NetIQ ist bereits seit etlichen Jahren im Bereich der Windows-Administration tätig und vor allem über Zukäufe kontinuierlich gewachsen. Mittlerweile spannt sich das Produktspektrum von der Windows- über die Sicherheitsadministration bis zum Systemmanagement und der Web-Trend-Analyse. Eine zentrale Komponente ist die Security Administration Suite für Windows-Umgebungen.
Dieses Produkt ist wiederum – die Bezeichnung Suite lässt es schon vermuten – ein Bundle mehrerer Produkte, in diesem Fall der drei Komponenten Directory and Resource Administrator, Directory Security Administrator und Group Policy Administrator. Die Zielsetzung der Suite insgesamt ist es, Windows-Administratoren einfachere Schnittstellen für eine effiziente Sicherheitskonfiguration zu bieten. Denn Windows beinhaltet zwar mit der delegierbaren Administration im Active Directory, mit den Sicherheitseinstellungen in den Gruppenrichtlinien oder mit ausgefeilten Zugriffsberechtigungen im Dateisystem eine Vielzahl von Optionen für die Sicherheitskonfiguration. Für Administratoren ist es aber nicht ganz einfach, diese auch in einer Weise zu nutzen, mit der man am Ende wirklich eine sichere Systemumgebung erhält.
Hier verspricht die Security Administration Suite nun tiefere Administrationskosten durch Automatisierung, eine Reduktion von privilegierten Benutzerkonten und einen besseren Überblick über den administrativen Status des Active Directory und der Windows Server. Dieses Versprechen wird auch eingehalten. Die Security Administration Suite kann die Verwaltung von Windows-Umgebungen in vielen Fällen signifikant vereinfachen. Allerdings darf man keine zu hohen Erwartungen an das Konzept einer Suite haben, denn diese werden nur zum Teil erfüllt.
Der Directory and Resource Administrator (DRA) ist die Schnittstelle für die Verwaltung der Grundfunktionen des Active Directory. Der Zugriff auf die gängigen Verwaltungsfunktionen erfolgt über eine Web-basierende Konsole oder über eine Windows-Schnittstelle. Die Web-Schnittstelle ist dabei eher das tägliche Werkzeug für die Administratoren und Operatoren, während die Windows-Schnittstelle für die Konfiguration von Richtlinien und Regeln im Active Directory genutzt wird.
Das Spektrum der administrativen Funktionen reicht vom Hinzufügen von Benutzern über die Konfiguration von Diensteigenschaften bis hin zur Performance-Analyse und zu gut 75 vordefinierten Berichten, mit denen die wichtigsten Informationen über den Systemstatus ermittelt werden können. Die Liste der Berichte reicht von den letzten Anmeldedaten über doppelte Benutzerkonten, die Plattenplatznutzung und die definierten Kontakte bis hin zu Exchange-Information und Serverstatus-Berichten.
Die Basis dafür bilden Ansichten, Rollen und Richtlinien, die mit der Anwendung DRA Delegation and Configuration – der genannten Windows-Schnittstelle – eingerichtet werden können. Eine Reihe von Basisrichtlinien und Rollen sind bereits vorkonfiguriert, so dass der Einstieg in die Nutzung des DRA schnell gelingt.
Komplettiert wird der DRA durch zwei weitere Module. Mit dem DRA Account and Resource Management kann man Benutzer und andere Ressourcen über eine Windows-Anmeldung verwalten. Dort wird eine Reihe von Eigenschaften angezeigt, die auch verändert werden können – bis hin zum Zurücksetzen von Kennwörtern und der Zuordnung zu Gruppen. Die andere Komponente ist der File Security Administrator, mit dem diverse Zugriffsberechtigungen, Plattenplatzbeschränkungen und Backups für die Dateisysteme auf den Servern im Netzwerk von einer zentralen Schnittstelle aus konfiguriert werden können. Auch hier gibt es wieder umfassende Berichtsfunktionen.
Das zweite Hauptprodukt der Suite ist der Directory Security Administrator (DSA). Damit lassen sich Berechtigungen innerhalb des Active Directory konfigurieren. Dieses Werkzeug ist sozusagen das Gegenstück zum File Security Administrator. Es bietet einen umfassenden Überblick über die Sicherheitskonfiguration des Active Directory. Diese lässt sich auch, wie in den anderen Werkzeugen, mit Scripts automatisieren.
Schliesslich gehört noch der Group Policy Administrator (GPA) zu der Suite. Dieser ermöglicht es, Gruppenrichtlinienobjekte zu erstellen und zu verwalten. Die Änderungen können offline oder im laufenden Betrieb erfolgen. Mit Hilfe der RSoP (Resultant Set of Policies) lassen sich auch die tatsächlich gültigen Berechtigungen ermitteln, wenn mehrere Richtlinien parallel zueinander eingesetzt werden. Im GP Repository können diese vorbereitet werden. Die Zugriffe auf die Gruppenrichtlinien lassen sich über Berechtigungen steuern. Ausserdem gibt es Check-In-/Check-Out-Funktionen und definierbare Bestätigungsprozesse, um nicht genehmigte Änderungen an Gruppenrichtlinien zu verhindern. Wichtig ist auch die Rollback-Funktionalität, mit der zu einer Vorversion einer Gruppenberechtigungen zurückgekehrt werden kann.
Die Installation der Security Administration Suite verläuft in zwei Schritten. Im ersten Schritt werden die Dateien auf den Server kopiert, aber noch nicht konfiguriert. Danach wird das eigentliche Installationsprogramm gestartet, in dem die verschiedenen Komponenten ausgewählt werden können. Zu jeder Komponente werden verschiedene Optionen wie ein Preview, der Zugriff auf Release Notes und die Installationsanleitung und das eigentliche Setup angezeigt. Dann beginnen die Installationsprozesse. Ab diesem Zeitpunkt zeigt sich dann allerdings auch, dass die Integration der Suite nicht so weit gediehen ist, wie das wünschenswert wäre. So gibt es beispielsweise zwischen dem Installationsprogramm des DRA und des GPA deutliche Unterschiede, angefangen von den Installationsoptionen über die Auswahl der Lizenzdateien bis hin zur Auswahl der administrativen Benutzer. Allerdings lassen sich alle Installationsvorgänge relativ einfach abwickeln.
Ebenso wie bei der Installation zeigt sich auch bei der anschliessenden Nutzung, dass der Begriff der Suite ein Anspruch ist, den das Produkt nicht voll erfüllen kann. Jede Anwendung verfügt über eigene Schnittstellen, die nicht miteinander integriert sind. Während der GPA als MMC-Konsolenanwendung ausgeführt wird, ist der DRA als eigenständige Windows-Anwendung konzipiert und verfügt darüber hinaus auch noch über die bereits erwähnte Web-Schnittstelle.
Dieses Nebeneinander verschiedener Produkte ist insofern bedauerlich, als damit eines der Wertversprechen von NetIQ, die Administration von Windows-Umgebungen deutlich zu vereinfachen, nicht erfüllt wird. Zwar sind die Produkte für sich genommen jeweils deutlich einfacher in der Nutzung als die Standard-Schnittstellen von Windows. Eine wirkliche Integration würde hier aber noch einmal eine deutliche Verbesserung bringen.
Bei den einzelnen Produkten gefallen die meistens vorhandenen Start-Bildschirme mit gängigen Aufgaben, die den Einstieg in die Nutzung der Produkte einfach machen. Auch die vielen vordefinierten Berichte wissen zu überzeugen. Für grössere Unternehmen und spezielle Anforderungen lassen sich zudem bei den meisten Komponenten auch Scripts nutzen, um die Funktionalität und das Verhalten an die jeweiligen spezifischen Anforderungen anzupassen. Mit den einfach nutzbaren Basisfunktionen auf der einen und der Erweiterbarkeit auf der anderen Seite wird die Directory Security Administration Suite zu einem Werkzeug, das gleichermassen für kleinere wie sehr grosse Active-Directory-Umgebungen geeignet ist.
Auch wenn NetIQ im Bereich der Integration noch einiges tun könnte, ist die Security Administration Suite doch insgesamt eine Lösung, mit der man sich als Windows- und Active-Directory-Administrator beschäftigen sollte. Denn im Vergleich mit den Standardschnittstellen macht sie die Administration nicht nur einfacher, sondern auch konsistenter. Und diese Konsistenz ist die Grundvoraussetzung für sichere Umgebungen. Windows bietet viele Sicherheitsfunktionen – NetIQ hilft, sie auch zu nutzen.
