Verwalter der Richtlinien
AD-Policy-Administration-Suites – Network Computing testete sechs AD-Policy-Administrations- und -Erweiterungsprodukte von drei Herstellern auf ihre Fähigkeiten, die Lücken zu füllen, die Microsofts ursprüngliche AD-Administrations-Werkzeuge offen lassen.
Produkte für diesen Vergleichstest auszuwählen, war schwierig, denn es gibt keine Produkt-Suites, die sich um sämtliche AD-Problemchen kümmern. Nachdem aber entschieden war, welcher grundsätzlichen Kategorie die zu testenden Produkte angehören sollten – Gruppenrichtlinien-Management und Gruppenrichtlinien-Erweiterungen –, erschienen einige geeignete Produkte auf dem Radarschirm.
Hersteller von AD-Produkten sind unter anderem Centrify, Configuresoft, Desktopstandard, Fullarmor, Netiq, Quest Software, Scriptlogic, Special Operations Software und Symantec Bindview. Drei der Angebote bedienen jedoch nur Nischenmärkte: Special Operation Softwares Specops-Deploy 3.1 erweitert die Software-Deployment-Aspekte der AD-Gruppenrichtlinien, Centrifys Directcontrol 2.0 integriert Unix-, Linux-, Mac-OS- und Java-Plattformen mit AD, und Fullarmors Policyportal 1.0 erweitert Gruppenrichtlinien auf Windows-Maschinen außerhalb von AD. Alle drei Produkte haben ihren Platz, jedoch nicht im Vergleichstest.
Die restlichen Hersteller wurden eingeladen, am Test teilzunehmen. Desktopstandard, Netiq und Quest akzeptierten. Bindview lehnte ab mit der Begründung, erst kürzlich von Symantec übernommen worden zu sein. Scriptlogic sagte ab, weil eine neue Version ihres Produkts kurz vor der Freigabe stand. Configuresoft lehnte ohne Angabe eines Grunds ab.
Alle Hersteller, die die Einladung annahmen, offerieren separate Produkte für Gruppenrichtlinien-Änderungs-Management und Gruppenrichtlinien-Erweiterungen. Getestet wurden jeweils beide Produkte.
Einschnappen
Die getesteten Gruppenrichtlinien-Management-Produkte, Desktopstandards »GPOVault Enterprise« (GPO-Vault), Netiqs Group-Policy-Administrator und Quests Group-Policy-Administrator, haben einige Features gemeinsam. Alle drei sind so entworfen, dass sich mehrere Clients mit den Server-Komponenten der Produkte verbinden können. Die Client-Komponenten sind jeweils MMC-Snap-ins. Jedes Produkt nutzt ein Repository zum Speichern von GPOs offline beziehungsweise außerhalb der Produktions-AD-Umgebung, die Speicherstandorte unterscheiden sich aber. Quest bietet das flexibelste Produkt und erlaubt, das Repository in SQL-Server, MSDE, AD, Adam (Active-Directory-Application-Mode) oder in einem UNC-Pfad abzulegen. Das Produkt von Netiq speichert das Repository lediglich in SQL-Server oder MSDE, und das Repository von GPO-Vault lässt sich nur in einem UNC-Pfad oder im lokalen Dateisystem installieren.
GPOs lassen sich unabhängig von der Live-AD-Umgebung und ohne Test-Domäne edieren, sichern und in einigen Fällen auch organisieren. Für ein vollständiges GPO-Lifecycle-Management wendet jedes Produkt Änderungskontroll- und Management-Prinzipien auf das jeweilige Repository an. Mehrere Versionen eines GPOs lassen sich im Repository speichern. In der Praxis sind die Unterschiede zwischen Repository-Versionen und Live-GPOs leicht erkennbar – das ist nützlich, wenn ein Administrator herausfinden muss, wer wann was geändert hat. Jedes der getesteten Produkte besitzt diese Fähigkeit, aber das von Quest ist das robusteste. Quest erlaubt nicht nur Versionsvergleiche, sondern bietet auch Filter und Sortierfunktionen für die Änderungshistorie eines GPO.
Alle Produkte besitzen eingebaute AD-integrierte Sicherheit, die Administratoren ermöglicht, Repository-GPOs so zu konfigurieren, dass nur spezifische Benutzer, Gruppen oder Rollen GPOs erzeugen, ändern oder publizieren dürfen.
Leider erlaubt keines der Produkte, die GPOs anhand individueller Richtlinieneinstellungen zu durchsuchen. Schon immer war es problematisch festzustellen, welche der 1600 Richtlinieneinstellungen tatsächlich mit einem gegebenen PBO konfiguriert sind. In großen Organisationen mit mehreren Dutzend GPOs über mehrere Domänen gleicht das dem Finden der Nadel im TCP/IP-Stack. Keines der Produkte enthält eine Sucheinrichtung, die substanziell besser ist als das, was ohnehin schon in Microsofts Group-Policy-Management-Konsole enthalten ist. Quests Produkt enthält zwar ein interessantes Werkzeug für die Suche mit individuellen Richtlinieneinstellungen, aber dies ist leider nur für die Vorlagenerzeugung zu gebrauchen.
Eine interessante Frage ist, was mit den korrespondierenden GPOs geschieht, wenn der Administrator ihnen den Teppich unter den Füßen wegzieht und ein Live-GPO ändert. Alle getesteten Produkte lassen den Verwalter Vergleiche anstellen zwischen einem Live-GPO und der aktuellsten Repository-Version, aber nur GPO-Vault speichert automatisch Live-Änderungen in der Repository-Historie. Dann stoppt aber auch dieses Produkt, womit ein Abgleich der beiden Versionen auf der Strecke bleibt. Das Resultat: Eine Neuverteilung des Repository-GPO überschreibt die neue Version wieder.
Für Erweiterungen der Gruppenrichtlinien auf der Client-Seite sind Desktopstandards »PolicyMaker Standard + Application Security Bundle« (fortan kurz Policy-Maker genannt), Quests Group-Policy-Extensions und Netiqs »IntelliPolicy« geeignet. Mit diesen Produkten kann der Administrator Gruppenrichtlinien nutzen, um Netzwerktreiber und -drucker, Dateien, Ordner, Verknüpfungen, Powermanagement-Einstellungen, Registry-Einstellungen und lokale Gruppenmitgliedschaften zu verteilen. Die Angebote von Desktopstandard und Netiq enthalten Funktionen zum Erhöhen oder Einschränken von Benutzerprivilegien für die Ausführung von Applikationen. Office-Einstellungen könnten mit den Produkten von Desktopstandard und Quest verteilt werden. Alle Produkte filtern Erweiterungen innerhalb der Reichweite des GPO. Das ist nützlich, wenn die Einstellung beispielsweise nur für eine spezifische Betriebssystem-Version gelten soll.
Der Preis wurde mit 20 Prozent gewichtet. Dem liegt der Gedanke zu Grunde, dass diese Werkzeuge der IT zwar das Leben erleichtern, sie aber einen nur minimal messbaren Gesamteffekt haben und deshalb bezahlbar sein sollten.
Quest erhielt eine perfekte 5 für den Preis, denn in der Testkonfiguration betrugen die Kosten pro PC exakt die Hälfte dessen, was der nächste Wettbewerber verlangt. Desktopstandards Preis war der höchste, aber das liegt an einer teuren Sicherheitserweiterung, an der die Mitbewerber nicht kratzen können. Diese Erweiterung sorgte auch für eine gute Report-Card-Bewertung. Aber selbst ohne Application-Security-Plug-in wäre Desktopstandards Policy-Maker das beste Erweiterungsprodukt im Test gewesen. Wer könnte die zusätzliche Sicherheit brauchen? Organisationen, die ihre Desktops nach dem Prinzip der geringsten Privilegien betreiben, können davon profitieren.
Quest Software Group Policy Manager 2.5 und Extensions 2.0.1
Quests Group-Policy-Manager besitzt unter den getesteten Produkten die meisten Features. Selbst die Server-Konfiguration bietet Optionen. Der Administrator kann hier beispielsweise wählen, ob das Produkt das Versionskontrollsystem in AD, Adam, SQL-Server/MSDE oder auf einem Netzwerklaufwerk speichert. Möchte der Verwalter den Speicherort später einmal ändern, kann er dies leicht direkt in der Applikation tun.
Group-Policy-Manager hat auch die detailliertesten Arbeitsfluss-, Benachrichtigungs- und Sicherheitsmodelle. Damit lässt sich das GPO-Versionskontrollsystem sehr gut anpassen. Natürlich bringt solche Feinheit häufig Konfigurationskomplexität mit sich. Die Einrichtung eines vollständigen Sicherheits- und Benachrichtigungsmodells kann Zeit brauchen.
GPOs organisiert der Administrator im Versionskontroll-Repository in logische Container und Subcontainer. Sicherheits- und Benachrichtigungseinstellungen lassen sich dann auf einen Container einstellen, womit alle GPOs in diesem Container die Einstellungen erben. Die Benachrichtigungseinstellungen sind wie die auf Rollen basierende Delegation sehr feinkörnig konfigurierbar. Benachrichtigungen sind für jeden Schritt im Arbeitsfluss einstellbar. Beim Test des Arbeitsflussaspekts fiel auf, dass jede Änderung des Repositorys eine Bestätigung verlangt, selbst wenn ein Repository-Administrator sie durchführt. Die beiden anderen getesteten Produkte verlangten Bestätigungen nur beim Check-in oder bei der Live-Verteilung. Damit zu einem enttäuschenden Aspekt aller Produkte: Jedes besitzt sein eigenes, »fest kodiertes« und nicht modifizierbares Arbeitsfluss-Modell. Benachrichtigungen und Rollen lassen sich ändern, aber wie jede Aktion heißt und welche Aktionen Bestätigungen erfordern, lässt sich nicht modifizieren.
Group-Policy-Manager kommt wie die anderen Werkzeuge mit eingebauten Sicherheitsrollen für triviale Aktivitäten, beispielsweise das Edieren, Bestätigen und Linken von GPOs. Aber Quests Produkt bietet dem Administrator auch die Möglichkeit, eigene Sicherheitsrollen zu definieren. Im Test wurde beispielsweise die benutzerdefinierte Rolle »Creator-Approver« erzeugt und einer AD-Sicherheitsgruppe zugeordnet. Diese Gruppe durfte Repository-GPOs erzeugen und bestätigen, nicht aber edieren. Solches ist nützlich in großen Single-Domain-AD-Installationen mit mehreren Administratoren, wo ein formaler Änderungsbestätigungsprozess die tatsächlichen Änderungen in AD koordiniert. Diese Sicherheitsfunktionalität lässt sich zwar in den anderen Produkten duplizieren, aber nur Quest erlaubt, dieser Rolle einen Namen zu geben. Der Name erleichtert das Verständnis und die Wiederverwendung.
Die in Quests Group-Policy-Manager enthaltene Vorlagenfunktionalität ist die beste unter den getesteten Produkten. Vorlagen lassen sich erzeugen und edieren, ohne dass zuerst das GPO erzeugt werden muss. Das Vorlagen-Repository- und Sicherheitsmodell liegt in seinem eigenen Bereich des Versionskontrollsystems, womit es leicht ist, den Vorlagen eine separate Sammlung von Sicherheitsberechtigungen zuzuweisen. Jedem GPO können mehrere Vorlagen zugewiesen werden. Gibt es einen Einstellungskonflikt zwischen der Vorlage und dem GPO, dann überschreibt die Vorlage die existierende GPO-Einstellung. Auf Wunsch liefert das Produkt einen Bericht, der die Einstellungen der Vorlage mit den Einstellungen des GPO vergleicht. Damit ist es einfach, Vorlagen neu zuzuweisen, um die neuen Einstellungen durchzusetzen oder Richtlinieneinstellungen anderer Administratoren zurückzusetzen.
Quests Group-Policy-Extensions-Produkt arbeitete ein wenig anders als die beiden anderen Testkandidaten. Statt im Group-Policy-Object-Editor (GPOE) eine Reihe von Einstellungen anzubieten, werden Quests Erweiterungen mit Hilfe von Vorlagen verteilt. Dafür ist zunächst eine Referenz-Arbeitsstation einzurichten und mit den zu verteilenden Einstellungen, Druckerzuordnungen und Verknüpfungen zu konfigurieren. Der Template-Capture-Wizard sammelt dann diese Einstellungen in einer Vorlage, die der Administrator schließlich in den GPO-Editor importiert. Der Gesamtprozess ist nicht so schlecht, wie es klingt, und der Vorlageneditor erlaubt dem Verwalter, zurückzugehen und spezifische Einstellungen zu modifizieren. Die Verteilung von Richtlinieneinstellungen für eine bestimmte Erweiterung ist ein Alles-oder-nichts-Unterfangen. Beispielsweise ist es nicht möglich, eine Einstellung zu verteilen, die das File-Sharing ausschaltet, ohne sämtliche Explorer-Ordneroptionen zu verteilen. Das ist der größte Haken an diesem Produkt.
DesktopStandard GPOVault Enterprise 2.2 und PolicyMaker 2.5 + Application Security Bundle
Gruppenrichtlinien-Management-Produkte sind dazu gedacht, die Lücken zu füllen, die Microsofts Werkzeuge, beispielsweise GPMC, offen lassen. Statt nun aber wie die anderen getesteten Produkte das Rad neu zu erfinden, fügt Desktopstandard GPMC einfach ein Plug-in hinzu, um die fehlende Funktionalität zu ergänzen. Das Resultat? GPO-Vault ist eng in GPMC integriert – kennen sich Administratoren bereits gut mit GPMC aus, werden sie schnell warm werden mit GPO-Vault. Die Idee ist gut und bedeutet eine Benutzungsschnittstelle weniger, andererseits ist das Produkt damit aber durch GPMC ein wenig limitiert.
GPO-Vault besitzt ein strukturiertes Arbeitsfluss-System mit definierten Benachrichtigungen für gegebene Aufgaben, beispielsweise das Erzeugen, Verteilen oder Löschen. Benachrichtigt wird aber nur die Reviewer-Rolle. Administratoren erhalten also keine Benachrichtigung, wenn ein Benutzer ein GPO auscheckt. Alle Benachrichtigungen werden zur selben Gruppe von Benutzern gesendet. Das Versionskontrollsystem besitzt eingebaute Intelligenz. Ein Beispiel: Erzeugt ein Administrator ein Repository-GPO, braucht er diese Änderung nicht zu bestätigen. GPO-Vault enthält auch einen Recycling-Korb – ein Feature, das die anderen Produkte nicht haben. Das fügt der Löschoperation eine weitere Redundanz hinzu und ist nützlich, wenn mehrere Verwalter mit dem Produkt arbeiten.
Unter den drei getesteten Gruppenrichtlinien-Erweiterungsprodukten ist Desktopstandards Policy-Maker-Standard-/Application-Security-Bundel das mit Abstand teuerste Produkt. Dafür ist es aber auch das robusteste und mit den meisten Features ausgestattet.
Es bietet alle Richtlinieneinstellungs-Erweiterungen, die typischerweise in der Windows-Systemsteuerung zu finden sind, darunter Drucker, Ordneroptionen, Power-Optionen, geplante Aufgaben, Internet-Optionen und Mail-Profile. Alle diese Dinge werden so dargestellt, wie sie in den korrespondierenden Windows-Systemsteuerung-Applets erscheinen würden. Das vereinfacht die Konfiguration der Einstellungen natürlich ungemein. Die Verwendung einer Schnittstelle zur direkten Manipulation für diese Aufgabe führt aber auch zu einem Problem: Es gibt Einstellungen, die ein Administrator im Dialog konfigurieren möchte, und andere, bei denen die Gruppenrichtlinien sich den Standardeinstellungen der Arbeitsstationen fügen sollen. Policy-Maker löst dieses Problem elegant mit seinem Eigenschaften-Unterstreichen-Feature. Ist die Eigenschaft im Dialog grün unterstrichen, betrachtet das Programm sie als eingeschaltet und setzt sie im GPO durch; ist die Eigenschaft rot unterstrichen, gilt sie als ausgeschaltet und wird ignoriert. Jede im Dialog unterstrichene Eigenschaft lässt sich individuell umschalten. Das Set kann aber auch als Ganzes ein- und ausgeschaltet werden.
Das Application-Security-Produkt erlaubt dem Administrator, Gruppenrichtlinien zu verwenden, um bestimmte Applikationen mit höheren oder verminderten Privilegien auszuführen. Zwar lässt sich mit Netiqs Intellipolicy das Gleiche erreichen, aber Desktopstandard benötigt für diese Aufgabe weder ein zweites Konto, noch den Windows-Ausführen-als-Dienst. Stattdessen wird beim Programmstart das Security-Token der Applikation modifiziert. Das kann nun wieder ein Problem sein, denn einige Sicherheitsprodukte suchen spezifisch nach diesem Verhalten und blocken es. Im Test gab es mit McAfee-EPO 8.0 und Windows-Defender (Beta) allerdings keine Schwierigkeiten. Diese Methode bietet höhere Flexibilität im Sicherheitsmodell und erlaubt, dem Security-Token eine beliebige Anzahl von Gruppen hinzuzufügen oder zu entfernen.
Nicht nur Dateien lassen sich mit dem Applikations-Sicherheits-Produkt aufs Korn nehmen, sondern auch komplette Ordner, SHA1-Hashes von Programmen, MSI-Installationen und selbst Active-X-Installationen. Als Hilfe für Active-X-Installationen enthält das Produkt eine Richtlinieneinstellung, die, falls sie eingeschaltet ist, einen Dialog anzeigt, der die richtigen Active-X-Installationseinstellungen enthält. Dies gilt für den Fall, dass ein Benutzer eine Web-Site besucht, die eine Control erfordert, für die der Benutzer keine Berechtigung hat. Die Informationen der Dialogbox können zum Administrator gesendet werden, der sie dann einem GPO hinzufügt, das dem Benutzer erlaubt, die Control zu installieren.
NetIQ Group Policy Administrator 4.6 & FullArmor IntelliPolicy 1.5.1
Group-Policy-Administrator stellt unter den getesteten Produkten die größten Systemanforderungen. Es verlangt wenigstens IIS 5.0 und Microsoft-SQL-Server/MSDE auf dem Server. Im Test war bei der Einrichtung der Konsole auf ein paar administrativen Arbeitsstationen ebenfalls MSDE zu installieren, obwohl eine Verbindung zur zentralen Datenbank bestand.
Das Produkt ist als vollständiger Ersatz für GPMC entworfen. Die administrative Konsole bildet die Features von Microsofts natürlichen Werkzeugen nach und verbessert sie in verschiedenen Fällen. Der GP-Explorer dient zur Administration von Live-GPOs und kopiert viel der GPMC-Funktionalität. Das GP-Repository ist das Werkzeug für Offline-GP-Versionskontrolle und -Management.
Im Vergleich mit den beiden anderen Produkten besitzt Group-Policy-Administrator ein paar einmalige Qualitäten, aber einige Schlüssel-Features fehlen. Das E-Mail-Benachrichtigungssystem ist so gut wie das von Quest. Für jeden Benutzer, für jedes Objekt und für jede Operation lassen sich Benachrichtigungen einrichten. Dass alle Benachrichtigungen auf dem selben Bildschirm verwaltbar sind, ist bequem. Netiqs Produkt erlaubte als einziges, das Repository-GPO innerhalb desselben Konsolenfensters zu edieren, ohne dass Microsofts Gruppenrichtlinien-Editor geöffnet werden muss.
Das spart Zeit und hilft, das bearbeitete GPO im Kontext mit seinem Platz im Repository zu halten. Ein gutes Feature ist der GPO-Health-Check, der überprüft, ob das GPO in Active-Directory, der Sysvol-Ordner und die korrespondierenden Sicherheitseinstellungen mit den Informationen im Repository konsistent sind. Da das Repository eine Kopie des AD-Inhalts enthält, kann der Administrator bei einer Inkonsistenz jederzeit die Repository-Version oder eine frühere Version des GPO neu verteilen. Dem GP-Administrator fehlen einige Schlüssel-Features, so die Fähigkeit, die GPO-Historie zu sortieren und zu filtern, Vorlagen zu erzeugen und Repository-GPOs Label hinzuzufügen. Repository-Benutzer können zwar bei der Durchführung von Operationen mit GPOs Kommentare hinzufügen, diese sind in der GPO-Historie jedoch nur individuell zu betrachten.
Die GPO-Historie lässt sich nicht nach Benutzer oder Datum sortieren, und einem GPO kann ein Kommentar nur dann hinzugefügt werden, wenn das GPO zuvor ausgecheckt wird. Der größte Nachteil ist, dass das Produkt kein Vorlagen-Feature enthält. Damit ist es nicht möglich, beispielsweise Richtlinieneinstellungen für Windows-Firewalls, Software-Verteilungen oder Windows-Server-Update-Dienste in ein Paket zu packen, um damit anderen Administratoren zu helfen.
Das Intellipolicy-Produkt erlaubt ähnlich wie Policy-Maker die Konfiguration von Erweiterungen im Gruppenrichtlinien-Objekt-Editor. Filter für die Ausdehnung sind ebenfalls vorhanden. Intellipolicy besitzt zwar nicht so viele Richtlinieneinstellungen wie die Mitbewerber – beispielsweise fehlen Startmenü- und Ordnerkonfigurationsoptionen –, aber es zieht mit Quest gleich, indem es ebenfalls die Ausführung von Applikationen mit höheren oder beschnittenen Privilegien gestattet.
Im GPO eingeschaltete Erweiterungen der Client-Seite verlängern die Verarbeitungszeit einer Richtlinienaktualisierung ganz bemerkenswert. Das ist der Hauptgrund dafür, dass die getesteten Gruppenrichtlinien-Erweiterungs-Produkte irgendeine Art Filter enthalten. Intellipolicy besitzt die Fähigkeit, Richtlinienerweiterungen in Kategorien zu verteilen. Administratoren können dann Filter für diese Kategorien anwenden. Solche Features tragen dazu bei, die Anzahl verteilter GPOs niedrig zu halten, was natürlich die GPO-Aktualisierungszeit verbessert.
Fazit
Jedes der getesteten Produkte erhöht die Funktionalität der Gruppenrichtlinien, und alle erreichten respektable Ergebnisse. Quests GP-Management-Applikation ist die beste, aber bei den Erweiterungen kommt kein Produkt an Desktopstandard heran.
Warum also nicht das Management von Quest und die Erweiterungen von Desktopstandard kaufen? Nun, die zwei Produkte spielen nicht gut zusammen, hauptsächlich deshalb nicht, weil Quests Produkt die Erweiterungen von Desktopstandard nicht erkennt. Unsere Empfehlung: Wird lediglich Änderungsmanagement benötigt, dann Quest. Werden aber Erweiterungen gebraucht, dann besser zu Desktopstandard greifen. Wer beides benötigt, sollte ebenfalls Desktopstandard wählen.
Es geht darum, dass das Änderungsmanagementprodukt die Erweiterungen versteht. Und warum sollte ein Hersteller von Produkten beider Kategorien helfen, das Produkt eines Konkurrenten zu verkaufen? Wir verstehen diese Situation, brauchen sie deshalb aber nicht zu mögen. Aus diesem Grund gibt es diesmal keine »Referenz«, denn keiner der Hersteller bediente beide Kategorien gut genug.
dj@networkcomputing.de
