Desktop-Management – Die Software für den täglichen Kampf gegen das Desktop-Übel wird immer besser, aber vom idealen Management-Gesamtpaket sind die meisten Suites noch immer ein Stück weit entfernt.

Die ideale Desktop-Management-Suite arbeitet mit jedem heute sinnvoll nutzbaren Betriebssystem und Netzwerkbetriebssystem zusammen. Sie verteilt jede Art Software, also Betriebssysteme, Anwendungsprogramme und beliebige Dateien, automatisch an die Desktops (DTs) und installiert sie darauf, ohne von Benutzern oder Administratoren manuelle Eingriffe zu verlangen.

Dabei beschränkt sie sich nicht auf die Verteilung fertiger Pakete und Images, sondern sie offeriert den Administratoren auch die Werkzeuge zur Erzeugung der Distributionspakete und Images. Die Auswahl der zu verwaltenden DTs erfolgt über flexible Kriterien, was vollständige Hardware- und Software-Inventare voraussetzt. Die Suite erkennt Abweichungen der Software-Ausstattung eines DTs von einer definierten Standard-Softwareausstattung und installiert die fehlende Software automatisch. Sie entdeckt fehlerhaft arbeitende Software und repariert sie sofort. Installierte Software inventarisiert sie nicht nur, sondern protokolliert auch deren Nutzung. Die Suite verhindert ein weiteres Laden einer Software, wenn die Anzahl der erworbenen Lizenzen erreicht ist. Dabei beachtet sie Prioritäten, denn der Chef soll natürlich nicht daran gehindert werden, sein Excel-Spreadsheet zu betrachten.

Hat die DT-Management-Suite alle erforderlich Software installiert und den DT entsprechend den Unternehmensrichtlinien konfiguriert und verriegelt, ist es ihr Job, die Dinge am Laufen zu halten. Dazu muss sie das Patch- und Update-Management beherrschen. Die Suite lädt aus dem Internet Patches, Fixes, Updates und neue Virusdefinitionsdateien herunter, speichert sie zentral und verteilt sie automatisch oder vom Administrator gesteuert an die DTs. Dabei beschränkt sie sich nicht auf die Aktualisierung von Software aus dem Hause Microsoft, sondern unterstützt beispielsweise auch Linux-Betriebssysteme.

Die Suite erkennt und verhindert Versuche des Anwenders, nicht autorisierte Geräte zu nutzen. So bereitet sie dem Wildwuchs von USB-Sticks, externen Festplatten, Wireless-Karten und vergleichbarer Geräte ein Ende. Installiert ein User jedoch ein autorisiertes Gerät, besitzt aber keinen Treiber dafür, reagiert die Suite und stellt einen geeigneten und autorisierten zur Verfügung.

Für DT-Probleme, die einen manuellen Eingriff des IT-Personals erfordern, bietet die DT-Management-Suite Remote-Control-Funktionen, darunter Fernsteuerung, Dateitransfer, Remote-Programmausführung, Remote-Boot, Chat und Remote-Zugriff auf Dienste, Treiber, Tasks und Befehlszeile. Voice- und Videofunktionalität ist nicht dringend erforderlich.

Natürlich liefert die Suite sinnvolle und leicht verständliche Berichte über Hard- und Softwareausstattung, Softwarenutzung, Desktop-Performance, Compliance, Verwundbarkeiten, Patch-Level etc. Wünscht der Verwalter spezielle Informationen, unterstützt sie ihn mit einem komfortablen grafischen Berichtgenerator.

Die Administrationskonsole der Suite ist benutzerfreundlich und intuitiv bedienbar. Sie stellt sämtliche Funktionen zur Verfügung, bleibt dabei aber übersichtlich. Ihre Online-Hilfe trifft den Punkt. Die auf der Konsole ausgewählten Aufgaben führt die Suite schnell und zuverlässig aus. Die auf jedem Computer mit Internetzugang nutzbare Administrations-Web-Konsole unterstützt alle populären Browser und steht der hauptsächlichen Administrationskonsole funktionell nicht nach.

Die Realität

Von der soeben beschriebenen idealen DT-Management-Suite sind alle Produkte, die Network Computing im Vergleichstest untersucht hat, noch mehr oder weniger weit entfernt. Schon bei den unterstützten DT-Betriebssystemen wird es problematisch. Den gemeinsamen Nenner bilden hier Windows-Betriebssysteme. Aber selbst bei diesen ist die Unterstützung nicht durchgängig. Keine einzige der getesteten Suites unterstützt beispielsweise direkt Windows-XP- oder Vista-Home. Dass Unternehmen diese Betriebssysteme nicht einsetzen, ist wenig wahrscheinlich. Von 30 Notebook-Modellen im Handel ist vielleicht auf zweien eine Professional- oder Business-Windows-Version installiert.

Software verteilen alle vier Programme. Dabei sind aber zwei, die den Administratoren kein Werkzeug für das Packaging zur Verfügung stellen. Und eins davon verteilt gar nur MSI-Pakete. Für beide Programme sind für das Packaging also weitere Programme hinzuzukaufen. Software-Metering, also die Überwachung der Softwarenutzung, steht für eine der vier Suiten gar nicht zur Verfügung, und für eine andere Suite nur als kostenpflichtige Option. Eine automatische Reparatur fehlerhafter Software ließ sich in keinem der Kandidaten entdecken.

Jede DT-Management-Suite ohne extensives Patch-Management und ohne Vulnerability-Report-Engine ist für große Unternehmen wertlos. Kleine und mittelgroße Unternehmen, die weder Berichterstellung noch gezielte Installationen und Rollback benötigen, können mit Microsofts kostenlosem Software-Update-Services (SUS) noch wegkommen. Dieser Dienst ist nicht so robust wie eine vollständige DT-Management-Suite, aber besser als gar nichts.

Eine der getesteten Suiten unterstützt ausschließlich diesen Dienst. Das Pushen von Patches ist gut, das von Sicherheits-Patches mit Antivirus-Definitionsdateien, Software-Releases und vollständigen Applikations-Suites aber ungleich besser. Lediglich eins der Produkte kommt diesem Ideal nahe.

Die Nutzung nicht autorisierter Geräte verhindern können lediglich zwei der Produkte – das eine standardmäßig, das andere mit einer optionalen Erweiterung.

Leicht verständliche Berichte liefern alle vier Suites, aber nicht jede macht es dem Verwalter leicht, eigene Berichte zu erzeugen. Die Administrationskonsolen sind insgesamt noch verbesserungsfähig, ließen sich aber bei jedem Produkt nach kurzer Einarbeitung gut bedienen. An den Remote-Control-Fähigkeiten gab es nichts auszusetzen.

Das Fazit: Von vier getesteten Produkten kommt nur eins, die Landesk-Management-Suite, dem Ideal, so wie wir es definiert haben, sehr nahe. Dennoch ist es nicht verkehrt, eins der anderen zu implementieren. Im Test sahen wir bei jedem Kandidaten weiter gereifte Administration, Patch-Management und Verwundbarkeitseinschätzung. Konventionelle Funktionen, beispielsweise Inventarisierung, Software-Distribution und Remote-Control, zeigten nach wie vor inkrementelle Verbesserungen. Alle vier Teilnehmer befinden sich auf dem richtigen Weg, eins hat das Ziel schon fast ereicht.

dj@networkcomputing.de