Hoe u Active Directory-gebruikers Op Afstand Kunt Beheren Vanuit een Webinterface

VIJF HAPKLARE TIPS EN TRAININGEN, VOOR UW BEDRIJF

NinjaOne Nieuwsbrief

Sluit u aan bij andere MSP's die op groei gericht zijn en laat uw bedrijf wekelijks profiteren van vijf nieuwe praktische tips voor extra verbetering.

Mis geen promoties, gratis tools, evenementen & webinars en product updates. Meld u nu aan om de NinjaOne Nieuwsbrief te ontvangen.

Grow faster. Stress less.

Visit our Resources Center for more MSP content.
Simon Koekkoek      

Ontdek de mogelijkheden, extra functies en flexibiliteit die NinjaOne u biedt om Active Directory-gebruikers via externe toegang te beheren.

Wat is Active Directory?

Active Directory (AD) van Microsoft is een server-based technologie die wordt gebruikt voor het beheer van computers en andere apparaten op een netwerk. Voorheen was Active Directory onmisbaar voor het beheer van grote aantallen Windows-apparaten op een LAN-netwerk en het is nog altijd een belangrijke functie van Windows Server (een besturingssysteem waarop zowel lokale als externe servers en/of cloudservers worden uitgevoerd.) AD maakt controle over objectgebaseerd beleid voor het beheer van netwerkhardware, resources en virtuele resources, gebruikersmachtigingen en nog veel meer mogelijk.

Een van de belangrijkste functies van AD bestaat uit het instellen van gebruikersmachtigingen. Active Directory stelt beheerders en IT-professionals in staat domeinen, gebruikers en objecten binnen een groot netwerk te maken en te beheren. Dit kan een belangrijke rol spelen bij beveiliging (met name met betrekking tot het principe van laagste privilege), aangezien een beheerder een groep gebruikers kan maken en hun toegangsrechten kan beperken tot precies dat wat zij nodig hebben om hun werk te kunnen uitvoeren.

Active Directory wordt vaak ingezet wanneer een netwerk groeit en een groot aantal gebruikers in groepen en subgroepen moeten worden ingedeeld, waarbij op elk niveau toegangscontrole wordt ingesteld.

Active Directory en groepsbeleid

Via groepsbeleid kunnen computer- en gebruikersinstellingen op computers die deel uitmaken van het domein, gemakkelijk worden geconfigureerd. Om AD te kunnen gebruiken voor het instellen van dergelijk beleid, moet er ten minste één server zijn waarop de Active Directory Domain Services zijn geïnstalleerd. Groepsbeleid wordt door systeembeheerders gebruikt om het beheer van computers op hun netwerk te centraliseren zonder alle computers één voor één fysiek te hoeven configureren. In het verleden was beheer van een groot netwerk met uitsluitend WIndows-computers nagenoeg onmogelijk zonder het gebruik van groepsbeleid.

Geschiedenis van Active Directory

Oorspronkelijk was Active Directory een netwerkbesturingssysteem dat bovenop Windows 2000 werd gebouwd. Het ontwerp van Active Directory was sterk beïnvloed door de in de jaren 1990 opgekomen standaard Lightweight Directory Access Protocol (LDAP) voor NOS-functies, die toen zijn opmars maakte.

AD deed zijn intrede na 'LAN Manager' van Microsoft en in die context werd het domeinconcept voor het eerst bij Windows-serverbeheer geïntroduceerd. Windows NT was gebaseerd op LAN Manager-architectuur, wat bepaalde beperkingen op het gebied van schaalbaarheid en groepsbeheer met zich meebracht die Microsoft later met Active Directory wist te overwinnen.

Active Directory-beheer via externe toegang

Active Directory kan via externe toegang worden beheerd met behulp van de Remote Server Administration Tools (RSAT) van Microsoft. Met RSAT kunnen IT-beheerders rollen en functies in Windows Server via externe toegang beheren vanaf elke willekeurige up-to-date PC waarop een Professional- of Enterprise-editie van Windows wordt uitgevoerd.

Is er een webinterface voor Active Directory?

Windows Server 2008 R2 en hoger omvatten Active Directory Web Services (ADWS). Deze Windows-service biedt een webservice-interface voor Active Directory-domeinen, Active Directory Lightweight Directory Services (AD LDS) en Active Directory Database Mounting Tool-exemplaren die op dezelfde server worden uitgevoerd als ADWS.

In de cloud gehoste Active Directory

Azure Active Directory (Azure AD) is de cloudgebaseerde versie van de originele AD van Microsoft. Azure AD biedt alle te verwachten functies, waaronder identiteits- en toegangsbeheerservices. Voor de meeste beheerders zijn dat de belangrijkste functies, aangezien ze daarmee de aanmelding van werknemers kunnen beheren en hun toegang tot interne resources en directory's kunnen reguleren.

De uitvoering van de in de cloud gehoste versie van Active Directory van Azure brengt een aantal potentiële prestatievoordelen met zich mee. Traditionele AD doet vaak een groot beroep op netwerkhardware, en cloudgebaseerde Azure AD biedt minder belasting voor hardware op domeincontrollers.
Nu de aandacht in grote mate van hardware naar de cloud verschuift, probeert Microsoft met Azure AD weer aansluiting te vinden met zijn krachtpatser op het gebied van netwerkbeheertechnologie. Hierna gaan we dieper in op het besluit van Microsoft om zijn verouderde strategie om klanten te dwingen voor Microsoft als enige leverancier te kiezen, achter zich te laten.

Azure Active Directory-gebruikersbeheer

Wanneer een bedrijf de transitie naar de cloud maakt, komt daar meer bij kijken dan alleen het verplaatsen van servers, toepassingen, websites en gegevens van de ene naar de andere plek. IT-professionals moeten bedenken hoe zij die waardevolle resources kunnen beveiligen, hoe ze geautoriseerde gebruikers kunnen beheren en indelen, en ze moeten ervoor zorgen dat machtigingen op de juiste wijze worden beperkt. Beveiliging is altijd een complexe zaak, zelfs in een cloudomgeving.

Toegang moet centraal beheer worden, en beheerders moeten voor elke gebruiker die zij voor elke service gebruiken, een definitieve identiteit verstrekken. Er moeten controlepunten worden ingebouwd om ervoor te zorgen dat werknemers en leveranciers voldoende toegangsrechten hebben om hun werk te kunnen doen, en niet meer dan dat. Wanneer werknemers de organisatie verlaten, moeten de beheerders ervoor zorgen dat hun toegangsrechten volledig worden ingetrokken.

Azure Active Directory is bedoeld om bij al deze taken de helpende hand te bieden. Als identiteits- en toegangsbeheerservice, biedt het functies zoals enkelvoudige aanmelding en meervoudige verificatie, die zoals Microsoft aangeeft organisaties kunnen helpen om zich tegen 99,9% van alle cybersecurity-aanvallen te beschermen.

Kunnen we Active Directory naar de cloud verplaatsen?

Deze vraag wordt de laatste tijd steeds vaker gesteld ten gevolge van de toename van het aantal mensen die via externe toegang werken en een (nog altijd onvoorspelbare) verschuiving op de lange termijn naar een 'nieuw normaal', waarbij veel werknemers regelmatig zullen blijven thuiswerken. De technologietrend is om al wat mogelijk is naar de cloud te verplaatsen, wat ook betekent dat het beheer van technologie naar de cloud wordt verplaatst.

Het is niettemin niet zo eenvoudig om AD naar de cloud te verplaatsen. Het is zeker geen kwestie van een paar klikken om de migratie tot stand te brengen, in ieder geval niet als er verwacht wordt dat deze naar behoren werkt (wat u uiteraard wil).

Microsoft Active Directory zit vast aan een locatie, omdat men de kans om AD in te zetten als strategie om klanten te dwingen alleen Microsoft-producten te gebruiken, niet onbenut wilde laten (dit is ook de belangrijkste drijvende kracht achter Azure AD).

Toen AD zijn intrede deed, bestond de computerwereld al voor meer dan 90% uit systemen met Microsoft Windows. Office en Exchange versterkten het nagenoeg complete monopolie nog verder en Active Directory vormde ten slotte de laatste schakel in de éénleveranciersstrategie van Microsoft. Is er een betere manier om klanten te behouden dan door het hen nagenoeg onmogelijk te maken te vertrekken?

Hoewel Microsoft met Azure voor een vergelijkbare route kiest, lijkt het bedrijf ook te begrijpen dat It-organisaties willen voorkomen dat zij tot één vast regime worden gedwongen. Dat betekent niet dat IT-professionals de waarde van Microsoft-oplossingen niet inzien (zie Office 365). Het betekent simpelweg dat beheerders begrijpen dat ze flexibel en wendbaar moeten zijn. Ze willen kunnen kiezen voor de oplossing die het beste bij hun behoeften aansluit, ook als dat niet Active Directory is.

Active Directory: Kopen versus Bouwen

Voor de meeste IT-professionals en netwerkbeheerders is dit eigenlijk geen twijfelpunt. Het komt in feite hier op neer: Wilt u een eigen systeem van domeincontrollers kopen, opbouwen en onderhouden... of wilt u simpelweg in Azure investeren?

Het is duidelijk dat het reproduceren van de volledige functionaliteit van Azure Active Directory een kostbare zaak zou worden, hoewel functies voor eenvoudig accountbeheer eenvoudig genoeg zouden zijn om door veel IT-teams intern ontwikkeld te kunnen worden. Maar dan blijven er nog veel functies over.

Webgebaseerd Active Directory-beheer met behulp van NinjaOne

Als u AD in uw netwerkomgeving gebruikt, zal het u verheugen dat u de mogelijkheden van NinjaOne voor externe toegang kunt gebruiken om AD via externe toegang vanuit een webgebaseerde interface te beheren.

Dit is heel gemakkelijk: U gebruikt NinjaOne gewoon om externe toegang tot uw Active Directory-domeinserver te krijgen, waarna u de Active Directory-beheertool start zoals u dat normaal gesproken ook zou doen.

Active Directory is inmiddels echter niet meer de enige vis in de zee. Er bestaan heel wat alternatieve oplossingen waarmee ook bereikt kan worden wat AD als doel heeft, en veel van die oplossingen bieden meer flexibiliteit en meer functies.

Zo biedt NinjaOne zelf bijvoorbeeld meer functionaliteit voor een aantal van de zaken waar u AD voor zou gebruiken. Om te beginnen zult u merken dat het beheer van grote aantallen computers die niet op Windows zijn gebaseerd, veel makkelijker gaat. Zelfs Azure AD kan niet echt goed met Linux of Apple overweg.
NinjaOne is ook makkelijker te gebruiken voor patching van kritieke updates. Met AD kunt u groepsbeleid instellen voorWindows-updates, maar niet voor andere belangrijke software op het netwerk. Met NinjaOne kunt u updates voor meer dan 135 populaire toepassingen van onafhankelijke leveranciers instellen, plannen en uitvoeren.

AD is bovendien geschikter voor LAN-netwerken dan voor gedistribueerde netwerken (daar was het dan ook oorspronkelijk voor ontwikkeld). NinjaOne kent dergelijke beperkingen niet. En er zijn ook prestatie verbeteringen die u in overweging zou moeten nemen: Active Directory kent resouce-overhead en domeincontrollervereisten die niet gelden voor NinjaOne.

Verruim uw blik van Active Directory naar moderne beheeralternatieven

Het is al meer dan 20 jaar geleden dat Microsoft AD introduceerde. Behoeften op het gebied van IT-beheer zijn sindsdien uiteraard radicaal veranderd, maar veel IT-teams vertrouwen nog altijd op AD. Hoewel zij hun organisaties en klanten wel helpen hun weg te vinden bij hun digitale transformatie, hebben ze zelf dus eigenlijk ook nog geen optimale digitale transformatie doorlopen.

Onlangs hebben we onze Adapt IT virtual summit georganiseerd om MSP's en IT-professionals de gelegenheid te bieden om de discussie aan te gaan over de uitdagingen en kansen die een overstap vanuit verouderde oplossingen te maken en te kiezen voor modernere benaderingen van IT-beheer, beveiliging en ondersteuning. Onderstaande sessie was specifiek gericht op het verkennen van moderne "domeinloze" alternatieven voor AD en LDAP.

U kunt hier on-demand toegang krijgen tot de overige Adapt IT-sessies.

VIJF HAPKLARE TIPS EN TRAININGEN, VOOR UW BEDRIJF

NinjaOne Nieuwsbrief

Sluit u aan bij andere MSP's die op groei gericht zijn en laat uw bedrijf wekelijks profiteren van vijf nieuwe praktische tips voor extra verbetering.

Mis geen promoties, gratis tools, evenementen & webinars en product updates. Meld u nu aan om de NinjaOne Nieuwsbrief te ontvangen.