Tags: Active Directory, Messaging, Unified Communications
Zwar enthält das Active Directory schon seit Anfang an ein Attribut für Benutzerfotos, aber erst mit Outlook und Exchange 2010 nutzten die ersten populären Anwendungen konsequent dieses Feature. Dennoch bietet Microsoft bis dato kein einfach zu bedienendes Tool, um Bilder in das AD hochzuladen. Mehrere Drittanbieter schließen diese Lücke mit kostenlosen Programmen.
Die ursprünglich zögerliche Nutzung von Bildern im AD mag an Bedenken gelegen haben, dass sie die Datenbank unnötig aufblähen und damit die Replikation zwischen den DCs verlangsamen könnten. Dieses Argument traf besonders auf 32-Bit-Systeme zu, wenn die Datenbank auf mehr als 1GB anwuchs. Insgesamt sollte jedoch die Verwendung von User-Thumbnails angesichts der gestiegenen Leistungsfähigkeit der Hardware und Netzwerke in den meisten Umgebungen heute kein Problem mehr sein.
Zwei AD-Attribute für Bilder
Um das Datenvolumen in Grenzen zu halten, hat Microsoft den Wert für das zuständige Attribut thumbnailPhoto auf 100 KB begrenzt. Bei empfohlenen Abmessungen von 96 x 96 Pixel sollte sich dieser Wert indes deutlich unterschreiten lassen, wenn man Bilder entsprechend komprimiert.
Neben thumbnailPhoto existiert seit Windows Server 2003 mit jpegPhoto ein weiteres Attribut, das Bilder enthalten kann. Im Gegensatz zu thumbnailPhoto ist es Multi-valued und kann somit mehrere JPEGs aufnehmen, wobei es keine Größenbegrenzung kennt. Es bleibt dem Entwickler einer Anwendung überlassen, welches er verwendet, im Fall von Outlook ist es jedoch thumbnailPhoto.
Exchange 2013 mit eigener Fotoverwaltung
Aber auch Microsofts Messaging-Software (Exchange, Lync, Outlook) ist in den Versionen 2013 nicht mehr von Bildern im AD abhängig, sondern kann diese auch eigenständig in der Mailbox des Benutzers speichern. Der Upload von Bildern kann dabei von Outlook aus erfolgen. Setzt man bereits die neueste Generation dieser Produkte ein, kann man mithin entscheiden, ob man diese noch im AD hinterlegen möchte.
Outlook kann die Thumbnails übrigens auch dann verwenden, wenn man keinen Exchange-Server einsetzt. Voraussetzung ist dann allerdings, dass das AD-Schema mindestens auf dem Stand von Windows Server 2008 sein muss.
Verwaltung der User-Fotos delegieren
Sobald man systematisch Bilder in das AD einpflegen will, etwa um Mails und Kontakte stärker zu personalisieren, stellt sich die Frage, wer dafür zuständig sein soll. Theoretisch könnte man dies jedem Benutzer selbst überlassen, weil er neben den Administratoren standardmäßig die Berechtigung besitzt, ein Foto in sein eigenes Konto hochzuladen.
Nachdem die meisten Firmen jedoch einen passenden Zuschnitt und einheitliche Dimensionen der Bilder wünschen dürften, wird diese Aufgabe am ehesten der Personalabteilung zufallen.
Um das Hochladen von Fotos in das AD an Dritte zu delegieren, müssen diese die nötigen Rechte für das Attribut thumbnailPhoto erhalten. Dies erfolgt über Active Directory-Benutzer und Computer, wo man als ersten Schritt im Menü Ansicht die Option Erweiterte Features aktivieren muss.
Berechtigungen für OUs anpassen
Möchte man dann beispielsweise zulassen, dass eine bestimmte Gruppe die Fotos sämtlicher Benutzer in einer OU verwalten darf, dann führt man aus dem Kontextmenü der OU den Befehl Eigenschaften aus. Im folgenden Dialog wechselt man zur Registerkarte Sicherheit und klickt dort auf die Schaltfläche Erweitert, danach auf Hinzufügen.
Im nächsten Dialog schließlich fügt man via Prinzipal auswählen die vorgesehene Sicherheitsgruppe hinzu und entscheidet sich bei Anwenden auf für Untergeordnete "Benutzer"-Objekte. Nun aktiviert man zum Abschluss im Abschnitt Eigenschaften noch die Option "thumbnailPhoto" schreiben.
Wahl des passenden Tools
Nachdem man zum Beispiel die Berechtigungen an Mitarbeiter der Personalabteilung vergeben hat, stellt sich die Frage, mit welchem Tool sie die Fotos einpflegen sollen. Unter den Bordmitteln von Windows würde sich PowerShell dafür eignen, wo etwa das Cmdlet Set-ADUser in der Lage ist, Attribute zu verändern.
Für die meisten Benutzer aus den Fachabteilungen sind Scripts jedoch keine geeigneten Werkzeuge, vielmehr wird man hier ein GUI-Tool bevorzugen. Bei dessen Auswahl spielt es eine wesentliche Rolle, ob nur gelegentlich einzelne Fotos importiert werden müssen oder ob es auch einen Bulk-Upload in zahlreiche Konten beherrschen muss.
Reicht die einfachere Variante, dann ist die kostenlose Version von AD Photo Edit eine gute Wahl. Das Tool bietet eine ausgefeilte Suche, mit der sich Benutzerobjekte nach allen möglichen Kriterien finden lassen. Außerdem beherrscht es einige rudimentäre Funktionen der Bildbearbeitung, um Fotos zu verkleinern, zu komprimieren oder zu drehen. Das Programm kann ein Thumbnail wahlweise in das Attribut thumbnailPhoto oder jpegPhoto hochladen.
Wenn man Bilder massenweise importieren oder exportieren möchte, dann sieht der Autor Chris Wright dafür die kostenpflichtige Version seiner Software vor. Alternativ kann man zu Lepide Active Directory Bulk Image Editor greifen, das auch diese fortgeschrittenen Features kostenlos bietet. Nicht minder mächtig sind die ebenfalls kostenfreien Exclaimer Outlook Photos und CodeTwo Active Directory Photos.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
Weitere Links