Gruppenrichtlinien managen und erweitern
AD-Policy-Administration-Suites: Wie Pommes Frites den Hamburger, ergänzen Gruppenrichtlinien Microsofts Active-Directory (AD) perfekt. Active-Directory-Group- Policy-Management-Suites wären dann das noch fehlende Ketchup.
Die Verwendung von Gruppenrichtlinien (Group-Policies) sollte für Organisationen, die Active-Directory ausführen, keine Frage sein. Sie helfen der IT, Änderungen und zahlreiche Einstellungen für Benutzer und Computer im AD über eine zentrale Konsole zu steuern. Aber einige IT-Profis scheuen vor Gruppenrichtlinien zurück. Zwar gehören Gruppenrichtlinien seit Windows-2000 zu jedem Windows-Betriebssystem, aber sie unterliegen Einschränkungen, die ein beträchtliches administratives Chaos verursachen können. In großen Domänen mit mehreren Administratoren beispielsweise ist genau aufzupassen. Denn Gruppenrichtlinien machen es leicht, in Echtzeit Einstellungen zu modifizieren, die jeden Computer oder Benutzer in der Domäne betreffen, aber echtes Change-Management oder Versionskontroll-Fähigkeiten fehlen.
Die gute Nachricht ist, dass Microsoft die mit Gruppenrichtlinien verknüpften Programmierschnittstellen veröffentlicht. Somit stehen diverse Dritthersteller-Applikationen zur Verfügung, die einige Lücken im ursprünglichen Werkzeug füllen. Was aber sind die größten Lücken beziehungsweise Probleme? Da wäre zunächst das Fehlen einer Einrichtung, mit der sich feststellen lässt, wer wann welche Einstellung geändert hat. Das ist besonders problematisch, wenn mehrere Administratoren mit ihren Löffeln in der Suppe rühren. Dieses Problem verschlimmert die Tatsache, dass Gruppenrichtlinien-Objekte (Group-Policy-Objecty, GPOs) in AD auf Domänenebene gespeichert werden und sich nur innerhalb einer Live-AD-Umgebung modifizieren lassen. Ein mögliches Resultat: Nach einer als trivial eingestuften Änderung auf Domänenebene könnte ein paar Minuten später der Helpdesk mit Anrufen überflutet werden.
Clevere IT-Gruppen umgehen dieses Problem, indem sie ihre GPOs mit so wenig Richtlinieneinstellungen wie möglich anpassen. So lassen sich schnell Einstellungen, die eine Massenhysterie auslösen, wieder rückgängig machen, ohne andere, funktionierende GPOs zu beeinträchtigen. Dieses Vorgehen führt aber zu mehreren Dutzend wenn nicht gar mehrere Hundert GPOs in der AD-Domäne. Das bedeutet langsameres Login und längere Startup-Zeiten für die Benutzer.
Gruppenrichtlinien haben noch andere Schwachpunkte: Sie sind auf Windows-Domänenmitglieder beschränkt – es gibt keinen Weg, GPOs für Mac-OS, Unix, Linux und Nicht-Domänen-Mitglieder durchzusetzen. Gruppenrichtlinien können zwar Software verteilen, aber sie sind keineswegs so robust wie konventionelle Desktop-Management-Suites, beispielsweise die von Altiris oder Landesk. Gruppenrichtlinien können weder Setups repaketieren noch Installationen vor der Setup-Ausführung lokal kopieren.
Gruppenrichtlinien besitzen nur wenig natürliche Funktionalität. Für etwas so Einfaches wie die Verteilung einer Desktop-Verknüpfung ist bereits ein Skript zu schreiben. Zwar machen dann die Gruppenrichtlinien die Skriptverteilung einfach, aber Skripte sind oft schwierig zu erzeugen und schwierig zu debuggen und zu testen. Da Skripte Änderungen nicht melden, lässt sich die Funktionstüchtigkeit der Skripte nur durch Versuche verifizieren.
Keine Universallösung
Sucht der Administrator nach Produkten, die diese Einschränkungen beseitigen, muss er leider feststellen, dass es keine Suite gibt, die alles kann. Somit ist zu selektieren. Für den folgenden Vergleichstest wurde das kritischste Paar ausgewählt: Gruppenrichtlinien-Management und Gruppenrichtlinien-Erweiterungen. Gruppenrichtlinien-Management-Produkte liefern Versionskontrolle, erweiterte Sicherheit, zusätzliche Monitoring-/Berichtsoptionen und andere Features. Gruppenrichtlinien-Erweiterungen ergänzen die Funktionalität der Richtlinieneinstellungen – das, was der Administrator auf dem Client manipulieren kann.
Nahezu alle Hersteller, die diesen Markt bedienen, haben separate Produkte für Gruppenrichtlinien-Änderungs-Steuerung und -Management sowie Gruppenrichtlinien-Erweiterungen im Angebot. Das bedeutet, dass eine Organisation theoretisch das Gruppenrichtlinien-Management-Produkt des einen und das Gruppenrichtlinien-Erweiterungs-Produkt des anderen Herstellers kaufen könnte. Empfehlenswert ist das aber nicht, denn es ist schwierig, die Erweiterung des einen mit dem Management-Produkt des anderen Herstellers zusammenarbeiten zu lassen.
dj@networkcomputing.de
