NetIQ DRA 8.0 im Praxistest
Active Directory leicht verwaltet
Das Active Directory (AD) ist als zentrale Datenbank zur Benutzerkontenverwaltung ein sehr wichtiges Element der Windows-Infrastruktur. Um den Umgang damit zu vereinfachen, liefern diverse Dritthersteller Verwaltungswerkzeuge. Dazu zählt auch der Attachmate-Geschäftsbereich NetIQ, dessen Directory & Resource Administrator (DRA) nun in Version 8.0 erschienen ist.
DRA von Attachmate/NetIQ ist ein Werkzeug zur Bearbeitung der Inhalte des Active Directorys und
weiterer Ressourcen. Es bietet Funktionen zum Betrachten, Kontrollieren, Konfigurieren, Verwalten
und Delegieren von Benutzerrechten sowie das Starten von Betriebssystemaufgaben. Damit zielt die
Lösung auf eine vereinfachte und flexiblere AD-Bearbeitung. An weiteren Ressourcen kennt DRA zum
Beispiel die Verzeichnisfreigaben des Dateisystems, Betriebssystemdienste, Druckerobjekte, lokale
SAM-Objekte und Exchange-Mailboxen. Hinterlegt werden all diese Verwaltungsinformationen des DRAs
in einer dem Active Directory vorgeschalteten Datenbank.
Die Architektur des Werkzeugs unterscheidet mehrere Module: Der DRA Administration Server stellt
das Herzstück der Lösung dar. Er trägt die Softwarebausteine zur Verwaltung der Rechte, der
Policies und der Automatismen. Die DRA Clients bilden die Bedienkonsole ab, die auf dem
Administration Server oder auch anderen Geräten im Netzwerk liegen darf.
Compliance gefordert
Im DRA-Handbuch sind immer wieder Hinweise auf Compliance – also die gesetzeskonforme Abwicklung
von IT-Aufgaben – zu lesen. Darunter fällt beispielsweise die Nachverfolgbarkeit von Änderungen,
die Dokumentation, wer welche Rechte im System besitzt, besaß oder diese geändert hat. In
Umgebungen mit solchen Anforderungen kann der DRA seine Vorteile am besten ausspielen. Um
Compliance-Regeln einhalten zu können, muss ein Unternehmen alle dazu notwendigen Inhalte
speichern. Folglich ist der Weg, den NetIQ hier mit einem vorgeschalteten SQL-Server geht, sicher
richtig und unumgänglich.
Für den Test installierten wir den DRA 8.0 Administration Server zusammen mit der Bedienkonsole
und den Reporting-Komponenten auf einem Server mit Windows 2003. Die Setup-Routine der vom
Hersteller gelieferten CD bietet zu Beginn mehrere Optionen: einen "Product Review and Trial Guide"
mit Handbüchern und den Hinweisen zu den Systemanforderungen, eine Option zum Prüfen der aktuellen
Version sowie das eigentliche Setup. Als Systemanforderungen für den Administration Server weist
das Handbuch einen Pentium mit 3,45 MHz, 384 MByte RAM sowie 400 MByte Festplattenplatz aus.
Softwareseitig wird laut Handbuch verlangt: Windows 2000 Server mit Service-Pack 3 oder später,
Win-dows Server 2003 mit SP1 oder Windows Server 2003 R2. Ferner ist der Internet Explorer ab der
Version 5.0 mit Active Scripting erforderlich. Für den DRA Client sind softwareseitig die gleichen
Anforderungen genannt. Bezüglich der Hardware sollten laut Handbuch allerdings 128 MByte RAM
ausreichen. Eingebettet in den Installationsablauf ist die anfängliche Überprüfung der
Systemvoraussetzungen. Im Testfall fehlte das Dotnet Framework 1.1. Dieses liegt aber auf der
Installations-CD und lässt sich beim Setup mit einrichten. Als Datenbasis kann die Access 2000
Runtime oder der SQL Server zum Einsatz kommen. Im Test arbeiteten wir mit dem SQL Server.
Nach dem Start präsentiert sich der DRA in einem modernen, an die Microsoft-Gepflogenheiten
angelehnten Stil. Im Test erwies sich die Bedienoberfläche als robust, Fehler traten nicht auf. Die
Konsole ist als MMC-Snap-in (Microsoft Management Console) ausgeführt. Im linken Fenster findet
sich eine hierarchische Übersicht, in der Mitte sind die Details zum jeweiligen Verwaltungspunkt
eingeblendet, und im rechten Fenster offeriert das Tool immer eine kontextsensitive Hilfe, um
Fragen zu klären. Die gesamte Dokumentation wie auch die Onlinehilfen sind allerdings nur in
englischer Sprache verfügbar.
Verteiltes AD-Management
Das Werkzeug bietet alle Vorkehrungen, um Änderungen am Active Directory auch von
unterschiedlichen Administratoren zu verwalten und gezielt zusammenzuführen. Dazu baut NetIQ auf
die erwähnte Datenbank. Erst nach der Freigabe von Änderungen überspielt das Tool diese zum AD. Bis
dahin bleiben diese lediglich Änderungsvorschläge, die keine Auswirkung auf das aktive System
haben.
Problematisch sind in der Praxis mitunter Änderungen am Active Directory durch unterschiedliche
Personen an möglicherweise unterschiedlichen Standorten. Existieren hier keine klaren Regelungen
über Änderungen und ihr Zusammenspiel samt der Aktivierungsreihenfolge, führt dies nicht selten zu
instabilen Zuständen. In diesen Fällen führt die IT-Abteilung oft einen mehrstufigen
Änderungsprozess ein. Dabei erfolgt eine endgültige Freigabe der Änderungen im Active Directory
durch eine dritte Person, einen überwachenden Administrator, der die Kontrolle über die Änderungen
hat. Die Verteilung der gesamten Verwaltungsaufgaben auf viele unterschiedliche Rollen oder
Personen ist ein zentrales Element des DRA.
In unserem Labortest operierten wir daher mit mehreren unterschiedlichen
Administrationsberechtigungen. Dabei ermöglichte es uns das Tool, eine feine Abstufung von
Funkti-onen, Rollen, Berechtigungen und Aufgaben vorzunehmen.
Die oberste Hierarchiestufe im linken Verwaltungsfenster zeigt den prinzipiellen Aufbau und
Funktionsumfang des Werkzeugs. Hier findet sich eine vierstufige Gliederung:
Delegationsmanagement: Hier erfolgt die Verwaltung der Rechte und deren
Delegation an Systembetreuer oder den Helpdesk.
Policy- und Automationsmanagement: Dies dient der generellen
Richtlinienverwaltung, zum Beispiel zur Länge von Rechnernamen oder der Erzeugung von
Stammverzeichnissen. Automatismen, die sich ebenfalls hier festlegen lassen, unterstützen diese
Aktionen.
Konfigurationsmanagement: Darunter fällt die Konfiguration von Serversystemen
und Domänen. Ferner sind hier weitere Hilfen, eigene Tools oder spezielle Verwaltungsoberflächen
und -masken für Systemverwalter mit begrenzten Rechten (Assistant Admins) zu definieren. Dies
können die Mitarbeiter des Helpdesks oder auch Subunternehmer mit eingeschränkten Rechten sein.
Account- und Ressourcenmanagement: Hier erfolgt die Verwaltung der
Berechtigungen (Accounts, Credentials) und aller Ressourcen innerhalb des Active Directorys und der
Windows-Domänen. Eine Besonderheit stellt dabei der Papierkorb dar: Er nimmt, analog jenem des
Dateisystems, gelöschte Objekte wie Berechtigungen, Kontaktdaten und Computer Accounts auf.
Unterstützung durch Wizards
Eine Vielzahl von Assistenten (Wizards) unterstützt die Durchführung der Aufgaben in den vier
Blöcken. Die Wizards fragen alle relevanten Parameter in einer Sequenz von Verwaltungsdialogen ab.
Assistenten existieren beispielsweise für die Verwaltung der Delegation von
Administrationsaufgaben, die Erstellung von Reports für das Auditing, die Verwaltung von
Richtlinien oder die Erzeugung von Automatismen wie Skripten und ihre Zuweisung. Im Test stellten
wir die Funktionen zur Delegation von Rechten und dem Erstellen von Policies nach. Des Weiteren
prüften wir die Freigabeverfahren und das Reporting.
Beim Delegationsmanagement erfolgt, wie schon angerissen, die Zuweisung von Verwaltungsrechten
an Benutzer oder Gruppen. Bei einer temporären Gruppenzuordnungen fügt das Tool den Benutzer
selbstständig einer Gruppe zu und löscht ihn nach Ablauf der vorgegebenen Zeit wieder. In unserem
Labortest erwiesen sich auch diese Funktionen als zuverlässig: In der vorgegeben Zeitspanne war
unser Testbenutzer aktiv und wurde später automatisch wieder aus der Gruppe entfernt.
Der Unterstützung dieser Verwaltungskonstrukte dienen so genannte Active Views. Diese
ermöglichen eine Zusammenfassung von Gruppenobjekten wie Benutzer-Accounts, Gruppen oder Ressourcen
in eine Verwaltungseinheit. Zum Automationsmanagement gehört die automatisierte Abwicklung von
Aufgaben wie VB-Skripten oder Batch-Prozessen. Durch Trigger erfolgt ihre Ausführung jeweils vor
oder nach einstellbaren Aktionen.
Fazit
Mit dem Directory & Resource Administrator von NetIQ lässt sich die Verwaltung eines
komplexen Active Directorys enorm vereinfachen. Neben dem AD muss sich der Administrator nun
allerdings auch mit dem DRA auseinandersetzen, bei dem Funktionen durch die Existenz der
Assistenten auf unterschiedlichen Wegen aufrufbar sind. Dafür entfällt allerdings die Notwendigkeit
Microsofts GPMC (Group Policy Management Console) zu nutzen. Der angenehme Aufbau und die granulare
Verteilung der Rechte hilft dem Administrator bei der Arbeit. Dies lässt sich NetIQ mit 16 Dollar
pro Benutzer vergüten.
Info: NetIQ Tel.: 089/943848-0 Web: www.netiq.com
Lesen Sie mehr zum Thema
