Compartir a través de


Introducción a la evaluación a petición de Active Directory

La evaluación de Active Directory proporciona una evaluación del entorno de Active Directory con controladores de dominio que se ejecutan localmente en VM de Azure o VM de Amazon Web Services (AWS). El análisis genera una lista de problemas que se deben abordar con las instrucciones de corrección y los procedimientos recomendados a fin de mejorar el rendimiento de la infraestructura y las características de Active Directory, como la implementación de aplicaciones, las actualizaciones de software y los sistemas operativos. Las evaluaciones disponibles a través del Centro de servicios ayudan a optimizar la disponibilidad, la seguridad y el rendimiento de sus inversiones en tecnología de Microsoft. Estas evaluaciones utilizan Microsoft Azure Log Analytics, que ha sido diseñado para proporcionarle una administración simplificada de TI y seguridad en todo su entorno.

Esta evaluación se diseñó para proporcionarle instrucciones accionables concretas en áreas de enfoque para mitigar los riesgos en el entorno de Active Directory y en la organización.

La evaluación de Active Directory se centra en varios elementos principales clave, entre los que se incluyen los siguientes:

  • Procesos operativos
  • Replicación de Active Directory
  • Topología de sitio y subredes
  • Resolución de nombres (DNS)
  • Mantenimiento del controlador de dominio
  • Base de datos de Active Directory
  • Mantenimiento de SYSVOL y directivas de grupo
  • Información de cuenta y tamaño de token
  • Información del SO y redes
  • Configuración de la hora de Windows

Ejecutar la evaluación de Active Directory

Requisitos previos

Para sacar el máximo partido a las evaluaciones a petición disponibles en el Centro de servicios, debe cumplir los siguientes requisitos:

  1. Haber vinculado una suscripción de Azure activa al Centro de servicios y haber agregado la evaluación de AD. Para obtener más información, consulte el artículo Introducción a las evaluaciones a petición o mire el vídeo sobre vinculación.

  2. Tenga una cuenta de dominio (usuario o cuenta de servicio administrada) con los siguientes derechos:

    • Administrador empresarial
    • Acceso de administrador a todos los controladores de dominio del bosque
    • Acceso de administrador a todos los servidores del sistema de nombres de dominio (DNS) de Microsoft en los que participan los controladores de dominio
    • Acceso administrativo en el equipo de recolección de datos
    • Iniciar sesión con privilegios de proceso por lotes en la máquina de recopilación de datos
  3. Revise el documento de requisitos previos para la evaluación de AD . En este documento, se explica la documentación técnica detallada de la evaluación de AD y la preparación del servidor que se requiere para ejecutar la evaluación. También se describen los diferentes tipos de datos que recopila la evaluación.

Nota: De media, se tarda dos horas en completar la configuración inicial del entorno para ejecutar una evaluación a petición. Tras la ejecución de una evaluación, puede consultar los datos en Azure Log Analytics. De este modo, se obtiene una lista de recomendaciones ordenada por prioridades y dividida en seis áreas principales. Esto ayuda a que usted y su equipo comprendan rápidamente los niveles de riesgo y el estado del entorno, y a que tomen acciones para reducir los riesgos y mejorar la integridad de TI.

Configurar la evaluación de AD en el equipo de recolección de datos

Nota: Solo podrá configurar la evaluación correctamente una vez que haya vinculado su suscripción a Azure a Services Hub y se haya agregado AD Assessment desde Mantenimiento de TI -> Evaluaciones a petición en Services Hub.

  1. En el equipo de recolección de datos, cree la siguiente carpeta: C:\OMS\AD (o cualquier otra carpeta que no sea C:\ODA, que está reservada por el sistema).

  2. Abra la versión regular de PowerShell (no ISE) en modo Administrador y ejecute el siguiente comando cmdlet:

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. Proporcione las credenciales de la cuenta de usuario necesarias que cumplen con los requisitos que se mencionan anteriormente en este artículo.

  2. La recopilación de datos se activa mediante la tarea programada denominada ADAssessment dentro de una hora después de ejecutar el script anterior y, luego, cada 7 días. La tarea se puede modificar para que se ejecute en una fecha u hora diferentes, o incluso se puede forzar para que se ejecute inmediatamente desde la biblioteca del Programador de tareas, carpeta Microsoft, Operations Management Suite -> AOI***, Evaluaciones luego ADAssessment.

  3. Durante la recopilación y el análisis, los datos se almacenan temporalmente en la carpeta Directorio de trabajo que se estableció durante la configuración.

  4. Después de algunas horas, los resultados de su evaluación estarán disponibles en el panel de Azure Log Analytics y el Centro de servicios. Para ver los resultados, vaya a Services Hub -> Mantenimiento -> Evaluaciones y, luego, haga clic en “Ver todas las recomendaciones” en la evaluación activa.

  5. Si deseas que un ingeniero acreditado de Microsoft repase contigo los problemas de tu entorno de AD, puedes ponerte en contacto con tu representante de Microsoft y preguntarle sobre la entrega remota o in situ dirigida por CE.

    contrato Ingeniero remoto Ingeniero in situ
    Premier Hoja de datos remota de AD Hoja de datos in situ de AD
    Unificado Hoja de datos remota de AD Hoja de datos in situ de AD