Jak zarządzać użytkownikami Active Directory zdalnie z poziomu interfejsu WWW

Dowiedz się, jak możliwości zdalnego dostępu NinjaOne pozwalają na zdalne zarządzanie użytkownikami Active Directory z dodatkową korzyścią w postaci większej ilości funkcji i większej elastyczności.

Co to jest Active Directory?

Active Directory (AD) firmy Microsoft to technologia oparta na serwerze, służąca do zarządzania komputerami i innymi urządzeniami w sieci. Kiedyś był on niezbędny do kontrolowania dużej liczby maszyn Windows w sieci LAN i nadal jest podstawową funkcją Windows Server (systemu operacyjnego, który uruchamia zarówno lokalne, jak i zdalne/chmurowe serwery) AD zapewnia środki do kontrolowania opartych na obiektach polityk zarządzania sprzętem sieciowym, zasobami i zasobami wirtualnymi, uprawnieniami użytkowników i innymi.

Jedną z najważniejszych funkcji AD jest ustawianie uprawnień użytkowników. Active Directory pozwala administratorom i informatykom tworzyć i zarządzać domenami, użytkownikami i obiektami w ramach dużej sieci. Może to odgrywać ważną rolę w bezpieczeństwie (szczególnie zasada najmniejszego przywileju), ponieważ administrator może stworzyć grupę użytkowników i ograniczyć ich uprawnienia dostępu ściśle do tego, co jest wymagane do wykonania ich pracy. 

Na Active Directory często patrzy się, gdy sieć się rozrasta i duża liczba użytkowników musi być zorganizowana w grupy i podgrupy, z kontrolą dostępu ustawioną na każdym poziomie.

Active Directory i Group Policy

Group Policy to łatwy sposób na skonfigurowanie ustawień komputera i użytkownika na komputerach będących częścią domeny. Aby wykorzystać AD do ustalania takich polityk, musi istnieć przynajmniej jeden serwer z zainstalowaną usługą Active Directory Domain Services. Group Policy jest wykorzystywany przez administratorów systemów do scentralizowanego zarządzania komputerami w sieci bez konieczności fizycznego konfigurowania każdego komputera po kolei. Historycznie rzecz biorąc, zarządzanie dużą siecią opartą wyłącznie na systemie Windows byłoby prawie niemożliwe bez użycia Zasad Grupy. 

Historia Active Directory

Pierwotnie Active Directory był sieciowym systemem operacyjnym zbudowanym na szczycie Windows 2000. Na jego projekt duży wpływ miał powstający Lightweight Directory Access Protocol (LDAP), otwarty standard funkcji NOS, który pojawił się w centrum uwagi w latach 90. 

AD powstało po "LAN Managerze" Microsoftu, gdzie po raz pierwszy wprowadzono koncepcję domeny do zarządzania serwerami Windows. Windows NT był oparty na architekturze LAN Manager, która niosła ze sobą pewne ograniczenia skalowalności i zarządzania grupami, które Microsoftowi udało się później wyeliminować dzięki Active Directory. 

Zdalne zarządzanie Active Directory

Active Directory może być zarządzany zdalnie za pomocą narzędzi Remote Server Administration Tools (RSAT) firmy Microsoft. Dzięki RSAT administratorzy IT mogą zdalnie zarządzać rolami i funkcjami systemu Windows Server z dowolnego aktualnego komputera z systemem Windows w wersji Professional lub Enterprise. 

Czy istnieje interfejs WWW dla Active Directory?

Windows Server 2008 R2 i późniejsze zawierają Active Directory Web Services (ADWS). Ta usługa Windows zapewnia interfejs usług internetowych do domen Active Directory, usług Active Directory Lightweight Directory Services (AD LDS) i instancji Active Directory Database Mounting Tool, które są uruchomione na tym samym serwerze co ADWS. 

Active Directory w chmurze

Azure Active Directory (Azure AD) to chmurowa wersja oryginalnego AD firmy Microsoft. Azure AD posiada wszystkie oczekiwane funkcje, w tym usługi zarządzania tożsamością i dostępem. Jest to najważniejsza funkcja dla większości administratorów, ponieważ pozwala kontrolować logowanie się pracowników i zarządzać ich dostępem do wewnętrznych zasobów i katalogów. 

Istnieją pewne potencjalne korzyści wydajnościowe wynikające z uruchomienia Active Directory w chmurze Azure. Tradycyjne AD jest często wymagające dla sprzętu sieciowego, a oparte na chmurze Azure AD stawia mniejsze wymagania sprzętowe dla kontrolerów domeny. 

W czasach, gdy tak wiele uwagi przenosi się ze sprzętu na chmurę, Azure AD jest próbą Microsoftu, aby ich technologia zarządzania siecią była jak najszybsza. Za chwilę omówimy decyzję Microsoftu o porzuceniu przestarzałych strategii lock-in.

Zarządzanie użytkownikami w usłudze Azure Active Directory

Przeniesienie firmy do chmury to coś więcej niż tylko przeniesienie serwerów, aplikacji, stron internetowych i danych z jednego miejsca do drugiego. Specjaliści IT muszą zastanowić się, jak zabezpieczyć te cenne zasoby, zarządzać i organizować uprawnionych użytkowników oraz zapewnić odpowiednie ograniczenie uprawnień. Bezpieczeństwo jest zawsze złożone, nawet w środowisku chmurowym. 

Dostęp musi być kontrolowany centralnie, a administratorzy muszą zapewnić ostateczną tożsamość dla każdego użytkownika, którego używają do każdej usługi. Należy wprowadzić kontrole, aby zapewnić pracownikom i sprzedawcom dostęp wystarczający do wykonania ich zadań - i nie więcej. Kiedy pracownik opuszcza organizację, admini muszą upewnić się, że jego dostęp został całkowicie usunięty.

Azure Active Directory ma pomóc we wszystkich tych zadaniach. Jako usługa zarządzania tożsamością i dostępem oferuje takie funkcje jak pojedyncze logowanie i uwierzytelnianie wieloczynnikowe, które jak zauważa Microsoft mogą pomóc w ochronie organizacji przed 99,9% ataków cybernetycznych.

Czy możemy przenieść Active Directory do chmury?

To pytanie pojawia się ostatnio dość często ze względu na wzrost liczby pracowników zdalnych i długotrwałe (i wciąż nieprzewidywalne) przejście do "nowej normy", w której wielu pracowników może nadal regularnie pracować z domu. Trend technologiczny polega na przeniesieniu wszystkiego, co możliwe, do chmury - co obejmuje również przeniesienie możliwości zarządzania technologią do chmury.  

To powiedziawszy, nie jest tak łatwo przenieść AD do chmury. Z pewnością nie jest to kilka migrujących kliknięć przycisków, zwłaszcza jeśli oczekujesz, że będzie działać poprawnie (co robisz). 

Microsoft Active Directory utknął na miejscu, ponieważ możliwość wykorzystania AD jako strategii lock-in była zbyt dobra, aby ją przegapić (to w dużej mierze napędza nacisk na Azure AD, jak również). 

Kiedy AD po raz pierwszy trafił na scenę, świat komputerów był już w 90% + Microsoft Windows. Office i Exchange jeszcze bardziej wzmocniły ten niemal monopol, a Active Directory nadał ostateczny szlif ich strategii "lock-in". Jaki jest lepszy sposób na zatrzymanie klientów niż sprawienie, by odejście było prawie niemożliwe?

Choć Microsoft obiera podobną drogę z Azure, wydaje się również rozumieć, że organizacje IT chcą uniknąć zamknięcia na cokolwiek. Nie oznacza to, że specjaliści IT nie widzą wartości w rozwiązaniach Microsoftu (patrz Office 365), oznacza to jedynie, że administratorzy dostrzegają potrzebę bycia elastycznym i zwinnym. Chcą mieć możliwość wyboru tego, co najlepiej odpowiada ich potrzebom, nawet jeśli oznacza to nie Active Directory.  

Active Directory: Kupić a zbudować

Dla większości informatyków i administratorów sieci nie jest to pytanie na wyrost. To naprawdę sprowadza się do tego: Czy zamierzasz kupić, zbudować i utrzymać własny system kontrolerów domeny... czy wolisz po prostu zainwestować w Azure? 

Nie trzeba dodawać, że odtworzeniepełnejfunkcjonalności usługi Azure Active Directory byłoby kosztowne - choć proste funkcje zarządzania kontami byłyby na tyle proste, że wiele zespołów IT mogłoby je stworzyć we własnym zakresie. Mimo to, ta trasa pozostawia wiele cech nieuwzględnionych. 

Zarządzanie Active Directory oparte na sieci Web przy użyciu NinjaOne

Jeśli używasz AD w swoim środowisku sieciowym, ucieszy Cię wiadomość, że możesz wykorzystać możliwości zdalnego dostępu NinjaOne , aby zarządzać nim zdalnie z poziomu interfejsu webowego. 

Robienie tego jest proste: Wystarczy użyć NinjaOne, aby uzyskać zdalny dostęp do serwera domeny Active Directory, a następnie uruchomić narzędzie do zarządzania Active Directory w normalny sposób. 

Należy jednak pamiętać, że Active Directory nie pływa już po błękitnym oceanie. Istnieje wiele alternatywnych rozwiązań pozwalających na osiągnięcie tego, co chce zrobić AD - wiele z nich jest bardziej elastycznych i posiada więcej funkcji.

Na przykład sam NinjaOne oferuje więcej funkcjonalności dla niektórych rzeczy, do których używałbyś AD. Przede wszystkim przekonasz się, że zarządzanie dużą liczbą maszyn, które nie są oparte na systemie Windows, jest nieskończenie łatwiejsze . Nawet Azure AD nie radzi sobie z Linuksem czy Apple.

NinjaOne jest również łatwiejszy w użyciu do łatania krytycznych aktualizacji. Za pomocą AD można ustawić zasady grupy dla aktualizacji systemuWindows , ale nie innych ważnych programów w sieci. NinjaOne umożliwia ustawienie, zaplanowanie i wykonanie aktualizacji dla ponad 135 popularnych aplikacji innych firm.

AD jest też lepiej przystosowany do sieci LAN niż do sieci rozproszonych (do tego został pierwotnie stworzony). NinjaOne nie ma takich ograniczeń. Należy również wziąć pod uwagę poprawę wydajności, ponieważ NinjaOne nie ma narzutu na zasoby ani wymagań dotyczących kontrolerów domeny, jak w przypadku Active Directory.

Spojrzenie poza Active Directory na nowoczesne alternatywy zarządzania

To niesamowite, że Microsoft wprowadził AD ponad 20 lat temu. Potrzeby związane z zarządzaniem IT od tego czasu oczywiście radykalnie się zmieniły, jednak wiele zespołów IT nadal na nim polega. Pomimo pomagania swoim organizacjom i klientom w nawigacji po cyfrowej transformacji, jest to trochę przypadek "dzieci szewca nie mają butów"

Niedawno zorganizowaliśmy wirtualny szczyt Adapt IT, który był okazją dla dostawców usług MSP i profesjonalistów IT do dyskusji na temat wyzwań i możliwości wyjścia poza starsze rozwiązania i przyjęcia bardziej nowoczesnego podejścia do zarządzania, bezpieczeństwa i wsparcia IT. Poniższa sesja koncentrowała się na badaniu nowoczesnych "bezdomenowych" alternatyw dla AD i LDAP.

Dostęp do pozostałych sesji Adapt IT na żądanie można uzyskać tutaj.