipovima zapisa, IP adresama i detaljima usluge jednostavnim unosom imena domena.
Managed Service Account Management je dizajniran da vam pomogne da lako kreirate, menjate i brišete upravljane naloge usluga u samo nekoliko klikova. Ovaj alat ne zahteva poznavanje PowerShell-a, uobičajenog alata koji se koristi za postizanje ovih zadataka.
Weak Password User Report pomaže u pronalaženju slabih lozinki u Active Directory-ju upoređivanjem korisničkih lozinki sa listom od preko 100.000 često korišćenih slabih lozinki. Zatim možete naterati korisnike sa slabim lozinkama da promene svoje lozinke sledeći put kada se prijave.
3. ENow Compass
Compass od ENow softvera vam pomaže da identifikujete skrivene probleme u vašem okruženju pre nego što dođe do problema. Omogućava mrežni nadzor u realnom vremenu vašeg Active Directory-ja i svih kontrolera domena. Compass može osigurati da je vaš Active Directory zdrav tako što će nadgledati DFS/FRS replikaciju. Takođe će pronaći probleme sa razrešavanjem DNS imena i pomoći u rešavanju problematičnih aplikacija, kako bi vam pomogao da vaš AD radi nesmetano.
Compass ima preko 50 izveštaja koji uključuju reviziju grupe administratora domena, identifikaciju i uklanjanje neaktivnih korisničkih naloga i identifikaciju FSMO uloga. Alat se brzo instalira i jednostavan je za upotrebu. Ima intuitivnu i jednostavnu kontrolnu tablu koja pomaže da se problemi identifikuju rano pre nego što dođe do prekida u radu.
Detaljne informacije o cenama za Compass se mogu dobiti kontaktiranjem ENow prodaje, a može se dobiti besplatna 14-dnevna probna verzija.
4. Anturis Active Directory Monitor
Pola posla upravljanja Active Directory-jem jeste da se osigura da sve usluge rade nesmetano i to je upravo ono što Active Directory Monitor od Anturis-a radi. Ovaj alat može da vas upozori na neobične situacije putem e-pošte, SMS-a ili obaveštenja o glasovnim pozivima. Takođe možete koristiti Active Directory Monitor da uspostavite osnove performansi za vaše servere Active Directory i strukturu replikacije, što vam omogućava da prepoznate trendove performansi i smanjite rizik od uskih grla pre nego što ona negativno utiču na performanse vašeg AD.
Active Directory Monitor će vam prikazati serverske i LDAP sesije i postaviti pragove upozorenja. Takođe će vam pokazati Kerberos i NTLM autentifikaciju u sekundi, dajući vam predstavu o opštem opterećenju servera. Budući da je replikacija jedan od najvažnijih aspekata Active Directory-ja, metrike performansi replikacije, kao što su status replikacije, sinhronizacija replikacije na čekanju DRA i operacije replikacije na čekanju, takođe se prate.
Active Directory Monitor je usluga zasnovana na oblaku i dostupno je nekoliko planova pretplate, sa cenama koje se kreću od 10 USD mesečno za 10 monitora do 650 USD mesečno za 1000 monitora. Dostupna je i besplatna verzija, ali je ograničena na 5 monitora. Međutim, svi plaćeni planovi imaju besplatnu probnu verziju od 30 dana.
5. Quest Active Administrator
Poslednji na našoj listi je Quest Active Administrator. Ovo je kompletno i integrisano softversko rešenje za upravljanje Active Directory-jem. Ono premošćuje praznine koje Microsoftovi alati ostavljaju za sobom. Alati će olakšati i ubrzati ispunjavanje zahteva revizije i bezbednosnih potreba. Ima funkcije koje se odnose na mnoge od najvažnijih oblasti upravljanja AD.
Među glavnim karakteristikama alata, Active Administrator nudi integrisanu, proaktivnu administraciju. Takođe ima intuitivno izveštavanje i upozorenja, omogućavajući vam da brzo nadgledate i izveštavate o promenama filtriranjem tipa događaja, korisnika i datuma, kao i aktivnosti prijavljivanja i zaključavanja korisnika. Takođe možete podesiti upozorenja o događajima i automatizovati radnje na osnovu upozorenja.
Cene za Active Administrator se zasnivaju na broju omogućenih korisničkih naloga u vašem AD-u, i počinju od 16,37 USD za trajnu licencu sa jednogodišnjom podrškom. Mora se kupiti minimalna licenca za 20 korisničkih naloga. Može se preuzeti besplatna probna verzija od 30 dana.