Denna artikel med Derek Melber, Active Directory MVP, publicerades ursprungligen i Inuit forum.
Microsofts katalogtjänst Active Directory kom för 16 år sedan med Windows 2000 och har sedan dess blivit en viktig del i de flesta Windows-miljöer. Här beskriver jag hur delegering, övervakning samt backup och återställning fungerar i Active Directory och ger förslag på hur det kan göras bättre och mer effektivt med kostnadseffektiva verktyg.
1. Delegering i Active Directory
Att kunna dela ut ansvaret är enormt viktigt. Microsoft har funktionen, men som i flera andra fall, så är den mer förvirrande än effektiv. Detta eftersom deras Delegation Wizard, ett enkelt men trubbigt verktyg, ändrar behörigheterna på flera nivåer samtidigt och gör det närmast omöjligt att få total överblick av vem som fått vilka behörigheter. Du vill kunna bestämma vem som får göra vad och kunna ändra behörigheterna när du vill. Om du till exempel vill delegera möjligheten att återställa lösenord, gör du det i en Task Pad. Om du skulle fråga hundra administratörer om de använt Task Pad skulle du förmodligen bara få jakande svar från fem.
Med ADManager Plus har du separata delgeringsmöjligheter, möjlighet att tilldela OU och att bara visa det man har tillgång till i portalen.
2. Övervakning av förändringar i Active Directory
Som administratör behöver du en effektiv övervakning för att snabbt kunna få svar på frågorna vem, när, vad, hur och varför? Microsoft tillhandahåller både ”Auditing” och ”Advanced Auditing” för domänkontrollanter som kör Windows Server 2008 R2 och större. Användare, grupper, datorer, Group Policy och mycket mer kan konfigureras och nästan alla skapade, ändrade eller borttagna objekt kommer att generera en post i säkerhetsloggen. Problemet är bara att det inte finns något bra alternativ för att analysera, rapportera, eller hitta de poster du söker. Tänk på att säkerhetsloggstorleken är begränsad till 4 Gb, och Microsoft antyder att den inte bör vara större än 300Mb. Med denna storlek på loggen kommer du att generera tre till tio loggar per domänkontrollant varje dag. Varje domänkontrollant kommer dessutom att ha en unik uppsättning av loggar, eftersom loggarna inte replikeras eller konsolideras på något sätt.
Dessa, och många fler begränsningar, gör att du i stället bör använda en produkt såsom ADAudit Plus som hjälper dig att analysera all information i loggarna.
3. Backup och återställning av Active Directory
Microsoft har recoveryfunktionalitet men, med risk för att låta som en trasig vinylskiva, den saknar viktiga funktioner. Om du till exempel inaktiverar tio användare kan Microsoft placera dem i papperskorgen. Men om du behöver ändra samma användares kontorsplacering och gör fel, kan du inte hitta de tio du nyss ändrat och återställa uppgifterna. Självklart kan du med monitorering hitta dem efter ett tag, men det finns fortfarande inget säkert sätt att återställa de ändrade uppgifterna.
Med en lösning som Recovery Manager Plus kan du återställa hela Active Directory eller endast specifika objekt.