产品评论：Netwrix 身份管理套件

以下是 Netwrix Identity Management Suite 产品评论的英文翻译。这最初是由 Damir Dizdarevic 上个月在他的博客中发布的。它还发布在当地波斯尼亚和黑塞哥维那 IT 社区的 Info.ba 网站上。我们总是很高兴和自豪地看到来自海外的 IT 专业人士审查我们的解决方案并体验其价值。

产品评论：Netwrix 身份管理套件：“恰到好处”

几个月前，我们写了一篇有关 Netwrix Corporation 的 Change Reporter 工具的文章，印象非常好。让我们看看用于身份管理的 Netwrix 工具集是否共享相同的属性。

服务和用户帐户、密码及相关内容的身份和一般管理几乎是所有 AD 管理员的日常工作。这些流程的自动化通常需要购买和部署昂贵且复杂的解决方案，例如 Microsoft Forefront Identity Manager 或其他软件供应商的类似工具。或者，您可以编写并使用脚本来完成这些任务，但这样的解决方案通常很难支持，而且绝对不容易实现。这就是 Netwrix 的集成身份管理解决方案的用武之地。

Netwrix Identity Management Suite 由几个基本上独立的产品组成，可以单独或一起安装。前提条件不是特别大。您需要一台装有 Windows 2003 或更新版本（可以安装在域控制器上，但既不必要也不推荐）的成员服务器，并安装有 Web 服务器角色或 IIS .NET Framework 和 Silverlight。对于报告功能，某些工具需要 SQL Server Express/SQL Server 完整版（如果可用）。

Netwrix 密码管理器

现在让我们看看 Netwrix Identity Management Suite 是由哪些组件组成的。对我来说，最有趣的部分是 Netwrix 密码管理器。由于密码和帐户锁定问题而导致的客户支持使每个管理员或支持服务都付出了很大的代价 - Active Directory 不允许用户进行任何类型的自助服务（在自我重置忘记密码和解锁帐户方面），并且因此，所有的工作都转移到了行政方面。只有像ForeFront Identity Manager这样的产品提供了一定程度的这方面的功能，但仅仅为了实现此功能而实施FIM并不是最佳解决方案。

Netwrix 密码管理器只是为用户提供帐户和密码方面的自助服务。实施此组件后，经过适当的配置，用户将有机会通过一个非常简单的基于 Web 的界面重置自己忘记的密码或解锁锁定的帐户。在此功能可用之前，管理员必须进行一些与配置相关的操作。在管理门户中，您可以配置自助服务站点的标题和文本、设置公司徽标、支持联系信息以及指定密码要求的文档链接。

此外，还可以管理可用功能 - 用户可以启用以下一项或多项功能：重置密码、设置在下次登录时更改密码的选项、在帐户上设置“密码永不过期”选项、帐户解锁并更新现有密码（在先前的知识中）。这些单独的功能可以根据需要打开或关闭。

可能许多人会选择不允许用户在其帐户上设置“密码永不过期”等属性。不幸的是，在此版本中，您无法基于每个用户（或用户组）进行控制，因为调整管理部分的选项适用于所有自助服务用户。否则，几乎所有自助服务选项都基于挑战-响应技术和问题的预定义答案。这是一种众所周知的重置密码的技术，已在 Internet 上使用多年，但在 AD 中，从设计上来说，不支持这种技术。您可以定义总共 8 个用于此目的的问题（例如母亲的婚前姓氏、第一个宠物的名字等），但您也可以添加自己的问题或修改现有的问题。每个用户在注册过程中都必须选择自己使用的问题，并设置只有他们自己知道的答案。

管理端允许进行配置，您可以定义任何问题答案的最短长度、注册时必须设置的最小所需问题数量以及解锁该问题必须准确给出的最小响应数量。帐户并执行密码重置。此外，可以设置限制，即更多问题具有相同的响应，或者响应包含问题中提到的任何字符串。这是一个非常有用的选项，它肯定会增强整个安全系统。特别有趣的是，用户可能不仅需要定义答案，还需要定义问题。通过这种方式，我们实现了高度的安全性，但配置也相对不一致，因此建议在允许用户定义之前考虑这一点他们自己的问题。

使用自助服务门户执行的事件或操作可以通过电子邮件转发给管理员或进行审核的任何其他人。除了管理控制台和最终用户控制台之外，Netwrix Password Manager 还提供帮助台门户。顾名思义，这个门户网站是为那些在服务台工作的人准备的。在某种程度上，作为自助服务门户的替代方案，网络门户通过其界面允许支持技术人员快速有效地执行解锁锁定帐户和重置密码的任务。此外，该门户还能够快速、简单地报告通过该门户执行的操作以及在注册系统中执行此操作的客户。

或者，如果您不想引导用户访问 Web 门户来执行这些任务，您可以在客户端计算机上安装密码管理器客户端软件，以访问自助密码/帐户以通过登录屏幕进行操作。如果安装了客户端，系统会在安装客户端后首次登录时向用户提供注册信息。

整个系统的账户管理和密码功能比较简单。所有操作均在运行 Netwrix 密码管理器和门户的计算机/服务器上安装的服务上下文中执行。可以在软件安装过程中指定运行服务的帐户，并且必须授予其在重置密码和解锁以及软件文档中列出的一些附加操作方面操纵用户帐户的权利。这种方法有点手动，但它允许管理员保留对软件的完全控制。

Netwrix 帐户锁定检查器

Netwrix Account Lockout Examiner 是一个非常简单但非常有用的软件，旨在管理锁定的 AD 帐户并检查锁定用户帐户的原因。启动后，它将显示之前因某种原因被锁定的用户帐户列表，以及有关发生锁定的工作站、锁定帐户的域控制器以及更多详细信息的信息。

除了可以直接从控制台解锁帐户外，它还可以用于发现帐户被锁定的原因。这是通过运行一系列测试来完成的，其中包括测试在该帐户下运行的计划任务（以及谁可能拥有旧密码并导致锁定）、谁使用服务帐户、映射驱动器或共享此应用程序。目的是让管理员更详细地了解帐户被锁定的潜在原因（如果不是一些微不足道的原因，例如忘记密码）。还可以在锁定帐户的管理中建立一定程度的自动化，例如能够通过管理员的电子邮件将其解锁，或者在锁定发生时通过邮件通知。

Netwrix 非活动用户跟踪器和 Netwrix 密码过期通知程序

Netwrix 非活动用户跟踪器是 Netwrix 身份管理套件的一部分，可监视用户活动和帐户并相应地发送通知或采取特定操作。该工具非常有用且易于使用，可以帮助管理员处理相当常见的问题，例如 AD 中的旧帐户和剩余帐户。

您应该定义的第一个设置是自上次登录以来的天数，之后该帐户将被视为非活动状态。之后，您可以采取更多行动。例如，您可以向非活动用户的经理发送电子邮件，或者您可以自动为帐户设置随机密码、禁用帐户或将其移动到另一个 OU。最后的选择是删除该帐户。这些操作中的每一个都可以单独配置，并且可以根据自上次登录以来的天数进行调整。从技术上讲，该工具实际上读取用户帐户的最新登录属性，并根据结果使用适当的服务帐户来运行某些操作。

一个相关的工具也位于同一控制台中，它称为 Netwrix 密码过期通知程序。该组件跟踪用户帐户的最后一次密码更改，并与密码最大持续时间的设置值相关，通知管理员或用户更改密码的时间即将到来。这是一个非常简单的工具，但它完成了它的工作，并允许用户开始提前考虑新密码。

结论

最后，很难说什么，但这套工具绝对是每个 Active Directory 管理员的愿望清单上的。就像我们之前回顾的变更审计解决方案集一样，Netwrix Identity Management Suite 具有相同的属性，即易于使用和配置、最低的软件硬件要求，并且该套件的所有组件都完全符合我们的预期。乍一看，任何人都可以看到它显着改善了数字身份和帐户的整体工作。然而，应该指出的是，这些工具运行的领域非常敏感，因此了解每个工具的工作原理并控制其使用非常重要。每个用户 5.25 美元的许可费也非常合理，我们可以说它确实证明了该功能的合理性。拥有 13 年使用 Active Directory 服务的经验后，我真的可以向所有系统管理员推荐该软件。