Vom Active-Directory-Management zum Identity Provisioning

Mit dem ActiveRoles Server hat Quest seit längerem ein Werkzeug für das Rollen-basierte AD-Management im Portfolio. Inzwischen hat sich das Tool zu einer umfassenden Provisioning-Lösung entwickelt.

Artikel erschienen in Swiss IT Magazine 2009/03

     

Spätestens seit der Übernahme von NetPro ist Quest der führende Anbieter von Add-On-Werkzeugen für das Windows-Management. Das Unternehmen bietet eine grosse Zahl von Tools an, mit denen unterschiedliche Aufgaben in der Verwaltung von Windows-Systemen übernommen werden können. Dazu gehören auch der ActiveRoles Server und die Zusatzprodukte rund um dieses Tool, die eine nachvollziehbare Verwaltung von Active-Directory-Umgebungen über definierte Rollen und Regeln ermöglichen. Durch Erweiterungen wie ActiveRoles QuickConnect lassen sich auch weitere Systeme in die Verwaltung einbeziehen.


Die Herausforderung ist dabei gerade im Active-Directory-Umfeld mit seinen oftmals unterschiedlichen Gruppen von Administratoren und Operatoren, den verteilten Servern und den Anwendungen wie dem Microsoft Exchange Server, die mit dem Active Directory integriert sind, besonders gross. Zudem ist das Active Directory in vielen Unternehmen das zentrale Element der IT-Infrastruktur.


Mit den wachsenden Sicherheits- und Compliance-Anforderungen ist gerade hier auch eine stringente, zuverlässige Verwaltungs-infrastruktur erforderlich, die über das hinausgeht, was die Standard-Administrationswerkzeuge bieten. Genau hier setzt der Quest ActiveRoles Server an.



Das Konzept

Der Quest ActiveRoles Server wurde ursprünglich entwickelt, um das Active Directory mit Hilfe von Rollen und Regeln besser verwalten zu können. Das Produkt basiert auf Business-Regeln, administrativen Richt-linien, Rollen und Genehmigungen, die verwendet werden können, um das Active Directory zu schützen und administrative Aufgaben zu delegieren. Ausserdem lassen sich mit Hilfe von vordefinierten und geskripteten Aktionen viele Tätigkeiten automatisieren, von der Erstellung von Exchange-Postfächern bis hin zur Definition von Benutzerverzeichnissen.


Die wesentlichen funktionalen Blöcke sind damit die Rollen, Regeln und Richtlinien sowie die Genehmigungen, wobei letztere noch sehr einfach sind und nur eine einstufige Bestätigung erlauben, aber keine komplexeren Workflow-Prozesse. Zusätzlich gibt es eine Reihe weiterer Funktionen wie konfigurierbare Sichten auf das Active Directory und andere verwaltete Verzeichnisse, Self Service-Schnittstellen für Endbenutzer und Reporting-Schnittstellen.


Eine der wichtigsten Aufgaben des Produkts liegt darin, Richtlinien durchsetzen zu können. Gerade in Umgebungen mit vielen Administratoren und Operatoren, wie es für grössere -Active-Directory-Infrastrukturen typisch ist, ist es eine Herausforderung, die erforderliche Einheitlichkeit zu erreichen. Viele Sicherheitsprobleme entstehen, weil definierte Richtlinien nicht eingehalten wurden. Die Automatisierung von Aufgaben und die Einschränkung von Handlungsmöglichkeiten helfen, diese Probleme zu reduzieren.



Die Komponenten

Der Quest ActiveRoles Server besteht aus Diensten und administrativen Komponenten. Neben den Auditing-Komponenten gibt es eine zentrale Datenbank auf Basis des Microsoft SQL Server, in der alle Verwaltungsinformationen gespeichert werden. Die kritischen Informa-tionen werden verschlüsselt abgelegt, um hier keinen Angriffspunkt entstehen zu lassen. Allerdings werden die Schlüssel für den Fallback in einer Datei auf der Festplatte gespeichert, die nur mit einem Kennwort geschützt ist. Weitergehende Lösungen wie die Unterstützung von Hardware-basierenden Schutzmechanismen wären hier sicher wünschenswert. Der wichtigste Dienst ist eine «Data Processing Component», die die Anforderungen von Clients verarbeitet, sie gegen die definierten Regeln prüft und gegebenenfalls Verarbeitungen durchführt.


Neben diesen zentralen Diensten gibt es Schnittstellen zum Active Directory, zu ADAM/AD LDS (Active Directory Application Mode/Active Directory Lightweight Directory Services) und, über ActiveRoles QuickConnect, zu einer Reihe weiterer Verzeichnisdienste.


Die Administration kann über eine Reihe von Schnittstellen durchgeführt werden. Dazu zählen eine MMC-Schnittstelle (Microsoft Management Console), eine Web-Schnittstelle, die Reporting-Schnittstelle und ein ADSI-Provider, über den auch eigene Schnittstellen realisiert oder ActiveRoles-Funktionen in bestehende Portale eingebunden werden können.



Die Umsetzung

Der ActiveRoles Server ist ein leistungsfähiges Werkzeug, dessen Nutzung allerdings konzeptionelle Vorarbeit und einige Einarbeitung erfordert. Allerdings ist der Aufwand für die Einführung des Produkts im Vergleich beispielsweise zu gängigen Identity Provisioning-Lösungen sehr gering.


Im konzeptionellen Bereich geht es zunächst darum festzulegen, welche Systeme vom -ActiveRoles Server verwaltet werden sollen und wo die zentralen verarbeitenden Dienste des ActiveRoles Server positioniert werden. Ausserdem müssen die administrativen Verantwortlichkeiten definiert werden. Allerdings kann man, gerade auf Basis von vielen vorkonfigurierten Templates für administrative Aufgaben, hier bei der Implementierung auch schrittweise vorgehen. Ein durchdachtes Konzept ist dennoch wichtig, um die bisherigen Probleme nicht einfach auf eine höhere Ebene zu verlagern – vom Active Directory zum -ActiveRoles Server.


Anschliessend kann man die Umsetzung durchführen und Richtlinien, administrative Rollen, verwaltete Einheiten und die Einstellungen für Gruppenrichtlinien, die verwaltet werden sollen, definieren. Wie schon angedeutet kann man dabei in vielen Bereichen auf vorkonfigurierte Vorlagen zurückgreifen und so den administrativen Aufwand reduzieren.


Interessant beim ActiveRoles Server ist, dass in typischen Installationen keine Programmierung erforderlich ist, sondern man allenfalls mit VBScript arbeiten muss, um Anpassungen vorzunehmen. Damit wird der Implementierungsaufwand gerade im Vergleich zu vielen der heute gängigen Provisioning-Lösungen deutlich reduziert.



Umfassende Funktionalität

Quest hat die Funktionalität des ActiveRoles Server in den vergangenen beiden Jahren deutlich erweitert. So wurden Richtlinien für das De-Provisioning, die Approvals und die Unterstützung für ADAM/AD LDS hinzugefügt. Wichtig ist auch die inzwischen recht umfassende Lokalisierung, die über Language Packs eingerichtet wird. Weitere interessante Erweiterungen sind die verbesserten Möglichkeiten, um Vorgänge einschliesslich des De-Provisionings von Benutzern wieder rückgängig zu machen.


Insgesamt bietet der ActiveRoles Server eine einfach nutzbare Funktionalität, um Active-Directory-Infrastrukturen und andere Verzeichnisdienste einfach und entsprechend definierter Regeln und administrativer Rollen zu verwalten.


Dabei spielt auch die einfache Installation eine wichtige Rolle. Durch die Einrichtung des erforderlichen .NET Framework 3.5 SP 1 ist zwar unter Umständen ein Neustart erforderlich. Grössere Installationshürden gibt es aber nicht. Da Quest konsequent auf Microsoft-Technologien setzt, bis hin zur Verwendung des Microsoft SQL Server als Repository, lässt sich das Tool innerhalb kurzer Zeit installieren und in Betrieb nehmen.


Die Administrationsschnittstellen sind funktional, auch wenn eine etwas stärkere Task-Orientierung in der MMC-Konsole sicher wünschenswert wäre. Allerdings kann man mit wenig Einarbeitungsaufwand doch sehr viel mehr Struktur in das Management seiner IT-Infrastrukturen bringen.



Add-Ons für den ActiveRoles Server

Quest bietet mehrere Add-Ons für den ActiveRoles Server an, mit denen sich die Grundfunktionen ergänzen lassen.


- Mit ActiveRoles QuickConnect lassen sich weitere Verzeichnisdienste anschliessen, um den ActiveRoles Server als Provisioning-Lösung über das Active Directory hinaus zu nutzen.


- Mit der ActiveRoles Management Shell for Active Directory werden zusätzlich Befehle für die Windows PowerShell geliefert, mit der sich ActiveRoles-Funktionen in PowerShell-Skripts einbinden lassen.


- Der ActiveRoles Exchange Forest Manager bietet zusätzliche Funktionen für das Management von komplexen Exchange-Infrastrukturen mit mehreren Forests an.


- Mit dem ActiveRoles Self-Service Manager bietet Quest zudem eine Web-Schnittstelle, über die Besitzer von Anwendungen und Daten die Zugriffssteuerung für diese Ressourcen selbst in einfachster Weise übernehmen können.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER