Werkzeuge fürs Active-Directory

Martin Kuppinger ist Autor, Berater und Analyst in Stuttgart.

Wer mittlere und grosse Active-Directory-Umgebungen verwalten muss, braucht dafür die richtigen Werkzeuge. Die Standardhilfsmittel von Microsoft stossen jedoch schnell an ihre Grenzen. Deshalb hat sich ein interessanter Markt für Erweiterungen entwickelt, die dem Administrator die tägliche Arbeit vereinfachen wollen. Für solche Tools gibt es sehr unterschiedliche Ansätze. Zwei solche verschieden gelagerte Werkzeuge traten zum Test an. Der Active-Administrator 4.04 von Script-Logic automatisiert viele administrative Aufgaben und ist insbesondere auf die Kontrolle von Änderungen im Active-Directory ausgerichtet. Von Tools-4-Ever stammt der User Management Resource Administrator in Version 7.6. Sein Ziel ist, die Verwaltung von Benutzerkonten über eine Art automatisches Skripting zu vereinfachen. Beide Tools sind, soviel sei schon vorab gesagt, nützliche Hilfsmittel für Administratoren von Microsoft-Verzeichnisdiensten.

Das Werkzeug von Script-Logic ist sicherlich das komplexere der beiden Vertreter im Test. Es erweitert die Management-Funktionen des Active-Directories und setzt dabei einige Schwerpunkte. Diese liegen bei der Überwachung von Änderungen, dem Verwalten der delegierten Sicherheit und dem optimierten Umgang mit Gruppenrichtlinien. Aber auch die Wiederherstellung von Objekten im Verzeichnis wird vereinfacht. Das sind alles Bereiche, die für Administratoren bei der täglichen Arbeit eine Herausforderung darstellen. So ist beispielsweise die Wiederherstellung von Objekten mit den Microsoft-Bordmitteln eine Aufgabe, die einiges an konzeptioneller Vorarbeit und genaue Kenntnisse des Systems erfordern.

Die Steuerung von Berechtigungen innerhalb des Active-Directories kann über so genannte Active-Templates erfolgen. Sie definieren Berechtigungen auf der Basis von Tasks. Es gibt bereits sehr viele vordefinierte Vorlagen, so dass man für die wenigsten Aufgaben zusätzliche eigene Schablonen erstellen muss. Im Vergleich zu den Ansätzen, die Microsoft im Assistenten für die delegierte Administration des Active-Directory realisiert hat, bietet das Konzept von Script-Logic wesentlich mehr Flexibilität. Das System kontrolliert dabei auch, ob auf anderem Weg Berechtigungen vergeben werden, die den über Templates gesteuerten Zugriffsrechten widersprechen. In diesem Fall können die Abweichungen automatisch korrigiert werden.

Im Bereich des Gruppenrichtlinien-Managements bietet der Active-Administrator einen breiten Funktionsumfang. Dazu gehört unter anderem eine Art Zwischenlager (Repository) für Gruppenrichtlinien, in dem diese offline gespeichert werden können. Viel wichtiger dürfte für viele Administratoren aber die History sein, die für Gruppenrichtlinien erzeugt wird. Damit lassen sich Änderungen nachvollziehen. Ausserdem wird auch die Wiederherstellung auf einen früheren Stand unterstützt.

Der Active-Administrator extrahiert viele Daten aus dem Verzeichnis, um beispielsweise Änderungen an Objekten zu erkennen und rückgängig zu machen oder eben das Repository von Gruppenrichtlinien aufzubauen. Das erklärt die Komplexität dieses Tools. Es besteht aus zwei Komponenten. Das eine ist der Server, der mit einer MSDE-Datenbank (Microsoft SQL-Server Desktop Engine) arbeitet. Das zweite ist die Konsole, über die administriert wird. Durch die Trennung der beiden Komponenten lässt sich das Produkt auch von mehreren Administratoren nutzen. Die Installation ist trotz der erforderlichen MSDE sehr einfach, weil die Datenbank automatisch mit den korrekten Einstellungen eingerichtet wird. Beim Aufsetzen lassen sich auch alle anderen Funktionen konfigurieren. Hierbei wird deutlich, dass die Herstellerin das Thema Sicherheit ernst nimmt: Alle Komponenten können mit unterschiedlichen Dienstkonten arbeiten. Die Administrationsschnittstelle ist gut gelungen und weitgehend intuitiv, selbst bei so komplexen Aufgaben wie der Wiederherstellung von Objekten oder dem Kennwortmanagement für Benutzer, die gelöscht und wieder hergestellt wurden.

Einen ganz anderen, aber ebenso wichtigen Ansatz verfolgt der User Management Resource Administrator von Tools-4-Ever. Die Anwendung lässt sich sehr einfach installieren, da es sich um ein schlankes, lokal arbeitendes Werkzeug handelt. Nach dem Start muss man zunächst ein Projekt anlegen, in dem man wiederum einen Arbeitsbereich definieren kann. Dieser wird verwendet, um eine administrative Tätigkeit im Active-Directory zu definieren.

Dazu finden sich auf der linken Seite in einem Menü Aktionen, Informationen zur Netzwerk-Infrastruktur und Felder für Masken, mit denen beispielsweise eine Eingabe durchgeführt werden kann. Mit diesen Elementen lassen sich recht einfach adminis-trative Anwendungen bauen, die intern als Skript umgesetzt werden. Eine solche Aktion kann beispielsweise daraus bestehen, ein Benutzerobjekt anzulegen, die Gruppenmitgliedschaft zu konfigurieren, Verzeichnisse zu erstellen und über eine LDAP-Session auch noch ein entsprechendes Objekt in einem anderen Verzeichnis zu erzeugen. Um einen solchen Ablauf zu erstellen, muss man nur die erforderlichen Aktionen und andere Elemente in den Arbeitsbereich ziehen und die Eigenschaften dafür festlegen. Dabei lassen sich auch Herausforderungen wie die Fehlerbehandlung einfach konfigurieren.

Auf diesem Weg kann der Administrator ebenfalls Arbeiten wie den Massenimport oder -export von Daten aus dem Active-Directory erledigen. Besonders wichtig ist aber, dass man Aufgaben auf diese Weise einfach für Operatoren vorbereiten kann. Mit dem User Management Resource Administrator lassen sich kleine Anwendungen mit einfachen Masken erstellen, die von ausgewählten Personen durchgeführt werden können. Die Ausführung erfolgt über einen Systemdienst, während der Benutzer selbst keine administrativen Berechtigungen benötigt. Damit lassen sich einzelne Aufgaben gezielt delegieren.

Ein Systemverwalter kann mit dem User Management Resource Administrator viele administrative Aufgaben mit wenig Aufwand vereinfachen. Die über 160 vordefinierten Skriptaktionen reichen für die gängigen Aufgabenstellungen aus - nicht nur im Zusammenspiel mit einem Active-Directory, sondern auch mit anderen Verzeichnisdiensten.

Beide Werkzeuge haben sich im Test als sehr hilfreich erwiesen. Funktional bestehen zwischen den Tools kaum Überlappungen, was deutlich macht, wie vielfältig die Herausforderungen bei der Active-Directory-Administration sind. Die Bordmittel der Windows-Server 2000 und 2003 reichen ebenso wenig wie die der zukünftigen Longhorn-Version aus, um alle Anforderungen der Administratoren abzudecken. Hier kommt man an ergänzenden Werkzeugen nicht vorbei. Sowohl der Active-Administrator von Script-Logic als auch der User Management Resource Administrator aus dem Hause Tools-4-Ever zeigen, was man alles beim Active Directory-Management optimieren kann.

Besonders gut gefiel im Test, dass sich die beiden Werkzeuge reibungslos installieren und nutzen lassen. Man hat also nicht noch einmal einen hohen Implementierungs- und Einarbeitungsaufwand, sondern kommt praktisch unmittelbar zu Ergebnissen. Daher sind beide Tools auch uneingeschränkt empfehlenswert - allein oder in Kombination.