Active Directory 的七个主要问题

Microsoft Active Directory (AD) 是一种可靠、可扩展的解决方案，用于在 Windows 环境中管理用户、资源和身份验证。然而，与任何软件工具一样，它也有难以克服的局限性。以下是 Active Directory 面临的七大挑战以及解决这些挑战的一些选项：

挑战#1。 Active Directory 依赖于 Windows Server。

尽管 Active Directory 符合轻量级目录访问协议 (LDAP)，但 LDAP 规范还有许多增强、扩展和解释。软件供应商有时会选择实现 Active Directory 不支持的 LDAP 可选方面，因此在 AD 环境中使用他们的产品很困难。例如，技术上可以在Unix上实现Kerberos，然后与Active Directory建立信任，但过程很困难，而且经常出错。因此，许多组织被迫将自己限制在基于 Windows 的系统上。

挑战#2。 高许可和维护成本。

Microsoft 对作为 Active Directory 基础的 Windows Server 操作系统使用客户端访问许可证 (CAL)。自 Windows Server 2016 起，微软转向按内核许可：现在，配备两个处理器（每个处理器有 8 个内核）的服务器起价为 6,156 美元；如果使用 16 核处理器，成本会加倍。这可能很难接受，特别是考虑到 Open LDAP 和 ApacheDS 都是免费的。

挑战＃3。 不方便的日志记录和审计。

Active Directory 中的许多内容都需要适当的日志记录、监视和分析。例如，您需要能够掌握 AD 对象和组策略的严重错误和更改，因为它们会影响性能和安全性。但 AD 日志本质上是非常技术性的，找到所需的数据需要繁琐的手动搜索和过滤或高级的 PowerShell 脚本编写技能。同样，警报和报告只能通过复杂的 PowerShell 脚本和任务计划程序的组合来实现。每个事件日志的上限为 4GB，这可能会导致日志快速覆盖和重要事件丢失。最后，PowerShell搜索引擎已经过时，性能较差；例如，每次您读取按时间过滤的记录时，它都会按记录顺序读取整个事件日志，直到找到您请求的记录。这迫使公司集成 SIEM 和 Active Directory 审核解决方案，以简化日志存储和分析过程，将资金花在本来可以包含在 AD 设计中的内容上。

挑战#4。 AD崩溃导致网络宕机。

当您的AD离线时，您会遇到以下问题：

• 一旦身份验证会话到期（通常在几个小时内），用户将与文件共享断开连接。
• 依赖 Active Directory 身份验证的软件或硬件（例如 IIS 站点和 VPN 服务器）将不允许人们登录。根据设置，它将立即踢出当前用户或保留现有会话直至注销。
• 用户将能够登录他们最近使用的计算机，因为他们将拥有缓存的密码或身份验证票证。但是，以前未使用过特定 PC 或上次使用该 PC 很久以前的任何人都将无法登录，直到与 DC 的连接恢复为止。最终，没有人能够使用域帐户登录，因为缓存的身份验证将在几个小时内过期。
• Active Directory 服务器通常扮演 DNS 和 DHCP 服务器的角色。在这种情况下，当 AD 离线时，计算机将无法访问互联网，甚至本地网络本身。

为了避免这些问题，最佳实践建议至少有两个具有故障转移功能的 Active Directory DC。这样，如果其中一台出现故障，您只需在其上重新安装 Windows Server，将其设置为现有域中的新 DC，然后将所有内容复制回来，根本不需要停机。然而，这确实会产生额外的硬件和 AD 许可费用。

挑战＃5。 AD很容易被黑客攻击。

由于 Active Directory 是最流行的目录服务，因此有很多技术和策略可以破解它。由于它无法位于 DMZ 中，因此 AD 服务器通常具有互联网连接，这使攻击者有机会远程获取您王国的密钥。一个特别的弱点是 Active Directory 使用具有对称加密架构的 Kerberos 身份验证协议；微软已经修复了许多漏洞，但新的漏洞仍在不断被发现和利用。

挑战#6。 AD缺乏GUI管理能力。

Microsoft 将多个实用程序与 AD 捆绑在一起，例如 Active Directory 用户和计算机 (ADUC) 和组策略管理控制台 (GPMC)，以帮助组织管理目录中的数据和策略，但这些工具非常有限。例如，批量插入对象参数需要PowerShell脚本；没有警报；并且报告仅限于导出到 .txt 文件。 AD 委派功能也受到限制，因此组织经常诉诸于拆分域来创建管理访问边界，这会创建管理起来很麻烦的目录基础设施。为了解决这些问题，组织通常使用第三方解决方案，使他们能够批量管理 AD，并以比本机 AD 工具更精细的方式控制谁可以管理什么。这使他们能够更好地控制身份和对象访问管理以及帐户管理。第三方 AD 管理工具可以自动执行帐户、组和组策略的创建、删除、修改操作，并帮助进行帐户锁定调查。

挑战#7。 AD 不为最终用户提供自助服务门户。

允许用户自己执行某些操作通常是有意义的，例如编辑自己的个人资料以及在忘记密码时重置密码。然而，Active Directory 需要对这些操作进行管理访问，因此员工被迫致电 IT 帮助台来解决他们的小问题，这会延迟业务工作流程并增加帮助台成本。所有这些问题都可以通过额外的自助管理工具来解决，但这是预算中的另一个项目，除了您已经支付的 AD 费用之外。

Active Directory 是一个很棒的工具，尽管进展缓慢，但它仍在不断发展。如果您想将 Active Directory 集成到您的环境中，请注意您将在其上花费很大一部分预算，如果您想要更好的 AD 管理和报告功能，甚至更多。显然，系统管理员可以编写自定义脚本或程序来解决本机工具的缺点，并使用微软或其他方提供的脚本接口和框架来自动化和改进AD管理。然而，编写、维护和运行脚本以及通过其输出获取可操作的情报需要高级技能和大量时间，这可能导致对严重安全问题的响应延迟。当然，您仍然受到基本 AD 限制，例如日志文件覆盖和缺乏委派。周转。

因此，许多组织转向第三方解决方案来改进和自动化 AD 审核、管理和报告。寻找一种能够提供整个基础设施可见性的解决方案，不仅包括 AD，还包括 Exchange、文件服务器和 SharePoint，并且还与 SIEM 以及 Unix 和 Linux 系统集成。确保它使您能够以比本机 AD 工具更精细的方式控制谁可以管理什么，并自动执行有关帐户、组和组策略的创建、删除、修改的操作。如果解决方案提供自助服务功能，则可添加奖励积分。当然，还要确保它可以捕获完整的审计跟踪并将其存储多年，以支持安全调查并遵守监管要求。