Active Directory 评估为你提供对具有在本地、Azure VM 或 Amazon Web Services (AWS) VM 上运行的域控制器的 Active Directory 环境的评估。 生成的分析结果列出了要解决的问题,以及可提升 Active Directory 基础设施性能的修正指导和最佳做法,同时还列出了部署应用程序、软件更新和操作系统等功能。 评估通过 Services Hub 提供,有助于优化 Microsoft 技术投资的可用性、安全性和性能。 这些评估使用 Microsoft Azure Log Analytics,其设计用于在环境中提供简化的 IT 和安全管理。
此评估旨在为你提供在重点领域中分组的特定可操作指南,以缓解 Active Directory 和组织的风险。
Active Directory 评估侧重于几个关键支柱,包括:
- 操作流程
- Active Directory 复制
- 站点拓扑和子网
- 名称解析 (DNS)
- 域控制器运行状况
- Active Directory 数据库
- SYSVOL 和组策略运行状况
- 帐户信息和令牌大小
- 操作系统信息和网络
- Windows 时间配置
运行 Active Directory 评估
先决条件
为了充分利用通过服务中心提供的按需评估,你必须:
具有以下权限的域帐户(用户或“托管服务帐户”):
- 企业管理员
- 对林中每个域控制器的管理访问权限
- 对域控制器参与的所有 Microsoft 域名系统 (DNS) 服务器的管理访问权限
- 数据收集计算机上的管理访问权限
- 以数据收集计算机上的批处理作业权限登录
请查看 AD 评估的先决条件文档。 此文档从技术角度详细说明了 AD 评估,以及运行评估所需的服务器准备。 此外,它还介绍了评估收集的不同类型数据。
备注:一般而言,初始配置环境以运行按需评估需要两个小时。 运行评估后,可以在 Azure Log Analytics 中查看数据。 这将为你提供按优先级排序的建议列表,分为六个重点领域。 这使你和你的团队能够快速了解风险级别、环境的运行状况,采取措施来降低风险并改善整体的 IT 运行状况。
在数据收集计算机上设置 AD 评估
备注:只有在将 Azure 订阅关联到 Services Hub,并在 Services Hub 内的“IT 运行状况”->“按需评估”中添加了 AD 评估后,才能成功设置评估。
在数据收集计算机上创建以下文件夹:C:\OMS\AD(或除 C:\ODA 之外由系统保留的任何其他文件夹)
在“管理员”模式下,打开常规 Powershell(而非 ISE),并运行以下 cmdlet:
Add-ADAssessmentTask -WorkingDirectory <Directory> -LogAnalyticsWorkspaceId <WorkspaceID>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
提供符合本文前述要求的相应用户帐户凭据
数据收集由名为 ADAssessment 的计划任务在上一脚本运行一小时内触发,然后每 7 天触发一次。 可以将任务修改为在其他日期/时间运行,甚至可以强制任务立即运行,具体方法是依次转到任务计划程序库、“Microsoft 文件夹”、“Operations Management Suite”、“AOI***”、“评估”、“ADAssessment”。
在收集和分析期间,数据临时存储在安装期间配置的工作目录文件夹下。
几小时后,评估结果便会显示在 Log Analytics 和服务中心仪表板上。 可以导航查看结果,具体方法为依次转到“Services Hub”->“运行状况”->“评估”,然后针对有效评估选择“查看所有建议”。
如果希望让 Microsoft 认证工程师与你一起讨论有关 AD 环境的问题,可以联系你的 Microsoft 代表,询问他们有关远程或现场 CE 领导交付的问题。
| 协议 | 远程工程师 | 现场工程师 |
|---|---|---|
| 顶级 | AD 远程数据表 | AD 现场数据表 |
| Unified | AD 远程数据表 | AD 现场数据表 |