Praxistest Netscript Nlogon 1.93a
Admin-Tool für Anmeldeskripts
Das Anmeldeskript ist ein Relikt aus den alten Tagen der IT-Administration. Allen Optimierungen bei der Verwaltung von Benutzern, Hardware und Zugriffsrechten im Active Directory mit Gruppenrichtlinien zum Trotz ist es immer noch da - ein unscheinbares Progrämmchen, das bei der Anmeldung abgearbeitet wird. Das Tool Nlogon von Netscript Binary Works soll die Verwaltung und Erstellung von Anmeldeskripts komfortabler gestalten.
Die Einstellungen von Windows-Client-Computern werden am sinnvollsten mit Gruppenrichtlinien
bearbeitet. Im Einzel- oder Notfall können die benötigten Anpassungen auch direkt in die Registry
geschrieben werden, um damit die Benutzeroberfläche für die Bewältigung der Arbeit optimal
anzupassen. Das Anmeldeskript wird typischerweise für die benutzerabhängige Verknüpfung mit
Netzlaufwerken und das "Mappen" der für die Sitzung benötigten Drucker verwendet. Was genau in
welchem Skript steht, ist von Fall zu Fall und von Firma zu Firma unterschiedlich. Es wird nach
Eingabe des Benutzernamens und des Passworts im Kontext des Benutzers ausgeführt. Üblicherweise
handelt es sich dabei um BAT- oder CMD-Dateien in der Freigabe Netlogon im Sysvol-Verzeichnis eines
Domänen-Controllers.
Ob das Tool Nlogon das Handling von Anmeldeskripts tatsächlich vereinfacht, wird der
LANline-Test zeigen. Es handelt sich dabei um eines der "Network Administration Tools" von
Netscript und eine modifizierte Variante der Windows-Domänen-Benutzeranmeldungen. Im Gegensatz zu
den Microsoft-Windows-Bordmitteln verfügt Nlogon über eine Oberfläche, in der die Inhalte eines
Anmeldeskripts angenehm gestaltet werden. Das Tool besteht aus zwei Komponenten: dem
Skriptprozessor, einem Programm, das das Anmeldeskript Nlogon.exe generiert, sowie der
Verwaltungsoberfläche. Der Skriptprozessor Nlogon.exe wird während des Anmeldevorgangs aufgerufen,
entweder per Eintrag aus einer Gruppenrichtlinie oder über den Eintrag im Benutzerprofil des Active
Directorys. Wie bei allen Anmeldeskripts übernimmt er Aufgaben wie Druckerverbindungen herstellen,
Laufwerks-Mapping, Umgebungsvariablen setzen, Informationsdialogfenster anzeigen und weitere
Skripts oder Anwendungen starten.
Der Hersteller hat das modifizierte Anmeldeverfahren als Teil der einheitlichen
Verwaltungsoberfläche YCMS programmiert. Es handelt sich hierbei um eine Intranetanwendung auf
Basis von dynamischen HTML-Seiten. Somit sind ein Webserver, beispielsweise Microsoft Internet
Information Server (IIS) oder Apache sowie ein Webbrowser (Microsoft Internet Explorer oder
Firefox) für die Nutzung der Software unerlässlich.
Installation
Die Teststellung beginnt mit dem Download der Software. Das lediglich 2 MByte große Archiv haben
wir auf einem Domänen-Controller extrahiert und die Dateien gemäß der 13-seitigen deutschsprachigen
PDF-Anleitung installiert.
Auf der Testmaschine, einem Windows Server 2003, konfiguriert als Domänen-Controller, war
zunächst die Installation einer Perl-Distribution erforderlich. Die aktuelle Version von Netscript
basiert auf dieser altehrwürdigen Skriptsprache. Auch die Installation selbst hat etwas
Altertümliches, da Konfigurationsdateien von Hand gepflegt werden müssen und das Kopieren der
Ordner manuell durchzuführen ist. Sind die Hürden der Installation erst einmal überwunden, zeigt
das Programm jedoch ein freundlicheres Gesicht in Form einer Intranetseite. Alle weiteren
Arbeitsschritte erfolgen über eine grafische Oberfläche und erfordern lediglich ein Know-how über
Windows, das Active Directory, Freigaben, Drucker und eventuell die Registry.
Arbeitsweise
Im Großen und Ganzen wickelt Nlogon das Anmeldethema über verschiedene "Wenn-dann"-Strukturen
ab, zum Beispiel: "Ist der Benutzername Mueller, dann ordne die Laufwerksfreigabe xyz und den
Drucker abc zu". Als Vergleichstyp finden sich neben dem Benutzernamen auch Gruppen, übergebene
Parameterwerte und der Client-Name. Bei Letzterem liefert das Tool praktischerweise den jeweils
korrekten Bezeichner, je nachdem, ob es sich bei der Maschine um einen Standard-Client-PC oder um
einen Terminalserver handelt. Ohne die passende Logik würde ein Terminalserver den eigenen
Maschinennamen melden, was bei der Anmeldung kaum hilfreich sein dürfte. Alle Vergleichstypen
lassen sich auch in Negation ansprechen, also: "Wenn der Benutzername nicht Administrator ist,
dann…"
Zuordnung von Druckern und Laufwerken
Neben der Zuordnung von Druckern und Laufwerken kann der Administrator auch gezielt Einträge in
die Registry setzen. Dies umfasst sowohl die Manipulation bereits vorhandener Einträge, das
gezielte "Suchen und Ersetzen" und die Erstellung neuer Werte und Schlüssel. Aus dem Anmeldeskript
lassen sich zudem weitere Programme mit Parametern aufrufen und ein Hinweisfenster anzeigen. Der
Text für das Fenster wird auf Wunsch des Administrators dynamisch aus Umgebungsvariablen und
Parametern erzeugt. Ein Rückgabewert, der als Grundlage für weitere Skripting-Schritte dienen
könnte, liefert das Programm jedoch nicht.
Konfiguration des Clients
Ehe jedoch ein Client-Computer oder Server das Anmeldeskript mit dem Nlogon-Prozessor
interpretieren kann, benötigen diese einen Eintrag im "Profil" der Windows-Benutzersteuerung oder
in den "Skripts" der Gruppenrichtlinien. Die Einträge muss der Administrator von Hand anlegen, das
Programm unterstützt ihn dabei nicht. Um Nlogon auf einem Client nutzen zu können, ist Windows 2000
oder höher auf dem Zielsystem erforderlich. Es wäre kaum sinnvoll, für jeden Test einer Änderung im
Anmeldeskript einen Neustart eines Computers einzufordern. Was ein Anmeldeskript im realen Betrieb
durchführen würde, kann der Administrator bequem auf der Kommandokonsole testen. Durch den Aufruf
des Skripts mit dem Parameter -d wird der Ablauf interaktiv ausgeführt. Zunächst zeigt die Lösung
alle Befehle an, die das Skript ausführen wird, und fragt den Benutzer jeweils, ob ein Befehl auch
tatsächlich abgearbeitet werden soll.
In der Teststellung konnten wir verschiedene Konfigurationen erfolgreich durchspielen. Dazu
zählten unterschiedliche Einstellungen für ein und denselben Benutzer in Abhängigkeit von der
Zielmaschine oder des Typs der Zielmaschine (PC oder Terminalserver).
Keine Ermittlung der Gruppenschachtelung
Leider beherrscht das Programm die Ermittlung der Gruppenschachtelung nicht. Zwar lässt sich die
Gruppe für die Zuordnung verwenden, doch nur in der obersten Ebene. Ist eine Gruppe Teil einer
anderen Gruppe, so wird dies nicht ausgewertet.
Ebenfalls fehlt es dem Programm in der getesteten Version am "Jokerzeichen" als Platzhalter für
nicht näher bezeichnete Eingaben. Während der Testphase hatten wir Gelegenheit, die auf der CeBIT
angekündigte Version 2.0 zu betrachten. Der Perl-Unterbau verschwindet, das System setzt zeitgemäß
auf PHP und Ajax auf und bietet Konnektoren zu verschiedensten Datenbanken.
Kooperation mit Active Directory
Anstelle des mühseligen und fehleranfälligen Eintippens von Benutzer-, Freigabe- und
Druckernamen werden die Informationen direkt aus dem Active Directory übernommen. Verschachtelungen
sind ebenfalls erst mit der kommenden Version nutzbar. Die Version soll noch im ersten Halbjahr
2008 auf den Markt kommen. Ein Migrationspfad zur Übernahme der Informationen aus der jetzigen
Version und ein kostenloses Update im Rahmen des Support-Vertrags wurden uns auf Nachfrage durch
den Hersteller zugesichert.
Wem das Skripten von Hand zu mühselig ist und Lösungen wie Desktop Authority von Scriptlogic zu
komplex sind, der könnte Gefallen an Nlogon von Netscript finden. Mit der grafischen Oberfläche
geht die Arbeit deutlich leichter von der Hand als im Editor-Fenster. Ohne umfangreiche Kenntnisse
über den Ablauf der Anmeldung, Laufwerkspfade, Benutzergruppen und Druckerzuordnungen ist das
Programm in der getesteten Version 1.93a jedoch kein sinnvolles Hilfsmittel.
Eine Demoversion für die Verwendung bei bis zu sieben Benutzern ist grundsätzlich kostenfrei.
Zum Preis von knapp 180 Euro bietet Netscript Binary Works die Software in der kleinsten Edition
für bis zu 75 Benutzer mit einjährigem Support-Vertrag an.
Info: Netscript Tel.: 0711/253596-30 Web: www.nlogon.de
Lesen Sie mehr zum Thema
