共用方式為

Active Directory 隨選評定快速入門

  • 發行項

Active Directory 評定可讓您針對網域控制站在內部部署、Azure VM 或 Amazon Web Services (AWS) VM 上執行的 Active Directory 環境進行評定。 分析後會產生待解決的問題清單,並提供補救指引及最佳做法,以改善 Active Directory 基礎結構的效能,以及部署應用程式、軟體更新和作業系統等功能。 評定透過服務中樞提供,幫助您最佳化您的 Microsoft 技術投資的可用性、安全性和效能。 評定使用 Microsoft Azure Log Analytics,其設計用於為您提供簡化的環境 IT 和安全性管理。

這項評定的設計是要提供您以重點區群組的特定可操作指引,以防範 Active Directory 和組織遇到的風險。

Active Directory 評定著重於數個關鍵要點,其中包括:

  • 操作流程
  • Active Directory 複寫
  • 站台拓撲和子網路
  • 名稱解析 (DNS)
  • 網域控制站健康狀態
  • Active Directory 資料庫
  • SYSVOL 和群組原則健全狀況
  • 帳戶資訊和權杖大小
  • OS 資訊和網路
  • Windows 時間設定

執行 Active Directory 評定

先決條件

爲了充分利用服務中樞提供的隨選評定,您必須:

  1. 已將啟用的 Azure 訂用帳戶連結至服務中樞,並新增 AD 評定。 關於詳細資訊,請閱讀隨選評定使用者入門文章或觀賞如何建立連結影片

  2. 具有以下使用權限的網域帳戶 (使用者或受管理的服務帳戶):

    • 企業系統管理員
    • 樹系中每個網域控制站的系統管理存取權
    • 網域控制站所參與所有 Microsoft 網域名稱系統 (DNS) 伺服器的系統管理存取權
    • 資料收集電腦的系統管理存取權
    • 在資料收集電腦上以批次作業特殊權限登入

  3. 檢閱 AD 評定的先決條件文件。 此文件說明 AD 評定的詳細技術文件,以及執行評定所需進行的伺服器準備。 文件中也會列出評定所收集的不同資料類型。

請注意:若要執行隨選評定,首次完成環境設定通常需要兩小時左右。 執行評定後,您可以在 Azure Log Analytics 中檢閱資料。 將為您提供六個重點區的分類建議清單。 這讓您和您的團隊能夠快速了解風險等級和環境健康情況,以便您採取措施降低風險並改善整體 IT 健康情況。

在資料收集電腦上設定 AD 評定

注意:一旦將 Azure 訂用帳戶連結至 Services Hub,並從 Services Hub 的 [IT 健康情況] -> [隨選評定] 新增 AD 評定,您就可以成功設定評定。

  1. 在資料收集電腦建立下列資料夾:C:\OMS\AD (或任何其他資料夾,由系統保留的 C:\ODA 除外)

  2. 以系統管理員模式開啟一般 Powershell (不是 ISE),然後執行下列 cmdlet:

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. 提供必要的使用者帳戶認證,以符合本文前述需求

  2. 名為 ADAssessment 的排定工作會在執行先前指令碼一小時內觸發資料收集,然後每 7 天觸發一次。 您可以修改此工作,以在其他日期/時間執行,或是透過 [工作排程器程式庫]、[Microsoft 資料夾]、[Operations Management Suite]、[AOI***]、[評定]、[ADAssessment] 立即強制執行。

  3. 在收集和分析期間,系統會將資料暫存於安裝期間設定的工作目錄資料夾。

  4. 您的評定結果會在數小時後,顯示於 Log Analytics 和服務中樞儀表板。 您可以前往 [服務中樞] -> [健康情況] -> [評定],然後對作用中評定按一下 [查看所有建議],以查看結果。

  5. 如果您希望找 Microsoft 認證工程師與您一起檢討關於 AD 環境的問題,可以聯絡您的 Microsoft 代表,詢問對方關於遠端或現場 CE 主導的交貨問題。

    合約 遠端工程師 現場工程師
    頂級 AD 遠端資料工作表 AD 現場資料工作表
    整合 AD 遠端資料工作表 AD 現場資料工作表