Vier Tools erleichtern die Arbeiten am AD

29. März 2010

Kein professionelles Firmennetzwerk kommt im Windows-Umfeld ohne den Verzeichnisdienst Active Directory aus. Daher wissen die IT-Profis auch nur zu gut um die Probleme, mit denen sie bei ihrer täglichen Arbeit mit dem AD konfrontiert werden.

In einem Vergleichstest stehen sich vier Werkzeuge von verschiedenen Softwareherstellern gegenüber, die genau diese Probleme adressieren sollen. Diese Kurzform des Vergleichs zeigt, wie der Autor getestet hat und die verschiedenen Produkte abgeschnitten haben.

Alle vier getesteten Produkte arbeiteten gut und führten vor allen Dingen ihre Aufgaben so aus, wie es von den Herstellern versprochen wurde. Insgesamt gesehen hat der Active Roles Server den Tester am meisten beeindruckt.

Die Langversion des Testbeitrags hat unser Inhalts-Sponsor Quest Software spendiert. Sie steht kostenlos als PDF gegen Registrierung zur Verfügung.

Eine klare Schnittstelle zeichnet Ensim Unify Enterprise Edition aus.

In einem praxisorientierten Test fiel der Vergleich zwischen vier Softwarewerkzeugen, die Administratoren bei ihrer Arbeit am Active Directory (AD) unterstützen und entlasten sollen:

  • Ensim Unify Enterprise Edition,
  • Manage Engine ADManager Plus,
  • den Active Roles Server von Quest Software und
  • Directory and Resource Manager von NetIQ.

Jedes dieser vier Produkte versucht, eine oder auch mehrere der Problematiken zu adressieren, die bei der täglichen Arbeit mit dem Verzeichnisdienst auftauchen können: Dazu gehören beispielsweise das Einstellen von sehr feinstrukturierten Sicherheitseinstellungen, die gleichzeitige Provisionierung von Anwendern auf mehreren Systemen und die Überwachung des AD. Einige der Produkte bieten alle Möglichkeiten direkt komplett und „out of the box“ an, während andere Hersteller einen modularen Ansatz bevorzugen.

Fünf typische Aufgabenstellungen sind zu absolvieren

Um diese Softwarelösungen zu testen, haben wir sie fünf typische administrative Aufgaben bewältigen lassen, die von den eingebauten Microsoft-Tools nur schlecht oder überhaupt nicht bearbeitet werden können. Zu diesen Aufgaben gehörte zunächst mal die grundsätzliche Provisionierung von Anwendern beispielsweise für Active Directory, Exchange, Blackberry und ERP (Enterprise Resource Planning). Weiterhin wurde die Exchange-Provsionierung getestet, zu der beispielsweise das Anlegen eines Datenspeichers basierend auf den letzten Namen und der Abteilung gehörte.

Dann kamen noch die Weitergabe von Aufgaben (Delegation of Duties) und das Austragen (De-Provisioning) eines Anwenders mit dem Löschen des User-Namens, dem Neusetzen des Passworts und dem Entfernen der Nutzereinträge von externen Systemen zum Einsatz. Schließlich wurden noch die Berichtsmöglichkeiten für einen IT-Sicherheitsaudit untersucht.

Alle vier der getesteten Produkte überragten dabei mit ihren Fähigkeiten weit die standradmäßigen  AD-Werkzeuge, die von Microsoft zusammen mit den Windows-Servern ausgeliefert werden. In einzeln konnte der Tester deshalb die folgenden Bewertungen vergeben:

Die Lösung Ensim Unify Enterprise Edition, die von der Ensim Corporation angeboten wird, konnte auf der Habenseite eine übersichtliche und einfach zu beherrschende Oberfläche aufweisen. Ebenfalls positiv ist es unserem Tester aufgefallen, dass die Software vordefinierte Rollen zur Verfügung stellt, die einen Administrator sinnvoll beim Einstieg in die Lösung unterstützen. Als nicht so positive Eigenschaft fiel hingegen auf, dass es dem Anwender mit dieser Software nicht einfach gemacht wird, entsprechende Berichte in gängige Formate zu exportieren, was bei einem IT-Sicherheitsaudit einen großen Nachteil bedeutet.

Die Software stellte sich insgesamt als ideal geeignet für solche Installationen dar, in denen eine Provisionierung außerhalb von Active Directory beispielsweise für den Blackberry Enterprise Server, Exchange Server 2003 und 2007, Google Apps und Microsoft Office Communication Server (OCS) gefordert ist.

Das zweite Tool im Test mit den Name Manager Plus wird von der Firma Manage Engine auf den Markt gebracht. Als besonderer Pluspunkt dieses Pakets stellte sich in unserem Test die sehr einfache und damit auch entsprechend leicht zu bedienende Oberfläche heraus. Leider kann ein Administrator beim Einsatz der Software mit ihrer Hilfe keine Provisionierung von Anwender außerhalb von AD und Exchange durchführen. So empfiehlt sich diese Anwendung vor allen Dingen als günstige Alternative zum standardmäßigen Snap-In unter AD, da sie deutlich mehr Features anzubieten hat, als dem Systembetreuer unter der MMC zur Verfügung stehen.

Der Einsatz einer Web-Console kennzeichnet den Directory and Resource Manager von NetIQ.

Der Active Roles Server der Softwarefirma Quest war der dritte Testkandidat. Hier präsentierte sich unserem Tester ein sehr ausgereiftes Werkzeug zur Provisionierung unter Active Directory. Besonders positiv ist dabei die Fähigkeit aufgefallen, die eingestellten beziehungsweise veränderten Zugriffsrechte aus der Lösung direkt an Active Directory weiterzureichen.

Dieses Paket ist allerdings insgesamt eine vergleichsweise teure Lösung. Als Fazit des Tests bleibt festzuhalten, dass IT-Verantwortliche, die eine möglichst weitgehende Provisionierung der Anwender mit einer detaillierten Workflow-Funktionalität benötigt, mit diesem Produkt definitiv die beste Wahl treffen.

Abgerundet wurde das Testfeld dann durch den „Directory and Resource Manager“ der Firma NetIQ. Eine Lösung, die bei diesem Vergleich vor allen Dingen durch ihre überragende Fähigkeiten bei den Berichten und beim Auditing punkten konnte. Auch die einfache und gut entworfene Oberfläche der Software gefiel dem Tester gut. Insgesamt stellte er jedoch fest, dass diese Software sich nicht ganz so intuitiv bedienen ließ, wie es beim ActiveRoles Server der Fall war.

Zudem müssen Administratoren, die mit der Software externe Anwendungen automatisieren wollen, sehr viele Skripte nutzen. Systemverantwortliche und Administratoren, die allerdings sehr viel Wert auf exzellente Berichts- und Auditing-Fähigkeiten legen und zudem in ihrem Team auf umfangreiche Erfahrung bei VB Script zurückgreifen können, finden mit dieser Lösung das  Werkzeug ihrer Wahl.

Das Fazit des Vergleichstests

Alle getesteten Produkte arbeiteten gut und führten vor allen Dingen ihre Aufgaben so aus, wie es von den Herstellern versprochen wurde. Zusammenfassend hat aber der Active Roles Server den Tester am meisten beeindruckt. NetIQ Directory and Resource Administrator belegen knapp dahinter den zweiten Platz, weil der Active Roles Server das bessere Interface zu bieten hat.

Frank-Michael Schlede

Lesen Sie auch