Test: Dell Quest Gpoadmin 5.7
AD-Kontrollsystem
Die Software Quest Gpoadmin von Dell ergänzt die Gruppenrichtlinien-Verwaltung des Active Directorys (AD) um eine zentrale Kontrollinstanz. Gpoadmin verfügt über eine Versionskontrolle und einen Freigabeprozess, um Fehler beim Anlegen und Ändern von Group Policy Objects (GPOs) zu verhindern. Dieser Testbericht bildet den Auftakt einer LANline-Testreihe zu AD-Management-Tools.Für die Verwaltung von Windows-Netzwerken ist Microsofts Active Directory der zentrale Dreh- und Angelpunkt. Hier steuert der Administrator unter anderem die Berechtigungen für Benutzer- und Computerkonten, Sicherheitsfunktionen wie Passwortrichtlinien oder Zertifikate, Standorthierarchien, Domänenstrukturen oder die AD-Replikation. Microsoft bietet zahlreiche grafische und kommandozeilengestützte Management-Werkzeuge an, mit denen sich die vielfältigen AD-Funktionen konfigurieren und verwalten lassen. In größeren Unternehmen ab mehreren hundert Mitarbeitern gestaltet sich die AD-Verwaltung mit Bordmitteln aber oft relativ aufwendig. Zwar lassen sich sehr viele Aufgaben über Powershell-Skripte automatisieren, die Skripte wollen aber entwickelt und gepflegt sein. Um das AD-Management zu vereinfachen, bieten zahlreiche Dritthersteller Tools an, die zum Beispiel auf die Benutzerverwaltung, das Anlegen und Ändern von Gruppenrichtlinien (Group Policy) oder das Auditing im AD spezialisiert sind. Diese Werkzeuge integrieren sich zum Teil direkt in die Management-Konsolen von Microsoft, zum Teil verfügen sie über eigene Oberflächen. LANline startet mit dieser Ausgabe eine Testreihe, die derartige Tools genauer unter die Lupe nimmt. Den Auftakt bildet Quest Gpoadmin 5.7 von Dell. Die Software ergänzt die im AD enthaltene GPO-Verwaltung (Group Policy Object) um Versionskontrolle, Freigabeprozess und Reporting-Funktionen. Gpoadmin setzt sich aus mehreren Komponenten zusammen. Der Client stellt die Gpoadmin-Konsole für den Zugriff auf alle Funktionen bereit. Er ist als Snap-in für die Microsoft Management Console realisiert, zusätzlich kann sich Gpoadmin als Reiter in die Group Policy Management Console (GPMC) von Microsoft einklinken. Der volle Funktionsumfang steht allerdings nur mit der eigenständigen Gpoadmin-Oberfläche zur Verfügung. Die Server-Komponente stellt den Gpoadmin-Dienst bereit, der unter anderem die Kommunikation mit dem AD steuert. Dieser Dienst lässt sich auch auf mehreren Servern parallel installieren. Dies ist zum Beispiel sinnvoll, wenn für jede Child-Domäne ein eigenes Gpoadmin-System zum Einsatz kommen soll. Der so genannte Version Control Server ist die zentrale Kontrollinstanz für das GPO-Management. Auf einem Domänencontroller eingerichtet, überwacht und verwaltet er alle Änderungen an den Gruppenrichtlinien. Wenn ein Administrator eine Richtlinie verändern will, kommuniziert der Gpoadmin-Service mit dem Version Control Server. Gpoadmin checkt das Objekt aus, damit man es bearbeiten kann. Danach wird es wieder eingecheckt und die Änderung lässt sich im AD aktivieren. Gpoadmin verfügt über einen Watcher Service, der auch GPO-Änderungen außerhalb des Kontrollsystems erfasst. Die Software nutzt ein Backup-Repository, mit dem sich ein schneller Fallback durchführen lässt, falls eine GPO-Änderung zu unvorhergesehenen Problemen führt. Gpoadmin unterstützt AD-Domänen mit Windows 2003, Windows 2008 und Windows 2012 (jeweils inklusive der R2-Variante). In gemischten Umgebungen ist zu beachten, dass die mit Windows 2008 und 2012 neu hinzugekommenen GPO-Funktionen nicht rückwärtskompatibel sind. Die Software lässt sich neben den genannten Servern auch auf Desktop-Rechnern mit Windows Vista, Windows 7 sowie Windows 8 und 8.1 installieren, was vor allem für den Gpoadmin-Client interessant ist. Es ist auch möglich, Server und Client auf demselben Rechner einzurichten. Für den LANline Test verwendeten wir ein virtuelles Windows-8.1-System, auf dem alle Gpoadmin-Komponenten liefen. Vor dem Setup richteten wir im AD einen Service-Account mit den erforderlichen Berechtigungen ein. Unter anderem benötigt Gpoadmin Vollzugriff auf alle GPOs im Forest. Zudem ist eine OU (Organizational Unit) erforderlich, die Quest heißt. Als weitere Installationsvoraussetzungen müssen die Group Policy Management Console, das Dotnet 4.0 Framework sowie für Windows 2008 und 2012 die AD Lightweight Directory Services (AD LDS) und für Windows 2003 der AD Application Mode (ADAM) vorhanden sein. Backup-Daten kann Gpoadmin wahlweise im AD, in ADAM, AD LDS, SQL 2008 R2 oder 2012 sowie in einer Netzwerkfreigabe speichern. Wir richteten für das Backup-Repository eine Netzwerkfreigabe ein und berechtigten den Service-Account dafür. Setup und Basiskonfiguration Für das Setup muss sich der Administrator am System mit dem Service-Account von Gpoadmin anmelden. Die Installation war nach wenigen Minuten abgeschlossen. Anschließend konfigurierten wir den Speicherort, an dem Gpoadmin seine Daten ablegt. Wir wählten dazu die Option AD und den ersten Domänencontroller des Testnetzes. Alternativ ist es auch möglich, dem Gpoadmin-Server AD LDS als Speicherort zuzuweisen. Im nächsten Schritt richteten wir das Backup-Repository auf der zuvor angelegten Netzfreigabe ein. Der Administrator legt zudem fest, welche Benutzer Zugriff auf Gpoadmin erhalten. Das Tool unterstützt eine rollenbasierte Berechtigungsvergabe. Die vordefinierten Rollen lassen sich nicht verändern, es ist aber möglich, neue Rollen mit individuellen Berechtigungen anzulegen. Um die Rollen an Benutzer oder Gruppen zuzuweisen, muss der Administrator die Gpoadmin-Konsole verwenden. In den Eigenschaften des Objekts Version Control Root kann er der jeweiligen Rolle die gewünschten Benutzer zuordnen. Es gibt eine ganze Reihe Funktionen, die sich nur mit der Gpoadmin-Konsole ausführen lassen. Dazu zählen unter anderem WMI-Filter (Windows Management Instrumentation) und ADM-Template-Dateien. Für die verwalteten Objekte kann der Administrator granular einstellen, bei welchen Änderungen das Tool automatisch eine E-Mail-Benachrichtigung an die zuständigen Mitarbeiter schickt. Gpoadmin bietet zudem unterschiedliche Eventlog-Optionen und kann Meldungen im Systemlog oder in einer eigenen Datei ausgeben. Abgesicherte GPO-Verwaltung Gpoadmin verwendet ein Check-out-/Check-in-System, um sicherzustellen, dass GPO-Änderungen auch in größeren Unternehmen immer konsistent sind. Der Administrator startet die Versionskontrolle, indem er die im AD vorhandenen GPOs, WMI-Filter und Scope-of-Management-Objekte (Sites, Domains, OUs) registriert. Für den Test von Gpodamin verwendeten wir die dedizierte Konsole, um alle Funktionen ausführen zu können. Wir registrierten zunächst alle Objekte, um sie anschließend bearbeiten zu können. Dabei fiel auf, dass die Konsole die Registrierung nicht automatisch an allen Stellen aktualisierte. Als wir in der linken Fensterhälfte auf "Group Policy Objects" klickten, wurde der Status der vorhandenen GPOs nach wie vor als "Unregistered" angezeigt. Der aktuelle Status "Available" erschien erst nach einem Klick auf "Aktualisieren". Wenn ein Objekt den Status "Available" hat, lässt es sich per Check-out bearbeiten. Beim Check-out erstellt Gpoadmin automatisch eine Backup-Kopie des ursprünglichen GPOs. Nach Änderungen erhält das Objekt den Status "Checked-in". Bevor das GPO im Produktivsystem eingespielt werden darf, muss ein dazu berechtigter Benutzer die Änderung genehmigen und zur Aktivierung freigeben. Gpoadmin erstellt dabei automatisch eine neue Version dieses GPOs. Um die Konsistenz der Gruppenrichtlinien-Konfiguration sicherzustellen, darf ein GPO im Checked-out-Status immer nur von einem Benutzer bearbeitet werden. Gpoadmin unterstützt - wie auch Microsofts GPMC - das Kopieren von GPOs. Der Administrator kann besonders kritische GPOs wie die Default Domain Policy sperren, wodurch andere Benutzer diese Policy nicht verändern dürfen. Zuverlässige GPO-Kontrolle Für den Test der Versionskontrolle änderten wir in der Default Domain Policy im Checked-out-Status die Passwortrichtlinie für die minimale Kennwortlänge von sieben auf zehn Zeichen. Dann führten wir den Check-in durch, gaben die geänderte Policy frei (Approval) und schalteten sie scharf (Deployment). Gpoadmin erstellte für dieses GPO die neue Version 2.0. Ob die Änderung erfolgreich umgesetzt wurde, überprüften wir in der GPMC des Domain Controllers. Nach einem Klick auf "Aktualisieren" wurde die neue minimale Passwortlänge von zehn Zeichen angezeigt. Mit Gpoadmin lassen sich auch neue GPOs erstellen. Wir legten für die OU Testuser ein GPO an und aktivierten im Checked-out-Status die Computereinstellung "Anwendern das Installieren von Druckertreibern nicht erlauben." In den Sicherheitseinstellungen dieses GPOs fügten wir die Testuser-Gruppe hinzu und entfernten die standardmäßig enthaltene Gruppe Authenticated Users. Dann führten wir Check-in, Approval und Deployment durch. Anschließend meldeten wir uns mit einem neu gestarteten Windows-7-Rechner als Testuser an der Domäne an und versuchten, einen Druckertreiber zu installieren. Wie zu erwarten, war dies für den Testuser nicht mehr möglich. Bei der Treiberinstallation erschien ein Popup-Fenster, das die Anmeldeinformationen eines Domänenadministrators verlangte. Um GPOs in verschiedenen Domänen konsistent umzusetzen, unterstützt Microsoft ADM-Templates. Gpoadmin bietet einen ADM-Editor, mit dem sich diese Templates erstellen und modifizieren lassen. Für den Test der Backup-Funktionen von Gpoadmin importierten wir die ursprüngliche Default Domain Policy mit der minimalen Passwortlänge von sieben Zeichen. Die GPMC des Domaincontrollers zeigte anschließend für dieses GPO wieder sieben Zeichen als Minimalwert an. Test- und Reporting-Funktionen Gpoadmin ist in der Lage, geänderte Objekte vor dem Check-in zu exportieren, um die Auswirkungen in einer Testumgebung zu überprüfen. Der Administrator kann hier Anpassungen vornehmen und das Objekt dann wieder importieren. Das Tool bietet zudem umfassende Reporting-Funktionen, mit denen sich unter anderem die aktuellen Einstellungen (Resultant Set of Policy), die Unterschiede zu früheren Versionen, die durchgeführten Aktualisierungen sowie die Compliance darstellen lassen. Der Watcher Service von Gpoadmin prüft automatisch, ob GPOs außerhalb des Kontrollsystems verändert wurden. Dieser Compliance-Check lässt sich über die Konsole auch manuell durchführen, um zu überprüfen, ob jemand WMI-Filter oder Scope-of-Management-Objekte verändert hat. Darüber hinaus stellt das Tool zahlreiche Diagnose- und Troubleshooting-Reports zur Verfügung. Die Automatisierung von Gpoadmin-Aufgaben ist per Powershell-Scripts möglich. Dell hat die Zahl der unterstützten Powershell-Kommandos in der aktuellen Version verdoppelt und bietet nun über 100 Befehle. Damit lassen sich so gut wie alle Funktionen auch per Kommandozeile bedienen. Die neue Version unterstützt nun zudem eine Integration in Workflow-Systeme. Pre- und Post-Befehle können zum Beispiel Arbeitsschritte an externe Ticket-Systeme weiterleiten und deren Rückmeldung weiterverarbeiten. Auf diesem Weg wäre es zum Beispiel möglich, den Approval- und Deployment-Prozess zusätzlich in einem externen System revisionssicher zu dokumentieren. Fazit Mit dem Check-out-/Check-in-Verfahren sowie der anschließend erforderlichen Freigabe und Aktivierung von veränderten oder neuen Gruppenrichtlinien erhöht Gpoadmin die Sicherheit der GPO-Verwaltung deutlich. Die bei jedem Check-out automatisch erstellte Backup-Kopie der ursprünglichen Group Policy trägt dazu ebenfalls bei. Versehentliche Änderungen an GPOs ohne vorherige Sicherung sind damit ausgeschlossen. Für kleinere Unternehmen dürften die Bordmittel von Microsoft für die GPO-Verwaltung in der Regel ausreichen. Größere Unternehmen mit mehreren Child-Domänen und einer Vielzahl unterschiedlicher Gruppenrichtlinien können dagegen von der höheren Sicherheit und den für Enterprise-Umgebungen konzipierten GPO-Management-Funktionen profitieren. Mit einem Listenpreis von 13 Euro pro AD-Benutzer ist Gpoadmin für Unternehmen mit vielen Mitarbeitern nicht gerade ein Schnäppchen. Mengenrabatte sind bei diesem 25-User-Preis allerdings noch nicht berücksichtigt. Der Autor auf LANline.de: chjlange????? Info: DellTel.: 0221/57774-0Web: www.questsoftware.de/gpodamin
Lesen Sie mehr zum Thema
