通过

Active Directory 按需评估入门

  • 项目

Active Directory 评估为你提供对具有在本地、Azure VM 或 Amazon Web Services (AWS) VM 上运行的域控制器的 Active Directory 环境的评估。 生成的分析结果列出了要解决的问题,以及可提升 Active Directory 基础设施性能的修正指导和最佳做法,同时还列出了部署应用程序、软件更新和操作系统等功能。 通过服务中心提供的评估有助于优化 Microsoft 技术投资的可用性、安全性和效果。 这些评估使用 Microsoft Azure Log Analytics,其设计用于在环境中提供简化的 IT 和安全管理。

此评估旨在为你提供在重点领域中分组的特定可操作指南,以缓解 Active Directory 和组织的风险。

Active Directory 评估侧重于几个关键支柱,包括:

  • 操作流程
  • Active Directory 复制
  • 站点拓扑和子网
  • 名称解析 (DNS)
  • 域控制器运行状况
  • Active Directory 数据库
  • SYSVOL 和组策略运行状况
  • 帐户信息和令牌大小
  • 操作系统信息和网络
  • Windows 时间配置

运行 Active Directory 评估

先决条件

为了充分利用通过服务中心提供的按需评估,你必须:

  1. 已将有效 Azure 订阅关联到服务中心,并添加了 AD 评估。 有关详细信息,请参阅按需评估入门文章或观看如何链接视频

  2. 具有以下权限的域帐户(用户或托管服务帐户):

    • 企业管理员
    • 对林中每个域控制器的管理访问权限
    • 对域控制器参与
      的所有 Microsoft 域名系统 (DNS) 服务器的管理访问权限。
    • 数据收集计算机上的管理访问权限
    • 以数据收集计算机上的批处理作业权限登录

  3. 查看必备文档以获取 AD 评估。 此文档从技术角度详细说明了 AD 评估,以及运行评估所需的服务器准备。 此外,它还介绍了评估收集的不同类型数据。

备注:一般而言,初始配置环境以运行按需评估需要两个小时。 运行评估后,可以在 Azure Log Analytics 中查看数据。 这将为你提供按优先级排序的建议列表,分为六个重点领域。 这使你和你的团队能够快速了解风险级别、环境的运行状况,采取措施来降低风险并改善整体的 IT 运行状况。

在数据收集计算机上设置 AD 评估

备注:只有在将 Azure 订阅关联到 Services Hub,并在 Services Hub 内的“IT 运行状况”->“按需评估”中添加了 AD 评估后,才能成功设置评估。

  1. 在数据收集计算机上创建以下文件夹:C:\OMS\AD(或除 C:\ODA 之外由系统保留的任何其他文件夹)

  2. 在“管理员”模式下,打开常规 Powershell(而不是 ISE),并运行以下 cmdlet:

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. 提供符合本文前述要求的相应用户帐户凭据

  2. 数据收集由名为 ADAssessment 的计划任务在上一脚本运行一小时内触发,然后每 7 天触发一次。 可以将任务修改为在其他日期/时间运行,甚至可以强制任务立即运行,具体方法是依次转到任务计划程序库、“Microsoft 文件夹”、“Operations Management Suite”、“AOI***”、“评估”、“ADAssessment”。

  3. 在收集和分析期间,数据临时存储在安装期间配置的工作目录文件夹下。

  4. 几小时后,评估结果便会显示在 Log Analytics 和服务中心仪表板上。 可以导航查看结果,具体方法为依次转到“Services Hub”>“运行状况”>“评估”,再针对有效评估单击“查看所有建议”。

  5. 如果您希望让 Microsoft 认证工程师一起讨论有关 AD 环境的问题,可以联系您的 Microsoft 代表,询问他们有关远程或现场 CE 领导交付的问题。

    合同 远程工程师 现场工程师
    顶级 AD 远程数据表 AD 现场数据表
    统一 AD 远程数据表 AD 现场数据表