运维有小邓

  用户帐户创建 是一个冗长的过程，涉及各种配置。这样一个令人厌烦的手动过程自然容易出错，尤其是在批量创建用户帐户时。用户配置过程中的错误将导致沮丧的用户致电服务台请求访问资源的权限、添加到适当的组、更新缺少的配置文件详细信息等。 为什么通过管理中心配置用户效率低下。 尽管  Microsoft 365  管理中心允许管理员批量创建用户帐户，但它仍然涉及使用多个属性填充 CSV 文件的繁琐工作，其中大多数属性的值对于具有给定条件的所有用户帐户都是相同的。例如，办公地址；特定部门的经理；为名称、国家、邮政编码等分配的角色是静态字段。 当它们可以自动填充时，为什么要浪费时间输入冗余值？为了帮助 Office 365 用户完成这一壮举，以及现有的批量管理和自动化功能，ManageEngine 为 M365 Manager Plus 添加了基于模板的管理功能，这是一个全面的 Office 365 管理解决方案。 如何使用 Office 365 创建模板优化批量对象创建 M365 Manager Plus 的创建模板附带 Office 365 用户、组和联系人创建所需的所有属性。使用这些模板，您可以： 预定义值：借助创建模板，IT 管理员可以标准化和预定义某些用户和邮箱设置，例如命名格式、邮箱存储限制、办公地址、邮箱权限、许可证类型等。这同样适用于组和联系人创建模板。 从单个窗口执行多个操作：典型的用户、邮箱或任何 Office 365 对象创建过程涉及要在多个窗口下执行的多个操作。这些操作的范围从基本配置文件创建到授予权限和配置安全设置。管理模板通过在单个窗口中执行所有必需的操作来简化这个多窗口过程。 自动化  Office 365管理 ： 使用管理模板，同时 通过 M365 Manager Plus创建自动化策略。这加快了您的管理流程，因为模板带有预定义的值，并且自动化策略在指定的时间间隔运行，无需任何人工干预。 M365 Manager Plus 的优势 管理模板减轻了 IT 管理员的一些负担，再加上自动化，它们使 Office 365 对象的创建过程几乎没有错误。您可以 下载 M365 Manager Plus 的 30 天免费试用版，亲自了解管理模板的工作原理，并探索此工具提供的...

  Active Directory 帮助台指派和管理在Microsoft WindowsActive Directory管理流程中有突出的表现。随着组织成长，网络、附加资源、系统维护和管理任务也以相同的步伐增长。IT部门变得更难以及时、无误和有效地管理整个Active directory，因而使‘Active Directory任务指派’变得至关重要。利用本机Active Directory工具，指派成为了另一个繁琐和麻烦的任务。 Active Directory 随着组织成长，网络、附加资源、系统维护和管理任务也以相同的步伐增长。IT部门变得更难以及时、无误和有效地管理整个Active directory，因而使‘Active Directory任务指派’变得至关重要。利用本机Active Directory工具，指派成为了另一个繁琐和麻烦的任务。Active Directory管理和支持任务。它让 AD域管理 员能够将任务指派给非管理用户（例如，帮助台技术员或前线行政人员），并具有适合的 身份验证 和授权控制，可极大地减轻AD管理员的工作负担。因而，这个易用的Active Directory实用工具可帮助节省大量时间、成本和精力。 Active directory任务指派 在生产环境中，active directory管理员花费非常多的时间处理与 密码重置 、解锁用户、重命名用户、移动计算机/用户、修改一般属性等相关的问题。虽然这些active directory活动很简单，但是要消耗大量时间。 ADManager Plus 的帮助台指派是一个完全安全的功能，可帮助非管理用户处理这些简单的AD任务，而无需管理员参与这个过程。 ADManager Plus 如需查明此工具的指派功能如何帮助您减轻过重的负担，请免费下载试用版，免费试用所有功能一个月。 基于组织单位的指派：基于组织单位的管理让管理员可以指派范围限定于特定组织单位的任务，即帮助台用户可执行归属于Active Directory中的已分配组织单位范围内的指派活动（例如，重置密码、管理远程用户登录权限、终端服务属性等），让这种指派完全安全。这样确保不会产生安全问题且指派顺畅执行。 基于组织单位的指派 基于组的指派：除了对各单独的AD用户指派帮助台角色外，您还可以将角色指派给AD组。将角色指派给AD...

  为了帮助我们的客户充分利用我们的广告产品，我们想制作一个博客系列，介绍我们产品被低估的功能。 在这篇文章中，我们讨论了  ADManager Plus  的三个未充分利用的功能，以及组织如何通过使用它们来改进远程 AD 管理。 1)  Active Directory  组织单元 (OU) 管理 2) 活动目录自动化 3)  Exchange  Server 中的远程邮箱创建 1. Active Directory 组织单元（OU）管理 Active Directory (AD) 中的组织单位主要用于在用户、组和计算机上应用组策略对象。在配置或修改 OU 期间发生的任何错误都可能危及整个 AD 环境的功能和安全性。但是，AD 并不便于管理 OU。对于任何修改或应用程序，管理员必须打开本机 AD 控制台，在域中找到 OU，然后执行所需的操作。 最重要的是，当必须将更改复制到多个 OU 时，管理员必须为每个 OU 重复该过程，从而使过程变得平凡且容易出错。或者，他们可以使用 Powershell 脚本批量应用更改；但是，这需要丰富的编码经验。 凭借其用于创建、修改或删除 OU 的预定义功能，ADManager Plus 简化了 OU 管理。 使用 ADManager Plus，管理员可以： 使用 OU 模板为 OU 配置相关设置 使用 Web UI 创建具有所需设置和值的单个或多个 OU 轻松修改、移动或删除 OU。 2. Active Directory 自动化 从用户配置到用户取消配置，AD 任务至关重要，但重复且耗时。为了在 WFH 期间减轻 AD 管理员的工作，ADManager Plus 可以轻松自动化关键的 AD 任务。 ADManager Plus 允许管理员通过以下方式快速完成工作： 审查受控自动化的审批工作流程。 自动化和模板控制的用户配置。 借助预先构建的操作，自动化用户帐户管理。 ADManager Plus  3. Exchange Server 中的远程邮箱创建 在Exchange Server 中批量创建远程邮箱时，本机 AD 工具帮助不大，PowerShell 脚本极其复杂。 使用 ADManager Plus，您可以轻松地在 Exchange Server ...

  用户登录到其域计算机是在任何企业都会发生的日常活动。一开始，这看起来可能是一个简单的 Active Directory 事件，但分配有不同角色的管理员可将这个宝贵的数据用于各种审核、合规和操作需求。企业需要有关“ AD用户登录日志 ”的审核详情以满足以下一个或多个操作需求。 验证给定审核间隔/每个月的员工缺勤/出勤。 确定在给定时刻可以访问Active Directory网络的用户总数。 找到通过远程网络计算机访问工作站或域控制器的用户。 确定域中所有用户的峰值登录次数。 查看是谁最后登录到关键域计算机。 确定是否有任何用户（不法之徒）正尝试登录到他/她并不具备权限的计算机。（例如：Active Directory中的域控制器登录/成员服务器登录将需要提升权限。） 查看域中任何用户的完整登录历史，即当您怀疑可疑的员工以及计算机、组和员工在任职期间管理、访问或修改的其他用户帐户等Active Directory域对象时要有证据。 除了列出来的这些项，Active Directory网络中还有更多实际需求需要有关域 帐户登录 的审核信息。 ADAudit Plus 帐户登录报表可方便地用于克服帐户登录审核挑战。它提供许多实时的预配置报表，这些报表以所需的格式提供有关登录审核问题的答案并增强Active Directory审核体验。自定义报表工具让该软件更受欢迎，例如，可以定义任何登录操作并作为报表来查看。 用户登录日志 为什么本机Active Directory被认为不足以进行 用户登录审核 ？ 每个‘AD登录日志’都会连续记录在Active Directory域控制器(DC)的安全日志中。此数据记录在本机Active Directory域控制器中 需要具备专门知识才能理解，因为它涉及对特定事件编号的理解及其与登录操作的关联。 数量庞大 - Active Directory对象上的每个登录活动连续记录在域控制器中，此事件日志数据累积为巨量的数据。 限制访问 - 域控制器是Active Directory基础设施的关键组件，仅限所选的管理用户访问。 本机Active Directory的其他限制包括：审核员、经理和人力资源职员等非管理用户无法跟踪任何所需的登录操作。有些关键登录事件（例如，登录到域控制器或成员服务器）需要立即发出即时告警或持续监控。虽然此关键信...

  安全组决定或破坏您的 IT 安全。组成员身份负责您网络中的 管理访问权限 ，并定义对您域中其他特权资源和数据的访问权限。有没有想过一个简单的组成员配置错误如何导致安全事件？本博客详细阐述了可能导致网络中敏感数据损坏的最常见错误配置或安全漏洞。 组和成员的剖析 在安全性方面， Active Directory  和 Azure AD 中的组成员身份被严重低估。成员资格通常由管理员、帮助台和部门经理修改。 以下是在 AD 或 Azure 中错误配置组成员身份的各种方式。 1、嵌套和间接组成员身份 将一个组添加为另一个组的成员称为嵌套。例如，可以将一个或多个安全组添加到管理员组。尽管对此 Admin Group 的更改受到持续监控，但如果不监视对 Nested Group 的更改，它仍然可能导致安全漏洞。 恶意内部人员或外部攻击者可以轻松地将成员添加到嵌套或间接组并获得对敏感数据的访问权限，因为嵌套组是管理组的一部分。为了克服这一挑战，企业应采用零信任策略，仅向用户授予所需级别的访问权限。 在我们研究组可能被错误配置的各种其他方式之前，让我们看一下如何在 AD 中审核组成员资格更改。 在AD 中启用所需的审核策略以审核组成员身份后，您的 AD 域中任何类型的组的任何成员身份更改都将被审核并记录在域控制器 (DC) 上 Windows 事件查看器的安全选项卡中。 但是，监视组的更改并不是那么简单，因为 AD 域上的所有其他安全更改（例如权限、文件和文件夹的更改以及登录和注销活动）都被转储到同一位置（即事件查看器的安全选项卡） ）。我们必须使用表示组修改更改的相应事件 ID 来查看所有这些安全事件。 根据组的范围和执行的操作、 组的创建、权限更改和成员资格更改记录不同的事件和 ID，这使得对组更改进行排序非常繁琐和耗时。 2、组不仅仅是安全组 安全组是唯一可以规定对资源的访问权限的组，但 AD 和 Azure 中还有各种其他类型的组可以授予对其他网络资源的访问权限。 跨 DC 和通用组的安全组：如果您拥有多 DC 环境，那么您可能已经知道这些组。有默认的管理员组，如 DNSadmins、域管理员和企业管理员，允许用户管理 AD 域的各种组件。通用组使您能够定义角色或管理跨越多个域的资源。 其他平台组： 由第三方服务创建的任何组都可以指定对该服务的访问。例...

  获取有关谁更改了哪个文件或文件夹、何时和从何处跨越Windows文件服务器、故障转移集群、NetApp和EMC环境的信息。 Windows文件服务器 一、获得对每一个变化的实时可见性 ① 审核文件更改 持续跟踪每个文件更改谁在什么时间，什么地点，什么位置更改文件失败。 ②保持数据访问权限的标签。 监视器文件夹所有者和权限更改，和获取权限前后值的信息。 ③跨多个平台的审计 跟踪跨Windows文件服务器、故障转移集群、NetApp过滤器、EMCVNX、VNXe、Isilon、Celerra和Unity的更改。 ④监视本地文件的更改 审核Windows环境中跨计算机对系统、程序和其他文件的更改。 监视本地文件的更改 二、密切监视文件和文件夹。 ①检测以前未发现的异常。 利用 ADAuditPlus 的机器学习能力来发现不寻常的文件更改和在不寻常的时间发生的更改。 ②立即发现未经授权的更改 通过电子邮件和短信通知关键文件和文件夹的更改。 定义检测质量变化事件的阈值限制。 ③自动对违规行为作出反应。 执行脚本以自动化响应操作，例如一旦触发警报，关闭设备。 ④ 遵守合规要求 对每一个变化都进行全面的审计跟踪，并满足SOX、HIPAA、PCIDSS、GDPR、FISMA和GLBA的要求。 遵守合规要求 三、轻松地监视文件和文件夹的更改 获得对每一个变化的实时可见性 密切监视文件和文件夹 知道每个变化背后的谁，什么，什么时候，以及在哪里。 跟踪对文件和文件夹进行更改的成功和失败尝试。 当阈值被突破时，通过电子邮件和短信获得通知；执行脚本以自动响应。 定义阈值以发现大规模变化事件 知道每个变化背后的谁，什么，什么时候，以及在哪里。 跟踪对文件和文件夹进行更改的成功和失败尝试。 当阈值被突破时，通过电子邮件和短信获得通知；执行脚本以自动响应。。 定义阈值以发现大规模变化事件 当阈值被突破时，通过电子邮件和短信获得通知；执行脚本以自动响应。。 定义阈值以发现大规模变化事件 监视文件 四、文件更改监控的其他关键功能： 配置多个域进行审核。 通过输入任何属性值执行快速搜索。 获取审计数据的图形表示，以便于监控。 将报告导出为多种格式，包括PDF、XLS、CSV和HTML。 在预定的时间间隔内自动生成和发送报告。 排除文件和文件夹不受基于属性（即它们的位置）的监视。

  创建包含整个员工执行批量操作所需的所有属性的  CSV  文件 不仅耗时，而且通常容易出错。除此之外， Active Directory  (AD)  的本机  LDAP  查询界面对用户不是很友好。 那么市场中哪类软件能更好的解决该类问题呢？ 不要再犹豫了 —— ManageEngine  提供了许多 IT 运维 工具来帮助您提高工作效率。 问：为什么要利用这些工具？ 答：帮助您消除繁重的工作。 CSV  生成器工具 手动准备具有全面属性数组的  CSV  文件以执行批量操作可能很困难。 ManageEngine  的  CSV  生成器工具是一个免费工具，可以帮助您进行有效的  Active Directory 管理 。此工具采用仅包含  sAMAccountName  的简单  CSV  文件，并生成包含用户指定属性和相应  Active Directory  值的自定义数组的详细  CSV  文件。 活动目录查询工具 当您需要来自  Active Directory  的数据时，通常您通过提供  LDAP  查询来获取它。但是，默认的  LDAP  查询界面很复杂，对用户不友好。 ManageEngine  的  AD Query Tool  提供了一个易于使用的  GUI ，用于从简单的界面查询  Microsoft Active Directory 。  AD域查询工具先决条件： 用户需要具备基本的  LDAP  脚本知识。 该工具必须有权访问使用  LDAP  查询的域。 AD 域 查询工具的优势： 帮助用户搜索域用户和域对象。 查询  AD域并显示域内用户电子邮件数据的直观报表。 以易于阅读的格式显示域中用户的电子邮件数据。 易于安装并开始查询您的广告。 帮助用户查询  AD 域 以获取组和计算机对象的详细信息。 允许用户选择要为任何通用 ...

  在域控制器   (DC) 之间复制信息，识别分配给  Active Directory  (AD域) 环境中域控制器的角色，并使用以下免费工具根据您需要的参数监控域控制器。 当您拥有多个  DC 时，通常使用复制来确保信息在所有 DC 之间同步。当您在一个 DC 中进行与安全相关的更改时，您需要确保该更改也复制到其他 DC 上。 现在，您可以等待计划的复制发生，也可以立即手动复制更改。通常建议您尽快复制与安全相关的更改。  ManageEngine  ADManager Plus  的 Active Directory Replication Manager 是一个免费工具，它使 IT 管理员能够强制复制域或整个林中的数据。此 PowerShell cmdlet 工具可以启用两个 DC 之间的数据复制，并生成有关上次复制 AD域数据的综合报告。 使用  AD域复制管理器，您可以： 在域或整个林中手动复制AD域数据。 在选定的数据中心之间复制数据，确保数据中心之间的数据一致性。 跨所有连接、邻居和分区生成有关上次复制的信息列表。 域和域控制器角色报告器 DC 角色的识别有助于 IT 管理员充分利用其服务器。ManageEngine ADManager Plus 的域和域控制器角色报告器是一款免费工具，可帮助列出域中的 DC 及其对应角色，所有这些都在一个易于查看的列表中。此工具还可以识别 DC 的任何关联角色。   此工具是  ManageEngine ADManager Plus 的另一个重要免费工具，可帮助 IT 管理员自动发现域并显示各种重要详细信息，例如： CPU 利用率 磁盘利用率 内存利用率 每秒页面读取次数 每秒页面写入次数 每秒页面错误 每秒输入页数 每秒输出页数 文件写入 处理计数 中断时间 DC Monitor 可以在一个易于查看的窗口中显示所有上述参数。 查看我们全套  20 种免费 Active Directory 工具，以帮助您管理 AD域环境。

  用户登录报告提供 Active Directory 用户帐户的登录信息，即用户轻松登录到Windows网络的日期和时间。此信息很重要，可供网络管理员跟踪AD用户在Active Directory环境中的活动，还可找出特定时期内未登录过的所有用户、列出所有远程 用户登录 、监测用户的最后一次真实登录时间，包括执行某些任务（例如批量删除或清理不活动或已禁用用户、更改允许的登录时间等）时的登录日期和登录时间。Microsoft Windows Active Directory的本机工具、PowerShell等未提供多个域的最后一次真实登录信息，因为任一个域控制器可能都验证了用户登录，而‘登录数据’不会在它们之间复制。 Active Directory ADManager Plus 是一个可消除报表复杂性的软件，让Active Directory管理员可以通过其Active Directory用户登录报表监测用户的登录和注销活动。提取出的登录信息是同步数据，可通过联系不同的域控制器和服务器同时获取。用户登录报表包含与 用户的登录/注销 有关的详情，例如在过去‘n’天未登录的用户、最后一次登录域控制器的用户、最后一次真实登录时间等。 ADManager Plus ADManager Plus提供以下用户登录报表，包含网络中的用户的最新登录详情： 不活动用户报表 最近登录过的用户报表 从未登录过的用户报表 用户最后一次真实登录时间报表 基于登录小时数的用户报表 已启用登录的用户报表 这些Windows 2000/2003最后登录报表的生成和导出也可以实现自动化，通过从您组织的Active Directory设置中提取准确的用户登录信息增强企业的管理。由于ADManager Plus基于Web，您可使用它执行远程Active Directory管理和报表。使用此软件免费下载的30天试用版详细探索这些报表如何帮助您更好地管理用户账户。 用户登录报表 不活动用户报表 管理员需要定期找出在指定时间范围内不活动的Active Directory用户。AD不活动用户列表根据用户的最后一次登录时间来确定。扫描所有已配置的域控制器的最后登录时间以确保数据准确。了解如何删除、禁用、移动和启用不活动用户。 最近登录过的用户报表（用户的登录时间） 最近登录过的用户报表提供有关在过去‘n’...