Обзор продукта: активный администратор

Опубликовано: 11 Апреля, 2023
Обзор продукта: активный администратор

Продукт: Активный администратор ScriptLogic

Домашняя страница продукта/Запрос на оценку: нажмите здесь

Если вы управляете сетью Windows, вы знаете, что Active Directory — это одновременно и один из лучших, и один из самых разочаровывающих компонентов, которые Microsoft когда-либо давала нам. Это мощная и сложная база данных, которая дает нам невероятную гибкость в управлении пользователями, компьютерами и ресурсами, но навигация по ее структуре с помощью стандартных инструментов Microsoft и поддержание безопасности ее объектов может занять много времени и утомительно, особенно в корпоративной среде.

Управление Active Directory «из коробки» требует использования нескольких различных инструментов администрирования, встроенных в серверные операционные системы Windows 2000/2003. С выпуском консоли управления групповыми политиками (GPMC) корпорация Майкрософт сделала шаг в правильном направлении к централизованному управлению, но еще многое предстоит сделать.

К счастью, есть сторонние инструменты, которые могут упростить администрирование Active Directory. Мы установили ознакомительную версию Active Administrator от ScriptLogic, которая позиционируется как решение для управления и аудита AD корпоративного уровня, и опробовали ее в нашей тестовой сети. Вот наши впечатления от продукта.

Загрузка и установка

Загрузка прошла быстро и относительно безболезненно. Вам нужно создать учетную запись для загрузки, что означает заполнение формы с вашим именем, названием компании, адресом, номером телефона и т. д. После этого вы входите на сайт ScriptLogic, и программное обеспечение загружается в виде zip-файла размером 45,4 МБ, который содержит два установочных файла в формате.MSI. Файл AAServerSetup устанавливает программу Active Administrator на сервер, а файл AAConsoleSetup устанавливает консоль управления для удаленного администрирования программы.

ScriptLogic указывает минимальные системные требования: процессор Pentium 600 МГц или выше, 256 МБ памяти, 50 МБ дискового пространства и разрешение экрана 1024×768 в Windows 2000 или более поздней версии. Мы установили Active Administrator в системе с тактовой частотой 3 ГГц и 512 МБ ОЗУ под управлением Windows Server 2003.

У вас есть возможность выполнить полную или выборочную установку. Активный администратор может установить MSDE 2000 или использовать существующий сервер SQL. MSDE устанавливается по умолчанию, поэтому, если у вас есть SQL-сервер, который вы хотите использовать, и не хотите, чтобы MSDE устанавливался, вам нужно выбрать параметр Custom и отменить его выбор, как показано на рис. 1. Обратите внимание, что если вы используете SQL-сервер, 2000, необходимо использовать аутентификацию в смешанном режиме.

Изображение 25515
Рисунок 1. Отмените выбор MSDE, если вы хотите использовать существующий SQL-сервер

Вы также можете изменить каталог установки, если хотите. Нажав кнопку «Пробел», вы увидите, какие тома на ваших дисках имеют достаточно свободного места для установки AA (требуется 144 МБ). Нам понравилась эта небольшая функция, поскольку она не позволяет вам пройти всю процедуру установки только для того, чтобы обнаружить, что у вас недостаточно места в выбранном разделе. Нам также нравится, что установщик AA может установить MSDE за вас. Мы работали с другими продуктами, которые требуют, чтобы вы вышли, получили и установили их самостоятельно.

Во время этапа «Установка» мы столкнулись с одной странностью: хотя мы могли слышать и видеть активность диска, в строке состояния в течение нескольких минут не отображалось никакого прогресса, что заставило нас задуматься, не возникла ли проблема. В конце концов, однако, появилось другое диалоговое окно, информирующее нас о том, что MSDE устанавливается и настраивается, после чего установка продолжалась быстро. Вас попросят ввести путь к общей папке, в которой будут храниться данные AA. Здесь вы можете создать новую папку, указав несуществующую папку. По умолчанию для этого общего ресурса установлены разрешения «Полный доступ для всех», и вы, вероятно, захотите изменить это, но нам нравится, что появляется предупреждение системы безопасности, чтобы вы знали, что это условие существует.

Мастер базы данных поможет вам создать базу данных, а затем настроить службу журнала групповой политики, службу автоматического восстановления активных шаблонов и службу резервного копирования. Для каждого необходимо добавить домены и указать учетную запись пользователя для входа в систему. Обратите внимание, что вам потребуется указать членство в домене в имени учетной записи (например, mydomain.comjoeuser). Мы предпочли бы ввести эту информацию один раз, если вы хотите использовать один и тот же домен и учетную запись для всех трех. Нам понравилось, что вы можете сделать резервную копию домена сразу же, во время этого процесса настройки, если хотите.

Поскольку в процессе установки можно настроить множество параметров, мы рекомендуем вам обратиться к Руководству по началу работы с активным администратором (которое вы можете найти в меню AA или в Интернете), которое поможет вам выполнить шаги.

После завершения установки вы можете установить консоль администратора на рабочие станции, которые вы будете использовать для администрирования AA. Мы установили его на компьютер с Windows XP и ради интереса решили попробовать установить его на рабочую станцию с Windows Vista (Beta 2). Вместо обычного диалогового окна с запросом учетных данных администратора при установке программы в Vista мы получили диалоговое окно с уведомлением о том, что «системный администратор установил политики для предотвращения этой установки». Консоль установилась на XP без проблем.

Нас удивило, что консоль не устанавливается автоматически на сервер. Там тоже нужно установить. Конечно, многие администраторы предпочитают управлять AD со своих рабочих станций, а не с консоли сервера, поэтому имеет смысл не загромождать сервер еще одной программой, если она вам не нужна.

Конфигурация после установки

Согласно руководству по началу работы, первое, что вам нужно сделать после установки, — это настроить базу данных событий безопасности, если вы хотите получать уведомления об изменениях в Active Directory. По-настоящему крутая вещь в этой функции — то, как она работает в сочетании со службой истории групповой политики, позволяя вам немедленно узнать об изменениях в объектах групповой политики и вернуться к более ранней версии объекта групповой политики, чтобы отменить эти изменения, если хотите.

Чтобы настроить базу данных событий безопасности, выберите «Создать базу данных аудита» в меню программ «Активный администратор». Появившийся мастер можно использовать для создания новой базы данных или удаления, изменения или управления существующей базой данных. Это тот же мастер, который встречается во время установки. После создания базы данных необходимо отредактировать политику контроллера домена по умолчанию. Это можно сделать либо с помощью консоли Active Administrator, либо с помощью MMC «Пользователи и компьютеры Active Directory».

Для настройки службы мониторинга событий вы используете еще одну утилиту — утилиту настройки событий. Каждый раз, когда вы открываете его, вам придется снова проходить процесс оценочного соглашения, если вы используете eval версию. На верхней вкладке отображается список определений событий. Слева от названия каждого события есть флажок «Включено». Хотя это может быть неясно на первый взгляд, это поле определяет, включено ли уведомление по электронной почте для этого конкретного события. Вы можете ввести разные адреса электронной почты для уведомлений в зависимости от события, а также адреса для уведомлений обо всех событиях (глобальные уведомления).

С помощью этой утилиты вы также можете найти контроллеры домена, на которых установлена служба мониторинга, и установить ее на тех, на которых ее нет, что является удобной функцией. Наконец, вы используете утилиту Event Configuration для настройки параметров сбора. Сюда входит информация о SMTP-сервере, ограничения на выдачу предупреждений и параметры для сбора событий. Вы также можете выбрать создание файла журнала для регистрации информации о коллекции (это не включено по умолчанию). Вы можете запустить или остановить службу мониторинга на вкладке «Установить агенты DC», но кнопки для этого отмечены символами «Пуск» (или «Воспроизвести») и «Остановить», которые вы найдете на DVD-плеере или медиаплеере, как показано на рис. 2. Их функции могут быть очевидны не каждому администратору. Мы бы предпочли более очевидные текстовые метки, говорящие просто «Старт» и «Стоп».

Изображение 25516
Рисунок 2: Вы останавливаете или запускаете службу мониторинга с помощью кнопок «медиаплеер» внизу

Вы также используете эту утилиту для просмотра состояния мониторов коллекций и для загрузки новых файлов определений событий, когда они становятся доступными.

Использование активного администратора

На сервере, на котором установлен AA (и на котором вы также установили консоль), вы найдете несколько вариантов в меню Active Administrator (Пуск | Все программы | ScriptLogic | Active Administrator), как показано на рисунке 3.

Изображение 25517
Рис. 3. В меню «Программы» для «Активного администратора» отображается несколько вариантов.

При первом открытии консоли вам будет предложено ввести путь к файлу лицензии или указать, что вы оцениваете программное обеспечение. Пробная версия работает 30 дней. Если у вас есть файл лицензии, он будет иметь расширение.lic.

Поначалу консоль AA выглядит немного подавляющей. Он содержит несколько панелей и множество вкладок, как показано на рисунке 4.

Изображение 25518
Рисунок 4: Консоль AA кажется нам немного «занятой»

Если вы думали, что закончили настройку, подумайте еще раз. Прежде чем вы сможете начать использовать AA, вам может потребоваться настроить консоль так, чтобы она указывала на расположение истории группы и базы данных событий безопасности. Эти настройки выполняются на вкладке «История групповой политики» и «Аудит Active Directory» соответственно.

Теперь, что вы делаете со всеми остальными вкладками? Давайте посмотрим на них по очереди.

  • Active Directory Security: Здесь вы видите список управляемых серверов и объектов-контейнеров. Очень легко определить, какие разрешения имеет каждый пользователь или группа для объектов AD, с вкладками как для собственных разрешений, так и для разрешений Active Templates.
  • Активные шаблоны: здесь вы применяете активные шаблоны для простой установки разрешений. Вы также можете создавать и редактировать шаблоны.
  • Аудит Active Directory: позволяет отслеживать и создавать отчеты, показывающие, что и кем делается с AD. Вы можете фильтровать информацию по диапазону дат, пользователям, событиям, серверам и описаниям.
  • Объекты групповой политики. С помощью этого интерфейса вы можете централизованно редактировать любые объекты групповой политики, создавать их резервные копии и восстанавливать, а также добавлять их в автономный репозиторий. Вы можете получить отчеты о настройках GPO, ключах реестра, затронутых GPO, и сводку GPO домена. Здесь вы даже можете создавать новые объекты групповой политики.
  • Объекты групповой политики по контейнерам: здесь вы можете просмотреть групповые политики по подразделениям или сайтам и просмотреть ссылки.
  • Восстановление объектов AD: здесь вы восстанавливаете объекты AD, для которых были созданы резервные копии, без перезагрузки в режим восстановления AD. Вы также можете восстановить пароли или создать новые пароли при восстановлении.
  • Устранение неполадок на стороне клиента: это очень удобный инструмент, который позволяет вам подключаться к клиентским компьютерам и убедиться, что изменения политики действительно были применены.
  • История групповой политики. Эта функция «предыдущие версии» позволяет сравнить текущую версию групповой политики с предыдущей и при необходимости выполнить откат.
  • Автономный репозиторий групповой политики. Добавляя объекты групповой политики в автономный репозиторий, вы можете редактировать их, не затрагивая рабочую сеть.
  • Результирующий набор политик (RSoP). Вы можете использовать этот инструмент для создания расчета того, как групповые политики будут затронуты при внесении изменений, применяя его к автономному репозиторию, чтобы ваша производственная сеть не изменилась.

Дополнительные инструменты

Другие инструменты, входящие в состав Active Administrator, включают утилиту подготовки леса, которую можно использовать для настройки восстановления паролей (для восстановления паролей требуется Windows Server 2003 с пакетом обновления 1 или более поздней версии), инструмент конфигурации резервного копирования/восстановления на уровне объектов и активный шаблон. Утилита восстановления конфигурации. Также включено 93-страничное руководство пользователя в формате PDF, а также руководство по началу работы, о котором мы упоминали ранее. Если вы хотите ознакомиться с Руководством пользователя перед установкой AA, вы можете просмотреть его в Интернете.

Резюме

Пакет Active Administrator — это очень полный набор инструментов для управления Windows Active Directory. Некоторым она может показаться слишком всеобъемлющей, по крайней мере, до тех пор, пока они не познакомятся с ней. Первоначальная настройка представляет собой довольно сложную задачу и требует использования нескольких различных утилит. Сначала мы недоумевали, почему все эти задачи нельзя выполнить из одной утилиты. Тем не менее, поработав некоторое время с AA, мы решили, что предпочтительнее помещать задачи настройки, которые выполняются только один раз (или нечасто) в отдельные утилиты, так как это не позволяет интерфейсу основной консоли AA быть еще более забитым опциями, чем это уже есть. Разделение функций также хорошо работает в корпоративной среде, где разные компоненты AA установлены на разных серверах.

Были некоторые проблемы с удобством использования, такие как кнопки и поля, назначение которых было не совсем понятно из самого интерфейса. Нам приходилось часто обращаться к документации. Пункт меню «Справка» в некоторых случаях был менее чем полезен. Например, когда вы нажимаете «Справка» в утилите настройки событий, у вас есть только один вариант «О…», и если вы сделаете ошибку, щелкнув ее, вам придется применить файл лицензии (или сообщить программному обеспечению, что вы оцениваем) еще раз. Тем не менее, мы были очень впечатлены тщательностью руководства по началу работы; это была находка, когда мы прошли через процесс настройки.

Есть несколько очень полезных функций, которые делают это стоящим вложением. Нам нравятся самовосстанавливающиеся шаблоны и соответствующее уведомление по электронной почте. Нам также очень нравится возможность редактировать групповую политику в автономном режиме; это снимает много стресса при внесении изменений в объекты групповой политики. Функция резервного копирования и восстановления будет приветствоваться любым администратором, которому когда-либо приходилось выполнять авторизационное восстановление на контроллере домена. Мы также очень ценим тот факт, что ScriptLogic позволяет вам запросить дополнительное время для оценки продукта, если 30-дневного пробного периода недостаточно.

Несмотря на небольшие неудобства (а в каком программном пакете их нет?), мы даем AA оценку 4,25 по шкале от 1 до 5.

WindowSecurity.com Рейтинг: 4,25 / 5

Изображение 25519
Получить информацию об активном администраторе

страницу Product Review: Desktop Authority

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023