In vielen Unternehmen ist das Active Directory (AD) der Dreh- und Angelpunkt der Benutzerverwaltung in der IT. Außerhalb der IT kommt es jedoch kaum zum Einsatz, was vielleicht an der Komplexität und der Gestaltung der Oberflächen liegt. Es geht auch anders – wie der Admanager Plus von Manageengine zeigt.

Administratoren können von den Spielarten der Benutzerverwaltung zumeist ein fröhliches Lied singen: Die Personalabteilung nutzt ein System zur Verwaltung der Angestellten, die Software für die Telefonansteuerung bedient sich einer eigenen Datenquelle und das Zeiterfassungssystem wieder einer anderen Datenbank. Oft gibt es für die Doppelerfassung von Benutzerstammdaten gute Gründe, in vielen Fällen jedoch nicht. Dass sich beispielsweise die IT-Abteilung mit der Anlage von Benutzerkonten und deren Zuordnung in Organisationseinheiten (OUs) oder für Gruppenmitgliedschaften auseinandersetzt, hat oft nur einen einzigen Grund: Wie soll der Administrator die Eingabemöglichkeiten der MMC für „Active-Directory-Benutzer und -Computer“ zielgerichtet der Personalabteilung zur Verfügung stellen, ohne dass die Gefahr besteht, dass diese das AD durch eine Fehleingabe schädigt? In anderen Szenarien haben IT-Support-Mitarbeiter nur deshalb umfangreiche Administrationsrechte, weil die Microsoft-eigenen Programme eine feinere Zugriffssteuerung nicht in der gewünschten Form bieten.
 
Funktionsprinzip
Der Admanager Plus 6.3 von Manageengine erleichtert das Einrichten und Pflegen des unternehmenseigenen Active Directorys mit Zusatzwerkzeugen, die über eine Web-Oberfläche bereitstehen. Neben einer feineren Steuerung von Zugriffsrechten erlaubt die Software Massenoperationen, die Administratoren ansonsten nur mit Skript-Jobs realisieren könnten, beispielsweise den Import von Benutzerdaten über CSV-Dateien mit automatischer Anlage und Konfiguration von Gruppenzugehörigkeiten.
Ein integriertes Berichtswesen bietet den IT-Verantwortlichen die Grundlage für Compliance-Prüfungen der eigenen Umgebung und die Überwachung der wichtigsten Einstellungen und Attributdefinitionen im AD. Ein besonders spannendes Feature ist die Möglichkeit, administrative Routineaufgaben wie die Anlage neuer Benutzerkonten an Techniker oder Verwaltungsanstellte zu delegieren.
 
Installation in Minuten
Die Systemanforderungen der Lösungen sind eher gering. Eine 1,0-GHz-CPU, 1 GByte RAM und gerade einmal 2 GByte Festplattenspeicher benötigt man für die Installation. Die geringen Anforderungen sind wenig verwunderlich, da die Software Informationen meist direkt im AD speichert. Ein kleines Datenbankmodul für PostgreSQL installiert das Programm gleich mit, und hinsichtlich der Softwareausstattung verlangt die Anwendung lediglich nach Java.
Durch die Nutzung der Software entstehen für das AD keine expliziten Abhängigkeiten. Steht Admanager nicht zur Verfügung, kann der Administrator die Verwaltung jederzeit wieder über die typischen MMC-Snap-ins vornehmen. Die Installation der Software beschränkt sich auf einen Doppelklick auf das knapp 70 MByte große Installationsprogramm, die Auswahl des Zielpfads und die Angabe der Port-Nummer für den Web-Service. In unserer Testinstallation auf einem deutschsprachigen Windows Server 2008R2 konnten wir schon nach wenigen Minuten per Browser auf unser AD zugreifen. Weitere Tests folgten auch auf einem virtualisierten englischsprachigen Windows Server 2012R2, den uns der deutsche Vertriebspartner Micronova zur Verfügung stellte. Für den Zugriff benötigen Mitarbeiter und Techniker lediglich einen Browser. Wir testeten unter OSX mit Apple Safari 9, unter Windows 7/WS2008R2/WS2012R2 mit Mozilla Firefox 42, Microsoft Internet Explorer 11, Chrome 47 und Opera 34.
Durch die Installation als Domänenadministrator auf dem Server ist das Programm sofort in der Lage, auf das AD zuzugreifen. Nach der Einrichtung war das Passwort für die Erstanmeldung bereits hinterlegt, somit ging es im Test ohne Umwege direkt in die Lösung hinein. Ein Hinweis, dass es sinnvoll ist, das Passwort sofort zu ändern, gab es leider nicht. In der Grundkonfiguration arbeitet Admanager zunächst über HTTP, die Umstellung auf die sicherere HTTPS-Verbindung war im Test mit wenigen Mausklicks erledigt.
Einige Funktionen kann der Neuanwender gleich nutzen, bei einigen anderen Aufgaben kommt es zu einem Authentisierungsfehler, da zunächst im Register „Admin“ ein Benutzer mit Kennwort für weiterführende Aktionen in AD definiert sein muss. Dies erklärt sich zwar anhand der Fehlermeldungen, jedoch wäre ein Erstkonfigurationsassistent, der den Neuling durch die Software leitet, eine kleine, aber praktische Hilfe und durchaus üblich.
Das Dashboard mit der Ansicht „Stamm“, welches den Administrator bei jeder Anmeldung am Admanager begrüßt, fasst die wichtigsten Eckdaten des ADs zusammen. Die Anzahl von Arbeitsstationen und Benutzern wird der IT-Verantwortliche über diesen Weg bald aus dem Effeff benennen können. Doch nicht immer stimmen diese Zahlen exakt: Löschten wir im Zuge unseres Tests Objekte, beispielsweise drei PCs, dauerte es ein paar Minuten, ehe die Software die aktualisierten Zahlen darstellte. Die kleinen Aktualisierungsschaltflächen, die der Anwender beinahe überall entdeckt, stoßen das Update an. Der Informationsgehalt ist, wie auch an anderen Stellen in der Lösung, stets sehr hoch. Dennoch hat das Design etwas vom Charme der frühen 2000er-Jahre behalten, und spätestens bei der Schaltfläche mit dem bewegten Pfeil „Jetzt kaufen“ wirkt es beinahe etwas „trashig“.
Was der Software an Oberflächendesign fehlt, macht sie glücklicherweise bei den Funktionen mehr als wett. Angemeldet als Administrator kann der Benutzer alle Befehle – von der Anlage neuer Benutzer und Computer über Gruppenzusammenstellung, Stammordner-Verschiebungen oder Anpassungen von Mail-Einstellungen für Exchange-Server – direkt aus der Web-Oberfläche auswählen und nutzen. Die Delegation von Aufgabenbereichen ist jedoch eine Kernfunktion der Lösung. Im einfachsten Fall wählt der Administrator einen im AD bereits angelegten Benutzer aus und weist ihm im Register „AD-Delegierung“ eine Helpdesk-Rolle zu. Hinter diesen Rollen verbergen sich wiederum mehrere Vorlagen, über die der Administrator festlegt, welche Attribute und Kommandos ein Techniker oder ein Mitarbeiter der Personalabteilung verwenden darf. Praktischerweise muss er hier nicht komplett bei null anfangen, da beide Rollen vom Hersteller bereits vordefiniert sind und als Anschauungsobjekte dienen.
Im Vergleich zu Microsofts Bordmitteln geht es beim Admanager deutlich komfortabler zur Sache, beispielsweise bei der Definition von Anmeldenamen. Nicht jedes Unternehmen konnte sich auf ein einfaches Konzept wie „Vorname.Nachname“ einlassen. Mitunter gibt es hier die seltsamsten Konstruktionen, die der Administrator mit der Software gut abbilden kann. Das automatische Ersetzen von Umlauten, die Entfernung unerwünschter Leerzeichen und Punkte oder das Hochzählen einer angehängten Zahl auch mit führender 0, um doppelte Anmeldenamen zu verhindern, erledigte die Software im Test ohne Probleme.
Ebenfalls gut gelöst ist die Verwendung von Massendaten („Bulk-Management“). Will der Administrator oder Techniker mehrere Konten auf einmal anlegen oder für eine Gruppe von Benutzern gleichzeitig das Passwort zurücksetzen, so ist das mit der Software intuitiv möglich. Hier erklären sich alle Funktionen weitgehend von allein, und selbst in einem Arbeitsschritt bietet der Admanager häufig noch die Möglichkeit, einen Zwischenschritt durchzuführen. Ein Beispiel: Der Anwender hat zwanzig Benutzerkonten angelegt oder per CSV-Import eingelesen; ihm fällt erst verspätet ein, dass er eine neue OU für die User braucht. Dafür bietet die Software die passende Funktion. Dies vereinfacht das Tagesgeschäft deutlich.
Aber auch außerhalb der manuellen Arbeitsschritte bringt die Software einigen Komfort mit sich. Im Register „Automation“ stellt sich der Administrator mit wenigen Mausklicks beispielsweise einen Prozess „Benutzer_Austritt“ zusammen. Wer sich 30 Tage nicht mehr angemeldet hat, dessen Benutzerkonto wird auf „Disabled“ gesetzt oder aus einer Gruppe entfernt. Für einfache, aber regelmäßig auftretende Vorgänge bringt der Admanager eine simple Workflow-Funktion mit. Somit können Mitarbeiter in der Software Service-Desk-Anfragen wie zum Beispiel „Benutzer verlässt Unternehmen“ direkt verarbeiten.
Während man bei der eigentlichen Bearbeitung im Active Directory auf Skript-Jobs komplett verzichten kann, ist für das Anstoßen von Fremdsystemen wiederum etwas Programmiergefühl erforderlich. Im Anschluss von Prozessen ist die Software in der Lage, Skripte mit Variablen anzustoßen, um beispielsweise die Benutzeranlage oder eine Änderung an eine Branchensoftware weiterzugeben.
 
Überzeugende Auswertungen
Im Register „AD-Berichte“ kommen selbst die Administratoren, die sich sonst nur mit technischen Details auseinandersetzen wollen, ins Schwärmen. Die Software wertet faktisch alle denkbaren Informationen im Active Directory in einer Art und Weise aus, dass es stets die Fragestellung beantwortet, die der Anwender wohl haben könnte. Gute Beispiele hierfür sind „Kürzlich gelöschte Benutzer“, „Benutzer in mehr als einer Gruppe“, „Benutzer ohne Anmeldeskript“ oder „Nie angemeldete Benutzer“. Admanager beschränkt sich nicht nur auf die 32 Berichte für Benutzerobjekte: Ähnlich detailliert weiter geht es über die Segmente Kennwort, Gruppen, Computer, Exchange, Kontaktinformationen, GPO, Organisationseinheiten, NTFS-Sicherheit, Office 365 und Konformitätsberichte.
In der Grundeinstellung wählt die Software für Reports gebräuchliche Standardwerte wie beispielsweise „sieben Tage“. Mit wenigen Mausklicks begrenzt der Administrator oder der zugewiesene Techniker die Auswertung auf eine bestimmte Organisationseinheit. Die Ergebnisse der Auswertungen exportiert das Programm in die gängigen Formate wie CSV, Excel, HTML und PDF. Auf Wunsch kann der IT-Verantwortliche sich seine Reports auch per Scheduler als E-Mail zusenden lassen.
Preislich beginnt die Lösung in der Standard-Edition bei rund 550 Euro pro Jahr in einer Variante für eine Domäne und zwei Helpdesk-Mitarbeiter, für 20 Helpdesk-Mitarbeiter liegt sie etwas über 3.100 Euro. Die „Free Edition“ zur Verwaltung von maximal 100 AD-Objekten ist – wie der Name schon erahnen lässt – kostenfrei und eignet sich bestens für einen eigenen ersten Eindruck.
 
Fazit
Besonders in größeren und verteilten Umgebungen spielt die Manageengine-Lösung Admanager Plus 6.3 als zusätzliche Verwaltungs- und Auswertungsmöglichkeit im Active Directory ihre Karten aus. Im Vergleich zu den Standarddialogen ist Admanager Plus deutlich einfacher zu bedienen und lässt sich durch den Administrator exakt an die Anforderungen anpassen. Im Zusammenspiel mit dieser Software bietet der Hersteller weitere Produkte an, darunter eine Audit-Software, einen Exchange-Reporter, ein Self-Service-Portal und ein Programm zur Auswertung der Windows-Ereignisanzeigen.
Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede
Info: MicronovaTel.: 08139/93000Web: www.micronova.de

Über eine einfache Workflow-Regelung spielt die Software mit dem Service-Desk zusammen.

Bei Bedarf erstellt Admanager automatisch die Anmeldenamen inklusive der Verhinderung von Doppelnennungen.

Das Berichtswesen überzeugte im Test mit Detailtiefe und nützlichen vorbereiteten Reports.

Der Administrator kann festlegen, welche Vorlagen Techniker oder Mitarbeiter der Personalabteilung verwenden dürfen.

Die Delegation von Verwaltungsrechten im AD ist eine der Kernfunktionen des Admanagers.

Zwar ist Admanager optisch nicht mehr auf dem neuesten Stand, dafür liefert die Software schnell viele wichtige Informationen über das Active Directory.