V každém bezpečném prostředí by jste měli aktivně sledovat AD DS jako součást své celkové bezpečnostní strategie. Audit by měl pak identifikovat činnosti, ať už úspěšné či nikoliv, které se pokusily modifikovat objekty služby Active Directory. Díky nastaveným auditům tak můžete objevit pokusy o neoprávněné přihlášení do počítače či konkrétních složek na síti.
Monitorování AD DS použitím Reliability a Performance monitoru
Windows Reliability and Performance monitor umožňuje sledování vlivu aplikací a služeb na výkon, vytváření záznamů a jednání, pokud uživatelem stanovený limit pro optimální výkon je překročen.
Monitorování AD DS pomocí prohlížeče událostí (Event Viewer)
Monitorování stavu serveru je důležitou součástí při udržování a správě operačního systému. Prohlížeč událostí (Event Viewer) je aplikace, která vám umožňuje prohlížet, spravovat a monitorovat události zaznamenané v protokolech událostí (event logs).
Konfigurace uživatelského prostředí pomocí skupin zásad (GPO)
Pomocí skupin zásad (Group Policy) je možné hromadně konfigurovat velké množství parametrů uživatelského prostředí jako přesměrování uživatelských složek, spouštění scriptů, hromadné nasazování firemních softwarů a další.
Aplikace Group Policy Reporting a Modeling
Při plánování nasazení nových skupin zásad nebo při ladění existujících, může být velice obtížné se vyznat ve složité struktuře firemních sítí, restrikcí, a právě proto tu máme dva nástroje, které nám tuto práci usnadňují. Jejich jména jsou Group Policy Reporting a Group Policy Modeling a najdete je v administrační konzoli Group Policy Management
Co jsou skupiny zásad (Group Policy)
Skupiny zásad (Group Policy) je nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object GPO, které dokáží měnit konkrétní parametry chování počítače nebo uživatele. Samotné nastavení GPO se pak „linkuje“ na jednotlivé oragnizační jednotku OU v AD, čímž zajistíte aplikování nastavení jen na vybrané počítačenebo uživatele. Tímto způsobem tedy můžeme spravovat potenciálně tisíce počítačů nebo uživatelů změnou jednoho GPO.
AD DS Sítě a jejich spojení (Sites and Site Links)
AD sítě (Sites) a jejich spojení (Site Links) pomáhají definovat fyzickou strukturu sítě, díky čemuž je možné ovlivnit replikační schéma tak, aby odpovídalo rychlostem jednotlivých sítí, kde se DC nacházejí. Dále pomocí AD sítí (sites) a nastavených Subnetu umožňujeme jednotlivým stanicím určit, kde se aktuálně v síti nacházejí, a tedy jaký DC je pro ně nejblíže. Díky tomu např. počítač, který byl v síti New York a uživatel ho přemístil do sítě Czech Republic je schopný detekovat na základě přidělené IP, že se nachází v jiném subnetu a tedy spadá do jiné sítě, které náleží i jiné DC.
AD DS Replikace (AD Replications)
AD databáze je tvořena párticemi, které se dokáží nezávisle replikovat. Konkrétně jde o části Schema, a Configuration, které se vždy replikují na úrovni lesa, Domain, která se replikuje na úrovni konkrétní domény a Application, která se replikuje dle předem definovaných pravidel. Dále bychom něměli zapomenout na Globální katalog (GC), který se replikuje v rámci celého lesa, ale jen mezi ostatními GC.
Co je UPN (User Principal Names)
UPN (user principal name) je způsob přihlašování používané v sítích Windows od verze 2003. UPN se dělí na dvě části, suffix a prefix . Pro příklad si to ukážeme na jméně suzan@WoodgroveBank.local.
- UPN prefix je suzan
- UPN suffix je WoodgroveBank.local
V základu je jako suffix vždy použit název domény, ve kterém byl uživatel vytvořen. Je ale možné přidat další suffix., tak umožnit uživatelům přihlašovat se pod jiným jménem (třeba email adresa), pouze je nutné dodržet ,že samotný suffix musí být vždy jedinečný pro celý les.
AD DS a vztahy důvěry (AD DS Trusts)
Vztahy důvěry (AD DS Trusts) nám umožňují vzájemou důvěru (ověření) domén/lesů v AD světě. Uživatelé tak mohou být ověření ve své vlastní doméně a jejich (ticket zabezpečení) credentials bude použit pro přístup na sdílené zdroje v cizí doméně.