威海职业学院 赵永华

毋庸赘言，活动目录AD（Active Directory）是 系统架构中的关键组件。在准许访问应用程序数据之前，所有业务应用程序都要通过AD 进行身份验证，而且要防止关键业务应用程序意外停机。

例如，内部应用程序正在处理100 个身份验证请求时，若域控制器未及时响应来自应用程序的身份验证请求，则可能导致业务丢失。

同样，当网管希望尽快将AD 站点中创建的更改复制到所有其他AD 站点时，最大的问题是如何进行检查。

为此，管理员可以通过编写PowerShell 脚本来检查AD 组件。当然，也可以采用一些殊途同归的管理工具。

AD 风险在哪？

近年来，AD 运行风险日益被重视，为此不少大型机构都开始采用多项认证标准例如SOX、PCI、HIPPA 以及GDPR 等，而有关AD 风险管理的工具产品也纷纷问世。一些已决定迁移到云的公司机构，必须考虑AD 运行状况和风险评估检查，包括检查过时的用户帐户，禁用的用户和计算机帐户以及任何不能复制的孤立对象。

同样，如果决定在云中实施域控制器，则必须检查复制以确保其正常运行。

在对产品环境进行任何重大更改之前，也应该对所有AD 组件执行全面检查。有些重大更改依赖于AD 基础结构和对象，执行检查当然也是为确保AD 正常运行。

另外，当公司进行重组合并时，往往需要将AD 林合并，为此有必要在合并之前对AD运行状况执行检查。

AD 风险怎样检控

目前市场上有多种工具可以检查AD，例如微软ADRAP Engagement 和Office 365 IT 运行状况和风险扫描程序。但并非所有工具都可以对AD 林执行完整的运行状况和风险评估。某些工具虽然找不到AD 检查功能，但也能够发现隐藏的问题。当然，管理员也可以通过PowerShell 脚本程序完成检查工作。

其实，我们可以使用PowerShell 脚本检查Active Directory 的每个组件，为此需要知道要运行状况检查的相关组件。

例如，我们在检查AD 林复制状态时，可能会忘记检查AD 的其他组件，例如组策略，AD 站点等。虽然PowerShell 用于AD 组件的检查命令非常全面，但要设计一个对AD 进行彻查的PowerShell 脚本并不容易，很可能需要数月时间。

例如，使用以下PowerShell 命令可以检查AD 站点中的复制状态：

Get-ADReplication Failure -scope SITE-target Seattle | FT Server,FirstFailureTime,FailureClount,LastError,Partner -AUTO

微软产品ADRAP 旨在为客户提供AD 风险评估计划。ADRAP 程序涵盖了在AD 环境中执行的所有检查，还生成了有关该工具发现的问题的报告。虽然ADRAP 程序可以使用AD 快照工具发现所有AD 存在的问题，但它非常昂贵，并且只能用于单个Active Directory 林。如果有多个AD 林，则需要为每个AD 林付费。而且ADRAP 工具有效期只有一年。

市场上还有一款名为O365 IT Health and Risk Scanner 的产品值得关注。O365 IT 扫描程序旨在对您的Microsoft 生态系统执行完整的运行状况检查，包括Active Directory，Hyper-V、Microsoft Exchange、SQL服务器、Microsoft Azure、Office 365 等。该产品可以执行完整的Active Directory 运行状况和风险检查，并提供问题和建议来解决问题。

O365 IT Health and Risk Scanner 的一个优点是产品的动态性，它允许管理员创建与任何技术相关的健康检查。O365 IT 健康和风险扫描仪产品正成为IT 管理员，IT 架构师和托管服务提供商的首选，您可以通过单击技术标签添加您选择的运行状况检查，然后创建评估配置文件。

O365 IT 运行状况和风险扫描程序的另一个显著特性是有助于在AD 环境中查找关键和高健康问题和风险，通过使用委派加载项委派运行状况和风险评估任务，能够安排动态包，并能够快速生成风险和健康评估报告，并能够根据客户需要执行自定义报告。