Удобный инструмент для анализа базы данных службы каталога

Перевод организации с Windows NT Server 4.0 или Novell Directory Services (NDS) на Windows Server 2003 или Windows 2000 Server — процесс нелегкий. Помимо непосредственных задач миграции, администратору приходится ломать голову над особенностями специализированных инструментов управления разнообразными сетевыми каталогами. Кроме NT 4.0 и NDS, организация может располагать службой каталогов от независимого поставщика. Каким образом можно получить полную картину всех каталогов и объектов?

Sunbelt Directory Inspector 1.5 компании Sunbelt Software — новый инструмент, с помощью которого можно проанализировать различные каталоги организации и составить исчерпывающие отчеты об их структуре, уровне безопасности, целостности и соответствии политикам. Компания Sunbelt существует давно, в прошлом она занималась переориентацией и перепродажей продуктов, исполняя функции распространителя полезных программ. Мне было любопытно познакомиться с Directory Inspector — одним из первых инструментов, разработанных специалистами компании самостоятельно.

Инспекция каталогов

Из единой консоли Directory Inspector можно направлять запросы в сетевые каталоги как в чистых средах Windows, так и на смешанных платформах. Из консоли Directory Inspector можно увидеть все каталоги, не прибегая к специальным инструментам для работы с сетевыми каталогами, например, оснастке Active Directory Users and Computers консоли Microsoft Management Console (MMC) или утилите ConsoleOne компании Novell. Чтобы предотвратить несанкционированный доступ, в консоли Directory Inspector используются уже назначенные каталогам разрешения.

Процедура установки Directory Inspector с помощью мастера довольно проста. Мне потребовалось лишь загрузить программу из Web-узла компании и пройти по трем экранам мастера.

Следующий шаг — ввод в Directory Inspector информации об источниках каталогов. Directory Inspector может составить полное или частичное представление множества каталогов, в том числе службы каталогов NT 4.0 Active Directory (AD), NDS, IBM SecureWay и iPlanet компании Sun Microsystems. Directory Inspector может взаимодействовать с любыми LDAP-совместимыми источниками каталогов (например, iPlanet фирмы Sun Microsystems), но его функции подготовки расширенных отчетов к этим источникам неприменимы.

Затем пользователь указывает, какие контейнеры внутри каталогов следует просмотреть. Администраторы службы каталога могут увидеть всю иерархию, но нередко имеет смысл ограничить поле обзора, подготовив список источников каталогов, называемый Directory Profile. Например, администратор больницы, ответственный за учетные записи медсестер (Nurses) как в AD, так и в NDS, может создать Directory Profile, в котором объединены только окна организационной единицы (OU) Nurses в AD и Nurses OU в NDS. На экране 1 показано, как выбрать контейнеры, из которых извлекаются данные для профиля.

Directory Inspector не направляет прямых запросов в Directory Profile. Вместо этого программа импортирует необходимые данные в Directory Inspector и хранит их в зашифрованных файлах. Когда Directory Profile строится впервые, мастер Sunbelt Directory Inspector Wizard спрашивает, следует ли добавить данный Directory Profile к списку профилей, чьи сведения импортируются регулярно, и нужно ли импортировать информацию данного профиля немедленно (экран 2). С помощью отдельной утилиты планирования Directory Importer можно указать периодичность импорта данных профилей.

Экран 2. Создание профиля в Sunbelt Directory Inspector Wizard

Получение данных из каталогов-источников может занять некоторое время. Например, мне потребовалось пять минут, чтобы импортировать данные из тестового каталога, содержащего менее 1000 пользователей. После того как импорт данных из источников каталогов завершен, можно приступать к подготовке отчетов.

Отчеты

Среди шаблонов отчетов Directory Inspector есть элементарные, полезные и такие, которые будут использоваться лишь изредка. Существует две основные категории отчетов: Directory Analysis и Forensics/Discovery. К первой категории относится множество базовых отчетов, таких как Duplicate User Names (дублированные имена пользователей), Inactive User Accounts (неактивные учетные записи пользователей) и User Account Usage (применение учетных записей пользователей). Организации часто стараются вводить стандартные имена пользователей и компьютеров. Один из отчетов предназначен для отслеживания объектов с некорректными именами, но на моих тестах была выполнена лишь проверка длины (в символах) таких атрибутов, как имя учетной записи.

Отчеты раздела Forensics/Discovery обеспечивают углубленный анализ объектов, соответствующих определенным критериям. Например, можно отыскать все учетные записи, в имени которых есть слово temp. С помощью других отчетов данной категории можно составить списки пользователей по группам и расположению каталогов и графически отобразить взаимосвязи между организационными единицами AD.

Хотя эти примеры отчетов не производят сильного впечатления, большое достоинство Directory Inspector — возможность собирать данные от различных служб каталогов. Затем на основании данных из отчетов можно исправить или удалить некорректные группы или учетные записи.

Некоторые отчеты содержат данные в формате Crystal Reports компании Crystal Decisions; отчеты можно распечатать непосредственно на принтере или экспортировать в файлах хорошо известных типов, в том числе Microsoft Excel, PDF и HTML. Из некоторых отчетов можно получить более детальное низкоуровневое представление информации об объектах, использовав для этого интерфейс в стиле Windows Explorer. Часть отчетов содержит диаграммы. Например, на экране 3 показана схема расположения всех учетных записей пользователей в домене.

Экран 3. Графический отчет о местоположении учетной записи user

Часто по пользовательскому интерфейсу Directory Inspector бывает неудобно перемещаться. Это не оснастка MMC, поэтому программу было труднее интегрировать с набором привычных инструментов. Иногда не сразу удается отыскать нужный отчет. В ветвистом, с иерархической структурой, интерфейсе мастера пользователю приходится перемещаться в поисках задания или отчета. Я бы предпочел интерфейс с закладками, которые можно выбрать на любом этапе работы. В интерфейсе выбора объектов каталогов для анализа нельзя увидеть весь путь к контейнеру в профиле, поэтому трудно уточнить запросы о нужной службе каталогов. Directory Inspector располагает альтернативным интерфейсом — Expert, но в нем отыскать атрибуты и запустить нужные отчеты тоже нелегко. Недостатки интерфейса в версии 1.x неизбежны; надеюсь, в будущих версиях найти необходимые данные и отчеты будет проще.

Службы каталогов спроектированы с тем расчетом, чтобы упростить запросы. Администраторы могут составлять собственные сценарии, совместимые с LDAP и ADSI (Microsoft Active Directory Services Interface — интерфейс служб Active Directory), и собирать те же данные, которые предоставляет Directory Inspector. Однако у сотрудников большинства организаций нет времени, чтобы подготовить специальные отчеты, которые генерирует Directory Inspector. Я рекомендую протестировать программу на предприятии, чтобы выяснить, будут ли отчеты достаточно эффективны, чтобы оправдать сравнительно небольшие затраты на приобретение продукта.


SUNBELT DIRECTORY INSPECTOR 1.5

Контактная информация: Sunbelt Software
http://www.sunbelt-software.com
Цена: 495 долл. для каждой административной консоли плюс 25% рекомендуемой изготовителем цены продукта за обслуживание в течение года.
Краткие характеристики
Достоинства: генерирует отчеты об AD и других каталогах LDAP.
Недостатки: иногда бывает трудно отыскать нужный отчет; не всегда удобно перемещаться по интерфейсу пользователя.