Erste Schritte mit der Active Directory On-Demand-Bewertung

  • Artikel

Mit der Active Directory-Bewertung erhalten Sie eine Bewertung Ihrer Active Directory-Umgebung mit Domänencontrollern, die lokal, in Azure-VMs oder in Amazon Web Services-VMs (AWS) ausgeführt werden. Aus dieser Analyse ergibt sich eine Liste von Problemen mit Hinweisen zu deren Behebung, sowie bewährte Methoden zur Verbesserung der Leistung einer Active Directory-Infrastruktur und verschiedener Funktionen wie Anwendungsbereitstellung, Softwareupdates und Betriebssysteme. Mit den im Diensthub verfügbaren Bewertungen können Sie die Verfügbarkeit, Sicherheit und Leistung Ihrer Microsoft-Technologieinvestitionen optimieren. Diese Bewertungen verwenden die Microsoft Azure Log Analytics, das speziell zur Vereinfachung der IT- und Sicherheitsverwaltung in Ihrer Umgebung entwickelt wurde.

Diese Bewertung soll Ihnen in Schwerpunktbereichen gruppierte konkrete umsetzbare Anweisungen zum Beheben von Risiken für Ihre Active Directory-Bereitstellung und Ihre Organisation liefern.

Die Active Directory-Bewertung konzentriert sich unter anderem auf die folgenden wichtigen Aspekte:

  • Betriebliche Prozesse
  • Active Directory-Replikation
  • Standorttopologie und Subnetze
  • Namensauflösung (DNS)
  • Integrität von Domänencontrollern
  • Active Directory-Datenbank
  • Integrität von SYSVOL und Gruppenrichtlinien
  • Kontoinformationen und Tokengröße
  • Betriebssysteminformation und Netzwerk
  • Konfiguration des Windows-Zeitgebers

Ausführen der Active Directory-Bewertung

Voraussetzungen

Um den vollen Leistungsumfang der im Diensthub verfügbaren On-Demand-Bewertungen nutzen zu können, ist Folgendes erforderlich:

  1. Ein aktives Azure-Abonnement, das mit dem Diensthub verknüpft ist, sowie eine hinzugefügte AD-Bewertung Weitere Informationen entnehmen Sie dem Artikel Erste Schritte mit On-Demand-Bewertungen oder dem Anleitungsvideo.

  2. Ein Domänenkonto (Benutzerkonto oder Verwaltetes Dienstkonto) mit den folgenden Rechten:

    • Unternehmensadministrator
    • Administrativer Zugriff auf jeden Domänencontroller in der Gesamtstruktur
    • Administrativer Zugriff auf alle Microsoft Domain Name System (DNS)-Server, mit denen die Domänencontroller zusammenarbeiten
    • Administrativer Zugriff auf die Datensammelmaschine
    • Anmeldung als Batchauftrag mit Berechtigungen auf dem Datensammlungscomputer

  3. Lesen Sie die Beschreibung der Voraussetzungen für die AD-Bewertung . Dieses Dokument enthält eine ausführliche technische Dokumentation der AD-Bewertung und der zum Ausführen der Bewertung erforderlichen Vorbereitungen auf dem Server. Außerdem werden die Datentypen beschrieben, die bei der Bewertung erfasst werden.

Hinweis: Die Erstkonfiguration Ihrer Umgebung für die Durchführung einer On-Demand-Bewertung dauert im Durchschnitt zwei Stunden. Im Anschluss an die Bewertung können Sie die Daten in Azure Log Analytics überprüfen. Dort erhalten Sie eine priorisierte Liste von Empfehlungen, kategorisiert in sechs Kernbereiche. Mit diesen Empfehlungen können Sie und Ihr Team sich schnell über Risiken informieren, die Integrität der Umgebungen einschätzen, Risiken senken und die IT-Gesamtintegrität verbessern.

Einrichten der AD-Bewertung auf der Datensammelmaschine

Hinweis: Sie können die Bewertung nur dann erfolgreich einrichten, wenn Sie Ihr Azure-Abonnement mit dem Services Hub verknüpft und die AD-Bewertung über IT-Integrität -> On-Demand-Bewertungen in Services Hub hinzugefügt haben.

  1. Erstellen Sie auf der Datensammelmaschine den folgenden Ordner: „C:\OMS\AD“ (oder einen anderen Ordner außer „C:\ODA“, der bereits vom System reserviert ist).

  2. Öffnen Sie eine normale PowerShell-Instanz (nicht ISE) im Administratormodus, und führen Sie das folgende Cmdlet aus:

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. Geben Sie die Anmeldeinformationen eines Benutzerkontos ein, das die weiter oben genannten Anforderungen erfüllt.

  2. Die Datensammlung wird durch die geplante Aufgabe mit dem Namen „ADAssessment“ innerhalb von einer Stunde nach Ausführung des obigen Skripts und danach alle sieben Tage gestartet. Unter „Aufgabenplanungsbibliothek“, Ordner „Microsoft“, „Operations Management Suite“, „AOI***“, „Bewertungen“ und „ADAssessment“ können Sie die Aufgabe bearbeiten, um sie zu einem anderen Zeitpunkt oder auch sofort auszuführen.

  3. Während der Sammlung und Analyse werden Daten temporär in dem bei der Einrichtung festgelegten Arbeitsverzeichnis gespeichert.

  4. Nach einigen Stunden sind Ihre Bewertungsergebnisse in Log Analytics und in Ihrem Diensthub-Dashboard verfügbar. Sie können die Ergebnisse einsehen, indem Sie auf Services Hub -> Integrität -> Bewertungen gehen und dann in der aktiven Bewertung auf „Alle Empfehlungen anzeigen“ klicken.

  5. Wenn Sie die Probleme Ihrer AD-Umgebung mit einem autorisierten Microsoft-Experten durchgehen möchten, können Sie sich an Ihren Microsoft-Vertreter wenden und sich nach der remote oder vor Ort durchgeführten Bereitstellung durch einen CE erkundigen.

    Verträge Remote-Experte Vor-Ort-Experte
    Premier AD – Remote-Datenblatt AD – Onsite-Datenblatt
    Unified AD – Remote-Datenblatt AD – Onsite-Datenblatt