Трудно поверить, что мы уже 10 лет работаем со службой каталогов Active Directory (AD). Если вы работали в ИТ в течение всего этого периода глобальной смены парадигм, вы были свидетелями эволюции подхода к администрированию доменов Windows. Прошло то время, когда любой сотрудник ИТ-подразделения был администратором домена. Теперь домены могут иметь административную структуру и подробные разрешения безопасности.
Однако, при всех новых возможностях, появилась необходимость продуманного и аккуратного планирования. Если вы хоть раз сталкивались с плохо спланированной реализацией службы AD, то понимаете всю важность этой задачи. Каждый день многие администраторы сталкиваются с тем, что служба AD может использоваться для решения только одной из многих задач, связанных с предварительной настройкой свойств пользователей. Во многих компаниях реализована служба Exchange, настроены устройства Research in Motion (RIM) BlackBerry, развернуты корпоративные системы планирования Enterprise Resource Planning (ERP) и работы с персоналом Human Resources (HR), а также бесчисленное множество других систем, к которым необходимо обеспечить доступ. В компаниях время от времени осуществляется аудит систем безопасности. Sarbanes-Oxley (SOX), Statement on Auditing Standard 70 (SAS70), Health Insurance Portability and Accountability Act (HIPPA) и другие регулирующие законы вынуждают переосмыслить подход к выполнению ежедневных задач и выбору исполнителей.
. Некоторые из них предлагают всю функциональность в одном пакете, другие используют модульный подход.
Тестовые параметры
Для тестирования каждого продукта я выполнял пять типичных задач администратора, с которыми встроенные средства Microsoft либо не справляются вовсе, либо справляются не очень хорошо. К этим задачам относятся: предварительная настройка свойств пользователей (например, в системах AD, Exchange, BlackBerry, ERP), настройка системы Exchange (например, создание персонального хранилища данных в соответствии с фамилией/отделом), делегирование полномочий, изменение пользовательских настроек (например, смена имени, сброс пароля, удаление из внешней системы) и создание отчетов для аудита.
Эти четыре продукта используют сходные методы, чтобы помочь оптимизировать процесс настройки свойств учетной записи нового пользователя. К примеру, если каждый новый пользователь должен быть членом глобальной группы ERP Application, такая возможность будет крайне важной для вас. Другим широко распространенным примером предварительной настройки свойств пользователя является интеграция с базой данных системы HR. Допустим, вы хотите, чтобы данные каталога AD публиковались вместе с данными из базы данных системы HR или наоборот. В зависимости от приложения, для полноценного использования данной возможности вам понадобится база сценариев разной степени сложности.
Каждый продукт я установил в обычный домен Windows 2003 Active Directory, в котором развернут сервер Exchange 2003. Я использовал технологию VMware для того, чтобы разместить несколько серверов на одной физической системе.
Ensim Unify Enterprise
ЗА: очень простой и понятный интерфейс; встроенные роли помогут вам сделать первые шаги.
ПРОТИВ: нет возможности экспортировать отчеты в формат, удобный для аудитора.
ОЦЕНКА: 3 из 5.
ЦЕНА: 12 долл. за пользователя (плюс 5 долл. за пользователя с ролями Mobility Manager, Distribution Group Manager и Google Apps Manager; 8 долл. за пользователя с ролями Exchange Manager и OCS Manager).
РЕКОМЕНДАЦИЯ: если вам необходимо выполнять предварительную настройку внешних систем, таких как BlackBerry Enterprise Server, Exchange 2007 или 2003, Google Apps и Microsoft Office Communication Server (OCS), стоит остановить свой выбор на данном продукте.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Ensim, www.ensim.com
Перед тем как запустить очень простой процесс установки, пакет Unify Enterprise выполняет «предварительное сканирование» системы, результаты которого могут быть весьма полезны. Данный продукт работает на платформах Windows Server 2008 или Windows Server 2003 и требует наличия служб IIS, ASP.NET,. NET Framework 2.0 и SMTP. После выполнения установки запускается мастер Quick Start, позволяющий осуществить базовые действия, например задать основные параметры и настройки уведомлений.
Unify Enterprise имеет самый удобный пользовательский интерфейс среди всех продуктов данного обзора (см. экран 1). Я сразу же попытался создать новую учетную запись пользователя. Успешное решение данной задачи натолкнуло меня на идею создать пользовательский шаблон, и уже через несколько минут в моем распоряжении были шаблоны SpokaneUser и SeattleUser. Вы также можете добавлять новых пользователей с помощью файлов с разделением запятой (CSV). Если основной задачей ваших сотрудников, обслуживающих портал поддержки, является администрирование пользователей и компьютеров, данный интерфейс будет очень полезен.
Экран 1. Окно Ensim Unify Enterprise Administrator Enterprise |
Для того чтобы помочь настроить корректные разрешения для пользователей, пакет Unify Enterprise содержит четыре встроенные роли: System Administrator, Help Desk Administrator, HR Administrator и Employee. Конечно, вы можете создавать собственные роли, однако в начале работы встроенные роли могут очень пригодиться. Например, пользователь с ролью Help Desk Administrator может совершать следующие действия: изменять и сбрасывать пароли, изменять свойства пользователей, добавлять группы безопасности и т. д.
Вы можете указать действие, которое будет сопровождать удаление учетной записи пользователя из каталога AD, например: сброс пароля в случайное значение, изменение имени пользователя, отключение учетной записи, перемещение пользовательского объекта в специальный контейнер, удаление учетной записи пользователя из всех групп безопасности и/или групп рассылки (кроме групп, указанных в списке исключений). Кроме того, домашняя папка данного пользователя может быть автоматически перенесена в другое место, при этом разрешения безопасности будут изменены таким образом, что для доступа к папке понадобятся права руководителя. Вы можете настроить автоматическое удаление учетной записи пользователя по истечении определенного времени.
Что же касается создания отчетов, то в верхней части веб-консоли одна из вкладок содержит меню Reports. Доступны следующие типы отчетов: Usage, Resource Status, Action Logs и Deleted Items. Каждый отчет является достаточно подробным, но с точки зрения возможного аудита отчеты Action Logs и Deleted Items содержат больше полезной информации. К сожалению, мне не удалось найти способ экспортировать отчеты в формат, в котором я бы мог передать их аудитору.
Пакет Unify Enterprise использует модульный подход, предоставляя встроенные механизмы только для управления каталогом AD. Если вы хотите работать с организацией Exchange Server или другой «внешней» системой, вам придется приобрести дополнительные компоненты. Расширения Unify Enterprise позволяют работать с системами BlackBerry Enterprise Server, Exchange 2007 или 2003, Google Apps и Microsoft Office Communication Server (OCS).
ManageEngine ADManager Plus
ЗА: великолепный пользовательский интерфейс; простейшая навигация.
ПРОТИВ: нет возможности предварительной настройки пользователей для внешних систем и Exchange.
ОЦЕНКА: 3 из 5.
ЦЕНА: 1,495 долл. за редакцию Professional
РЕКОМЕНДАЦИЯ: я рекомендую пакет ADManager Plus как недорогую альтернативу оснастке Active Directory Users and Computers, обладающую более высокой функциональностью, чем встроенная оснастка.
КОНТАКТНАЯ ИНФОРМАЦИЯ: ManageEngine, www.manageengine.com
На сайте компании Manage Engine сразу же привлекает к себе внимание слоган 90:10: «Вы получаете 90% функциональности продуктов ‘большой четверки’ за 10% стоимости». Мне было интересно, отвечает ли на самом деле продукт данному обещанию. И знакомство с пакетом не убедило меня в истинности заявления компании-разработчика.
Я скачал установочный файл размером в 30 Мбайт и запустил процесс установки. Из представленных четырех продуктов у ADManager Plus процесс установки показался мне наиболее быстрым и простым. Достаточно было просто указать порт, через который я собираюсь работать с веб-сервером (порт «по умолчанию» — 8080).
Как и у остальных продуктов, у ADManager Plus основной графический интерфейс построен на основе веб-технологий. Однако служба ADManager предлагает два варианта аутентификации: аутентификация в домене либо аутентификация в системе ADManager Plus. После выполнения регистрации в системе в панели мониторинга настроенных отчетов вы увидите количество активных пользователей, неактивных пользователей, отключенных пользователей, заблокированных пользователей и т. д. В верхней части экрана можно переключаться между вкладками AD Mgmt, AD Reports, AD Delegation, Admin и Support.
Система ADManager Plus имеет интуитивно понятные механизмы создания и редактирования учетных записей пользователей и компьютеров (см. экран 2). Вы можете перемещать пользователей по одному или выполнять массовое перемещение с помощью механизмов импорта CSV. Кроме того, у ADManager Plus есть функция Bulk User Modification, которая выделяет данный продукт из ряда конкурентов. Например, вы можете перемещать папки Home, включать/отключать учетные записи, изменять свойства удаленных соединений и VPN-соединений для группы пользователей. Также можно менять атрибуты, используемые службами Exchange и Terminal Services.
Экран 2. Окно ManageEngine ADManager Plus |
В службу встроены различные роли, которые ориентированы на выполнение большинства общих задач, таких как создание учетных записей пользователей, сброс паролей и разблокирование пользователей. В то же время вы можете создавать собственные роли с определенными правами, ориентированные на решение конкретных задач. Меня приятно удивило наличие разрешения Create Exchange Mailbox. С его помощью я смог создать роль Help Desk Technician Role, имеющую корректно настроенные права для создания почтового ящика Exchange, несмотря на то что пользователь не являлся администратором службы Exchange.
Возможности продукта ADManager Plus в управлении службой Exchange ограничены функциональностью стандартных средств Microsoft. В отличие от других рассматриваемых приложений, служба ADManager не имеет механизмов автоматизации работы со службой Exchange. Так как ADManager Plus не может управлять внешними службами (в том числе Exchange), основное внимание при тестировании я уделил отключению и удалению пользовательских учетных записей. Политика Delete позволяет определить, какие из ресурсов должны быть удалены вместе с учетной записью пользователя (папка Home, удаленный профиль, папка Home сервера терминалов, профиль сервера терминалов). Одно важное замечание: я не обнаружил контейнера «Корзина». Объект удаляется сразу и окончательно, как и при работе с оснасткой Active Directory Users and Computers консоли Microsoft Management Console (MMC).
Служба ADManager Plus содержит 13 типов отчетов, в том числе отчет по паролям, отчет по службе Exchange, отчет по объектам GPO, отчет по подразделениям и многие другие. Добавлены даже отчеты о соответствии различным законам, в том числе отчеты о соответствии требованиям SOX, HIPPA и PCI. Среди рассмотренных продуктов ADManager Plus обладает наиболее широким списком доступных отчетов.
NetIQ Directory and Resource Administrator
ЗА: огромные возможности в области аудита и создания отчетов; простой и продуманный интерфейс.
ПРОТИВ: управление сложнее, чем в службе ActiveRoles Server; для автоматизации внешних приложений требуется интенсивное использование сценариев.
ОЦЕНКА: 4 из 5.
ЦЕНА: 1,600 долл. за 100 пользователей
РЕКОМЕНДАЦИЯ: заслуживает внимания, если вас интересуют мощные механизмы аудита и отчетности и не смущает необходимость использовать язык VB Script для автоматизации внешних систем.
КОНТАКТНАЯ ИНФОРМАЦИЯ: NetIQ, www.netiq.com
У службы NetIQ Directory and Resource Administrator есть как веб-интерфейс для выполнения каждодневных административных задач (см. экран 3), так и отдельные инструменты для решения задач Account and Resource Management («Управление учетными записями и ресурсами») и Delegation and Configuration («Делегирование и настройка»). Как и другие продукты, рассматриваемые в данном обзоре, NetIQ Directory and Resource Administrator использует модель «чистого посредника». Другими словами, «реальные» разрешения каталога на самом деле не предоставляются младшим администраторам. Данная модель полезна в тех случаях, когда структура подразделений в вашей реализации каталога AD была настроена некорректно — в частности, если объекты, к которым нужно предоставить доступ, не сгруппированы в структуре подразделений.
Экран 3. NetIQ Directory и Resource Administrator |
Данный продукт оперирует понятием «полномочия» (powers), которое является синонимом «прав». Изначально настроено 290 полномочий, которые вы можете дополнять собственными. Несложный мастер позволит создать новое полномочие для пользователей, групп, компьютеров, контактов, подразделений и опубликованных принтеров. Например, я создал полномочие, позволяющее обновлять свойство EmailAddress для учетной записи пользователя. Полномочия в дальнейшем комбинируются для создания ролей (например, роли Help Desk Administrator). Страница администрирования данного продукта идеальна для пользователей со скромными техническими знаниями, таких как менеджеры, имеющие полномочия на сброс паролей, или даже для пользователей, имеющих полномочия на обновление персональной информации (например, должность, номера телефонов).
Еще одной особенностью продукта NetIQ Directory and Resource Administrator является механизм использования триггеров автоматизации (automation triggers). Новый триггер создается и ассоциируется с операцией UserCreate с помощью инструмента Delegation and Configuration. После этого администратор или оператор службы поддержки может использовать веб-интерфейс для создания учетных записей пользователей, настройки почтовых ящиков Exchange и других операций. Интерфейс удобен и прост в использовании.
Инструмент Delegation and Configuration позволяет осуществлять предварительную настройку службы Exchange. С помощью простого флажка вы можете выбрать поддержку одной из трех версий Exchange: Exchange 2007, Exchange 2003 и 2000. Хотя функциональность данного инструмента вполне стандартна, компания NetIQ предоставляет для всех своих клиентов бесплатный доступ к базе Knowledge Script Depot. В результате быстрого поиска по базе был найден сценарий с названием CreateMailbox_on_Specific_Store.vbs.
С помощью контейнеров ActiveView можно реализовать делегирование полномочий независимо от структуры каталога AD. Эта возможность полезна в случаях, когда текущая структура подразделений настроена некорректно или если область, полномочия на доступ к которой вы хотите передать, выходит за рамки структуры подразделений. Контейнеры ActiveView могут содержать практически любые объекты, в том числе учетные записи пользователей и компьютеров, группы, подразделения, контакты и даже такие ресурсы, как принтеры, задания печати, общие папки и службы. Благодаря динамическому характеру контейнеров ActiveView (они очень похожи на списки рассылки на основе запросов в службе Exchange) их содержимое обновляется по мере изменения домена без вмешательства администратора. Я с легкостью создал контейнер ActiveView, содержащий всех пользователей из офиса Spokane, WA. После создания контейнера ActiveView автоматически запускается новый мастер, позволяющий делегировать права на управление данным контейнером какой-либо группе.
Для создания отчета по объекту каталога AD используется инструмент Directory and Resource Administrator (а не веб-интерфейс). Данное средство позволяет опросить пользователя или группу (или любой другой объект) и сформировать отчет об изменениях, выполненных над объектом или произведенных данным объектом. Например, вы хотите узнать, кто изменил свойства группы Help Desk Administrators, не добавлены ли лишние учетные записи или какие действия выполняли члены этой группы. На мой взгляд, отчеты получаются достаточно подробные.
Quest Software ActiveRoles Server
ЗА: высоконадежное средство предварительной настройки пользователей AD; имеет возможность переносить разрешения в структуру каталога AD.
ПРОТИВ: высокая цена, труднонастраиваемый механизм отчетности.
ОЦЕНКА: 4 из 5.
ЦЕНА: 25 долл. за пользователя каталога AD; дополнительная цена на внешние подключения.
РЕКОМЕНДАЦИЯ: если вам требуется средство полной предварительной подготовки пользователя с возможностью детально управлять потоком операций, то пакет Quest ActiveRoles — лучший выбор для вас.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, www.quest.com
Если вы когда-нибудь пользовались встроенной функцией Delegate Control в оснастке Active Directory Users and Computers (см. экран 4), то при знакомстве с интерфейсом пакета ActiveRoles Server почувствуете себя как дома. Данный продукт имеет три встроенных веб-компонента: Self Service, Help Desk и Administrators.
Экран 4. Окно Quest ActiveRoles Server |
Механизм подготовки новой учетной записи пользователя в приложении ActiveRoles Server имеет самый удобный и дружественный для пользователя интерфейс среди четырех рассматриваемых продуктов. Встроенные политики отлично справятся с большей частью задач. Оставшиеся после применения политик операции, как и в случае с другими продуктами, придется выполнять с помощью сценариев. Если вы не знаете, с чего начать, продукт компании Quest имеет удобный документ Wiki, содержащий полезные сценарии, которые можно напрямую переносить в рабочую область ActiveRoles Server.
В одной компании, с которой я работал, операторам службы Help Desk не разрешалось создавать почтовые ящики службы Exchange из-за «риска создания почтового ящика не в том хранилище». Такой подход ограничивает возможности младшего персонала и расходует время старших инженеров. Политики подготовки и отзыва, реализованные в службе ActiveRoles Server, помогают разрешить подобного рода ситуации.
В случае увольнения пользователя из компании механизмы ActiveRoles Server могут выполнить все необходимые операции по настройке службы Exchange: убрать почтовый ящик из списка Global Address List (GAL), предоставить начальнику пользователя полный доступ к почтовому ящику и перенаправить все входящие письма на адрес начальника.
Данное средство по внешнему виду и поведению похоже на службу AD. При делегировании разрешений будет вызван мастер, практически идентичный оснастке Active Directory Users and Computers. Кроме того, так как по умолчанию служба ActiveRoles использует модель «посредника» (служба ActiveRoles Server управляет разрешениями, а не объектами AD), при желании вы можете синхронизировать настроенные разрешения с разрешениями каталога AD. Данная функциональность полезна в случаях, когда внешним приложениям, например базе данных системы HR, требуется доступ к объектам каталога AD.
По аналогии с контейнерами ActiveView в пакете NetIQ, в службе ActiveRoles реализованы объекты под названием Managed Unit (MU). Контейнер MU — это набор объектов, которые вы хотите администрировать совместно. Как и в примере со службой NetIQ, данная функция полезна в случаях, когда домен не настроен правильно или ваши административные задачи выходят за пределы структуры каталога AD. Например, ваша структура может представлять собой город или отдел, где определенным образом распределены учетные записи менеджеров. С помощью контейнера MU можно объединить всех менеджеров города и предоставить им право на сброс паролей пользователей.
Служба ActiveRoles Server имеет надежные механизмы предварительной настройки службы Exchange, в том числе механизмы отзыва свойств пользователей и групп. При выводе учетной записи пользователя из системы вы можете отключить учетную запись, установить имя и пароль в случайные значения, удалить учетную запись из групп безопасности и рассылки, предоставить начальнику права на работу с домашней папкой пользователя, удалить домашнюю папку, запустить сценарий удаления учетной записи сотрудника из базы данных HR (на языках PowerShell, VBScript, Jscript или PerlScript) и запланировать окончательное удаление учетной записи пользователя.
Прежде чем вы сможете задействовать систему ActiveRoles Server для создания отчетов, на сервер необходимо установить компонент Data Collector. Еще одна база данных SQL Server должна быть создана для хранения данных. Среди всех рассмотренных решений данный продукт имеет самый громоздкий процесс настройки механизмов создания отчетов. В процессе тестирования я так и не смог наладить корректную работу данных механизмов.
Выбор редактора
Рассмотренные продукты представляют собой надстройки над средствами управления каталогом AD, предоставляемыми компанией Microsoft в составе системы Windows Server. Однако, даже используя эти средства, нельзя отказываться от тщательного планирования и управления. Я часто замечал, что, если бы мне было нужно, я нашел бы способ использовать права сотрудника с Help Desk Technician для добавления его в группу Domain Administrators. Это не является недостатком рассматриваемых продуктов, однако, пользуясь ими, легко потерять бдительность.
Каждый из продуктов хорошо показал себя в работе и справился с заявленными задачами, но, с моей точки зрения, пакет ActiveRoles Server обладает небольшим преимуществом. Несмотря на то что данное приложение, как и остальные, использует модель «посредника», оно позволяет синхронизировать настроенные разрешения с исходной структурой безопасности каталога AD. Встроенные политики добавления и отзыва учетных записей пользователей экономят порядка 30 минут работы, связанной с удалением подобных данных из системы. Кроме того, пакет ActiveRoles Server имеет надежный встроенный модуль рабочего процесса Workflow. И наконец, служба ActiveRoles Server просто понравилась мне больше всех, несмотря на трудности с настройкой механизмов отчетности. Пакет NetIQ Directory and Resource Administrator занимает второе место с небольшим отставанием, и то только потому, что у службы ActiveRoles Server более продуманный интерфейс.
Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании