Softerra Adaxes im Test: Management des Active Directory automatisieren

    Adaxes KonsolenstrukturMit den Bord­mitteln von Windows lassen sich grund­sätzlich alle Aufgaben des AD-Managements erledigen. Defizite dieser Tools und die einge­schränkten Möglich­keiten, Vorgänge zu automa­tisieren, lassen aber viel Raum für bessere Alter­nativen von Drittan­bietern. Zu diesen zählt Adaxes von Softerra.

    Active Directory-Benutzer und -Computer oder das neuere AD-Verwaltungscenter eignen sich vor allem dazu, interaktiv einzelne Objekte anzulegen oder zu bearbeiten. Einige Operationen kann man auch auf mehrere User oder Computer gleich­zeitig anwenden, wenn man diese in der Übersicht markiert.

    Routine-Aufgaben erfordern oft mehrere Aktionen

    Viele Aktionen bei der AD-Verwaltung erfordern jedoch mehr als nur einen Schritt. So folgt dem Anlegen eines Benutzer­kontos in der Regel dessen Zuordnung zu einer Gruppe, die Ein­richtung einer Exchange-Mailbox oder das Setzen diverser Attribute wie Adresse, Vorgesetzter, Abteilung oder Basis­verzeichnis.

    Das Management von Benutzerkonten mit den Bordmitteln ist oft umständlich und zeitraubend.

    Das Gleiche gilt für den umgekehrten Vorgang, wenn ein Mitarbeiter das Unternehmen verlässt. Hier muss man in der Regel nicht nur das AD-Konto deaktivieren, sondern auch einen möglicher­weise vorhandenen Account für Office 365. Hinzu kommt meist noch die Einrichtung einer Mail-Weiterleitung oder das Löschen des Basisver­zeichnisses für den betreffenden User.

    Will man sich hier viel Handarbeit sparen, dann bietet sich unter den Bordmitteln am ehesten PowerShell an, um solche Tätigkeiten zu beschleunigen.

    MMC-Tools nicht tauglich für Endbenutzer

    Die Windows-eigenen Tools eignen sich zudem nur schlecht, wenn man Aufgaben an den Helpdesk oder an Benutzer delegieren möchte. Auch wenn man die MMC-Tools auf einzelne Tasks einschränken kann, wird man die RSAT nicht jedem Anwender an die Hand geben wollen.

    Adaxes bietet eigene konfigurierbare Web-Konsolen für Admins, Helpdesk und Endbenutzer.

    Diese bekannten Schwächen definieren bereits einige wichtige Anforderungen an Tools von Drittherstellern, die das Management des Active Directory verbessern möchten. So bietet Adaxes neben der Windows-basierten Admin-Konsole eine Web-Oberfläche, über die auch Anwender selbst bestimmte Routine­tätigkeiten erledigen können, beispiels­weise das Kennwort zurücksetzen.

    Adaxes als Gateway für das AD-Management

    Das Konzept von Adaxes sieht vor, dass Benutzer nicht direkt mit dem AD interagieren. Nur so lässt sich etwa erzwingen, dass eine Aktion vor ihrer Ausführung erst genehmigt werden muss. Aus diesem Grund fungiert es als eine Art Gateway zwischen den Admin-Frontends und dem Active Directory.

    Aufbau und Komponenten von Adaxes

    Diese Architektur spiegelt sich erwartungs­gemäß in der Installation der Software wider. Eine typische Konfiguration besteht darin, den Adaxes-Dienst und die Web-Schnittstelle auf einem Windows Server zu installieren, während man die Verwaltungs­konsole auf einer oder mehreren Workstations einrichtet.

    Systemvoraussetzungen schaffen und Adaxes installieren

    Die Installation der Software setzt voraus, dass man auf dem Server das .NET Framework 3.5 hinzufügt, was sich etwa über den zuständigen Wizard im Server Manager bewerkstelligen lässt. Für die Web-Konsole muss man zudem die IIS inklusive ASP.NET installieren.

    Die Installation von Adaxes erfordert unter anderem das .NET Framework 3.5

    Schließlich benötigt das Tool noch die Rolle des LDAP-Dienstes, die es aber selbständig hinzufügt. Sind diese Voraus­setzungen gegeben, dann geht die Installation relativ unkompliziert und zügig über die Bühne.

    Adaxes unterstützt die Installation aller Komponenten auf einer Maschine oder auch ein verteiltes Setup.

    Für den Dienst muss man dabei ein Konto angeben, unter dessen Kennung er läuft. Das Setup-Programm erteilt diesem dann auf der lokalen Maschine das Recht, sich als Service anzumelden.

    Nach erfolgreicher Installation muss man sich mit dem Adaxes-Dienst verbinden, Domänen registrieren und Rechte vergeben.

    Rechtevergabe über Rollen

    Öffnet man nach erfolgreicher Installation die Verwaltungs­konsole, dann muss man sich mit den Daten eines Kontos anmelden, das sich mit dem Adaxes-Dienst verbinden soll. Die Erteilung von Rechten innerhalb von Adaxes geschieht über ein Rollenkonzept, wobei die Software bereits mehrere vordefinierte Rollen enthält.

    Adaxes enthält einige vordefinierte Rollen. Die Rechte pro Rolle lassen sich sehr dein abstufen.

    Bei Bedarf erstellt man eigene Rollen, wobei die Vergabe der Rechte extrem granular erfolgen kann. Im Prinzip lässt sich für jedes Attribut eines bestimmten Objekttyps festlegen, ob die Inhaber der Rolle dieses lesen, ändern oder löschen dürfen.

    Befehle zu komplettem Vorgang bündeln

    Kernthema von Adaxes ist die Automatisierung des AD-Managements. Diesem Zweck dient vornehmlich eine Kombination aus Benutzerbefehlen und Geschäftsregeln. Bei Ersteren handelt es sich um eine Abfolge von Aktionen, die in einem Kommando gebündelt werden.

    Der vordefinierte Benutzerbefehl Deprovisionieren bündelt mehrere Aktionen für das Deaktivieren von Konten.

    Adaxes bringt auch hier eine Vielzahl spezifischer Aktionen für die jeweiligen AD-Objekte mit. Diese reichen bei Benutzern etwa vom Hinzufügen oder Entfernen zu/aus einer Gruppe über das Einrichten bzw. Ändern eines Exchange-Postfachs bis hin zum Aktivieren eines Office365-Kontos.

    Befehlssequenz direkt oder nach Genehmigung ausführen

    Falls diese vorgegebenen Aktionen für eine bestimmte Aufgabe nicht ausreichen, erlaubt die Software das Ausführen von beliebigen externen Programmen oder von PowerShell-Scripts. Alle Benutzerbefehle lassen sich direkt auf ein oder mehrere Objekte anwenden.

    Die Ausführung von Benutzerbefehlen oder von Geschäftsregeln kann man von einer Genehmigung abhängig machen.

    Für jedes dieser Befehlsbündel lässt sich zudem festlegen, dass es nur dann ausgeführt wird, wenn der Vorgang von einem autorisierten Mitarbeiter genehmigt wird. Hier lassen sich entweder beliebige Konten oder die überge­ordneten Positionen in der Hierarchie auswählen (Manager bzw. Besitzer des Ausführenden bzw. des Zielobjekts).

    Benutzerbefehle abhängig von Aktionen starten

    Für eine weitere Automatisierung kann man Benutzer­befehle in so genannte Geschäftsregeln integrieren. Diese definieren Abläufe, die beim Eintreten bestimmter Ereignisse selbständig starten. Dazu zählt beispielsweise das Anlegen oder Löschen eines Benutzers, das Hinzufügen von Konten zu Gruppen oder das Verschieben eines Objekts in eine andere OU.

    Die Ausführung von Geschäftsregeln wird an bestimmte Ereignisse gebunden.

    Für die Ausführung einer solchen Geschäftsregel kann man ebenfalls eine Genehmigung erzwingen. Neben Benutzerregeln führt sie bei Bedarf auch weitere vorgegebene Aktionen aus, beispielsweise das Versenden einer SMS oder einer E-Mail. Zusätzlich kann man auch hier externe Programme oder Scripts einbinden.

    Eingaben validieren

    Die Automatisierung von wiederkehrenden Abläufen hilft nicht nur dabei, diese effizienter zu gestalten und Zeit zu sparen. Vielmehr trägt sie auch dazu bei, die Zahl der fehlerhaften Eingaben zu reduzieren.

    Die Validierung der Eingabe hilft dabei, die Datenqualität für das AD zu sichern.

    Um das Active Directory von falschen und schlampig eingetippten Daten freizuhalten, bietet Adaxes ein weiteres Feature. Es handelt sich dabei um die so genannten Eigenschaftsmuster. Sie dienen dazu, die Eingaben abhängig vom Objekt oder Attribut zu validieren. In den meisten Fällen kann man hier eine RegEx hinterlegen, anhand derer etwa ein Benutzer- oder Computername geprüft wird, bevor Adaxes ihn speichert.

    Zeitgesteuerte Ausführung von Aktionen

    Eine weitere Form der Automatisierung erlauben schließlich die Geplanten Aufgaben. Im Unterschied zu den Geschäftsregeln, die durch Ereignisse ausgelöst werden, starten diese zeitgesteuert.

    Dies ist somit der richtige Kontext für wieder­kehrende Wartungs­aufgaben, beispielsweise das Deaktivieren bzw. Löschen von ungenutzten Konten oder das Benachrichtigen über das bevorstehende Ablaufen von Kenn­wörtern.

    Geplante Aufgaben eignen sich besonders für wiederkehrende Wartungstätigkeiten.

    Auch hier enthält Adaxes bereits eine Reihe vordefinierter Tasks, die man natürlich um eigene Aufgaben erweitern kann. Neben dem zeitlichen Auslöser kann man hier alle möglichen Bedingungen festlegen, die erfüllt sein müssen, damit die Aktion tatsächlich abläuft. Mögliche Konditionen wären etwa die Mitgliedschaft eines Kontos in einer ausgewählten Gruppe oder generell ein bestimmter Wert für ein beliebiges Attribut.

    Fazit

    Adaxes von Softerra ist ein mächtiges Tool zur Automatisierung des AD-Managements, dessen Fähigkeiten weit über jene der Bordmittel hinausgehen. Trotz der Funktionsfülle macht die Software einen relativ leichtgewichtigen Eindruck und lässt sich auch mitsamt der Web-Option recht einfach installieren.

    Das Konzept bestehend aus Rollen, Benutzer­befehlen, Geschäftsregeln, Geplanten Aufgaben und Eigenschafts­mustern ist konsistent und gut zu verstehen. Der einfache Mechanismus zur Genehmigung von Aktionen reicht aus, um bei der Delegierung von Aufgaben größere Unfälle zu vermeiden.

    Weiterführende Informationen sowie eine 30 Tage gültige Testlizenz finden sich auf der Website des Herstellers.

    Keine Kommentare