Első lépések az Active Directory igény szerinti felmérésével
Az Active Directory Assessment a helyszínen, Azure-beli virtuális gépeken vagy Amazon Web Services- (AWS-) virtuális gépeken futó tartományvezérlőkkel biztosítja az Active Directory-környezet értékelését. Az elemzés létrehoz egy listát azokról a problémákról, amelyek megoldásához útmutatást és ajánlott eljárásokat biztosít az Active Directory-infrastruktúra és az olyan funkciók teljesítményének javításához, mint az alkalmazások, a szoftverfrissítések és az operációs rendszerek telepítése. Az értékelések a Services Hubon keresztül érhetők el a Microsoft-technológiai befektetések rendelkezésre állásának, biztonságának és teljesítményének optimalizálásához. Ezek az értékelések a Microsoft Azure Log Analyticset használják, amelynek célja, hogy egyszerűbb informatikai és biztonsági felügyeletet biztosítson a környezetében.
Az értékelés célja, hogy konkrét, a fókuszterületekbe csoportosított, végrehajtható útmutatást nyújtson az Active Directoryt és a szervezetet érintő kockázatok mérséklése érdekében.
Az Active Directory Assessment több fő pillérre összpontosít, többek között a következőkre:
- Működési folyamatok
- Active Directory-replikáció
- Helytopológia és alhálózatok
- Névfeloldás (DNS)
- Tartományvezérlő állapota
- Active Directory-adatbázis
- SYSVOL és Csoportházirend Állapota
- Fiókadatok és tokenméret
- Operációs rendszer adatai és hálózatkezelése
- Windows időkonfiguráció
Az Active Directory-értékelés futtatása
Előfeltételek
A Services Hubon keresztül elérhető igény szerinti értékelések teljes körű kihasználásához a következőkre van szükség:
Összekapcsolt egy aktív Azure-előfizetést a Services Hubbal, és hozzáadta az AD-értékelést. További információért olvassa el az Igény szerinti értékelések Első lépések című cikket, vagy watch a videó csatolásának módját.
Rendelkeznie kell egy tartományi fiókkal (felhasználó vagy felügyelt szolgáltatásfiók) a következő jogosultságokkal:
- Vállalati rendszergazda
- Rendszergazdai hozzáférés az erdő összes tartományvezérlője számára
- Rendszergazdai hozzáférés a tartományvezérlők által részt vevő összes Microsoft Domain Name System- (DNS-) kiszolgálóhoz
- Rendszergazdai hozzáférés az adatgyűjtési gépen
- Bejelentkezés kötegelt feladatként jogosultságokként az adatgyűjtési gépen
Tekintse át az AD-értékelés előfeltételeit ismertető dokumentumot. Ez a dokumentum az AD-értékelés részletes technikai dokumentációját és az értékelés futtatásához szükséges kiszolgáló-előkészítést ismerteti. Emellett az értékelés által gyűjtött különböző típusú adatokat is dokumentálja.
Megjegyzés: Átlagosan két óra alatt konfigurálhatja a környezetet egy igény szerinti értékelés futtatásához. Az értékelés futtatása után áttekintheti az adatokat az Azure Log Analyticsben. Ez egy rangsorolt listát biztosít a javaslatokról, hat fókuszterületre kategorizálva. Így Ön és csapata gyorsan megértheti a kockázati szinteket, a környezetek állapotát, csökkentheti a kockázatokat, és javíthatja a teljes informatikai állapotot.
Az AD-értékelés beállítása az adatgyűjtési gépen
Megjegyzés: Az értékelést csak akkor tudja sikeresen beállítani, ha az Azure-előfizetést a Services Hubhoz kapcsolta, és hozzáadta az AD-értékelést az INFORMATIKAI állapot –> Igény szerinti értékelések szolgáltatásból a Services Hubban.
Az adatgyűjtési gépen hozza létre a következő mappát: C:\OMS\AD (vagy bármely más, a rendszer által fenntartott C:\ODA mappa)
Nyissa meg a normál PowerShellt (nem az ISE-t) rendszergazdai módban, és futtassa az alábbi parancsmagot:
Add-ADAssessmentTask -WorkingDirectory' command
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Adja meg a felhasználói fiókhoz szükséges hitelesítő adatokat, amelyek megfelelnek a cikkben korábban említett követelményeknek
Az adatgyűjtést az ADAssessment nevű ütemezett feladat aktiválja az előző szkript futtatását követő egy órán belül, majd 7 naponta. A tevékenység módosítható úgy, hogy egy másik dátumon/időben fusson, vagy akár arra is kényszeríthető, hogy azonnal fusson a Feladatütemező könyvtárból, a Microsoft mappából, az Operations Management Suite-ból, az AOI***-ból, az Értékelésekből, majd az ADAssessmentből.
A gyűjtés és az elemzés során az adatok ideiglenesen a telepítés során konfigurált Munkakönyvtár mappában lesznek tárolva.
Néhány óra elteltével az értékelési eredmények elérhetők lesznek a Log Analytics és a Services Hub irányítópultján. Az eredmények megtekintéséhez lépjen a Services Hub –> Állapot –> Értékelések lapra, majd kattintson az "Összes javaslat megtekintése" elemre az aktív értékeléshez.
Ha azt szeretné, hogy a Microsoft akkreditált mérnöke átvehesse Az AD-környezettel kapcsolatos problémákat Önnel, forduljon a Microsoft képviselőjéhez, és kérdezze meg őket a távoli vagy helyszíni CE ledes kézbesítésről.
Megállapodás Távmérnök Helyszíni mérnök Premier Távoli AD-adatlap AD helyszíni adatlap Egységes Távoli AD-adatlap AD helyszíni adatlap
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: