Bắt đầu với Đánh giá theo yêu cầu Active Directory - Trung tâm Microsoft Engage (Trung tâm Dịch vụ)
Đánh giá Active Directory cung cấp cho bạn đánh giá về Môi trường Active Directory của bạn với bộ điều khiển miền chạy tại chỗ, trên máy ảo Azure hoặc trên máy ảo Amazon Web Services (AWS). Phân tích tạo ra một danh sách các vấn đề cần giải quyết với hướng dẫn khắc phục và các phương pháp hay nhất để cải thiện hiệu suất của cơ sở hạ tầng Active Directory và các tính năng như triển khai ứng dụng, cập nhật phần mềm và hệ điều hành. Các đánh giá có sẵn thông qua Trung tâm Microsoft Engage để giúp bạn tối ưu hóa tính khả dụng, bảo mật và hiệu suất của các khoản đầu tư công nghệ Microsoft của mình. Các đánh giá này sử dụng Phân tích nhật ký Microsoft Azure, được thiết kế để giúp bạn đơn giản hóa việc quản lý CNTT và bảo mật trên toàn môi trường của bạn.
Đánh giá này được thiết kế để cung cấp cho bạn hướng dẫn cụ thể có thể hành động được nhóm trong các Lĩnh vực Trọng tâm để giảm thiểu rủi ro cho Active Directory và tổ chức của bạn.
Đánh giá Active Directory tập trung vào một số trụ cột chính, bao gồm:
- Quy trình hoạt động
- Sao chép Active Directory
- Cấu trúc liên kết trang web và mạng con
- Phân giải tên (DNS)
- Tình trạng của bộ điều khiển miền
- Cơ sở dữ liệu Active Directory
- SYSVOL và Tình trạng chính sách nhóm
- Thông tin tài khoản và kích thước token
- Thông tin hệ điều hành và mạng
- Cấu hình thời gian Windows
Chạy Đánh giá Active Directory
Điều kiện tiên quyết
Để tận dụng tối đa các Đánh giá theo yêu cầu có sẵn thông qua Bản xem trước riêng tư vNext của Trung tâm Dịch vụ, bạn phải:
Trước tiên, bạn sẽ cần thiết lập Trình kết nối Trung tâm Dịch vụ của mình để đặt cấu hình Đánh giá theo yêu cầu. Làm theo các hướng dẫn sau để thiết lập Trình kết nối Trung tâm Dịch vụ của bạn, kết nối với không gian làm việc Phân tích Log và sau đó thêm Đánh giá theo yêu cầu mà bạn muốn đặt cấu hình.
Xem bài viết Bắt đầu với Đánh giá theo yêu cầu.
Có tài khoản miền (User hoặc Managed Service Account) với các quyền sau:
- Quản trị viên doanh nghiệp
- Quyền truy cập quản trị vào mọi bộ điều khiển miền trong rừng
- Quyền truy cập quản trị vào tất cả các máy chủ Hệ thống Tên miền (DNS) của Microsoft mà bộ điều khiển miền tham gia
- Quyền truy cập quản trị trên máy thu thập dữ liệu
- Đăng nhập dưới dạng đặc quyền công việc hàng loạt trên máy thu thập dữ liệu
Xem lại tài liệu Điều kiện tiên quyết cho Đánh giá AD. Tài liệu này giải thích tài liệu kỹ thuật chi tiết về Đánh giá AD và việc chuẩn bị máy chủ cần thiết để chạy đánh giá. Nó cũng ghi lại các loại dữ liệu khác nhau được thu thập bởi đánh giá.
Lưu ý: Trung bình, phải mất hai giờ để định cấu hình môi trường ban đầu để chạy Đánh giá theo yêu cầu. Sau khi chạy đánh giá, bạn có thể xem lại dữ liệu trong Azure Log Analytics. Điều này sẽ cung cấp cho bạn danh sách các đề xuất được ưu tiên, được phân loại trên sáu lĩnh vực trọng tâm. Điều này cho phép bạn và nhóm của bạn nhanh chóng hiểu mức độ rủi ro, tình trạng của môi trường, hành động để giảm rủi ro và cải thiện tình trạng CNTT tổng thể của bạn.
Thiết lập Đánh giá AD trên máy thu thập dữ liệu
Lưu ý: Bạn sẽ chỉ có thể thiết lập thành công đánh giá sau khi bạn đã liên kết Đăng ký Azure của mình với Trung tâm Microsoft Engage và thêm Đánh giá AD từ Tình trạng CNTT -> Đánh giá theo yêu cầu trong Trung tâm Microsoft Engage.
Trên máy thu thập dữ liệu, tạo thư mục sau: C:\OMS\AD (hoặc bất kỳ thư mục nào khác ngoài C:\ODA được hệ thống dành riêng)
Mở Powershell thông thường (không phải ISE) ở chế độ Quản trị viên và chạy lệnh ghép ngắn bên dưới:
Add-ADAssessmentTask -WorkingDirectory' command
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Cung cấp thông tin đăng nhập tài khoản người dùng bắt buộc đáp ứng các yêu cầu được đề cập trong bài viết này trước đó
Việc thu thập dữ liệu được kích hoạt bởi tác vụ đã lên lịch có tên ADAssessment trong vòng một giờ sau khi chạy tập lệnh trước đó và sau đó 7 ngày một lần. Tác vụ có thể được sửa đổi để chạy vào một ngày / giờ khác hoặc thậm chí buộc phải chạy ngay lập tức từ thư viện Task Scheduler, thư mục Microsoft, Operations Management Suite, AOI***, Assessments, sau đó là ADAssessment.
Trong quá trình thu thập và phân tích, dữ liệu được lưu trữ tạm thời trong thư mục Thư mục làm việc đã được định cấu hình trong quá trình thiết lập.
Sau vài giờ, kết quả đánh giá của bạn sẽ có trên Bảng thông tin riêng tư vNext của Log Analytics và Trung tâm Dịch vụ. Bạn có thể điều hướng để xem kết quả bằng cách truy cập Trung tâm Microsoft Engage - Sức> khỏe -> Đánh giá rồi nhấp vào "Xem tất cả các đề xuất" đối với đánh giá đang hoạt động.
Nếu bạn muốn nhờ Kỹ sư được Microsoft công nhận để xem xét các vấn đề về Môi trường AD của bạn, bạn có thể liên hệ với Đại diện Microsoft của mình và hỏi họ về Phân phối CE do CE dẫn dắt từ xa hoặc tại chỗ.
Thỏa thuận | Kỹ sư từ xa | Kỹ sư tại chỗ |
---|---|---|
Thủ tướng | Bảng dữ liệu từ xa AD | Bảng dữ liệu AD Onsite |
Thống nhất | Bảng dữ liệu từ xa AD | Bảng dữ liệu AD Onsite |