Provisioning

Der permanente Wettbewerb und Kostendruck erfordert eine kontinuierliche Überprüfung der internen Kostenstrukturen und den Einsatz der Mittel. Bei Dienstleistern ist damit primär die Ressource "Mensch" gefragt, welche effektiver einzusetzen ist. Weg von "Regeltätigkeiten", die möglichst automatisiert erfolgen können zu individuellen Mehrwertleistungen, die aus einem Standardprodukt eine Kundenlösung schaffen.

Wirtschaftlichkeitsrechnung einer Provisioning Plattform

Kosten Nutzen

Zuerst einmal die Aufwände, die hinter eine Implementation eines Provisioning stehen:

  • Server
    Hardware, Betriebssystem, Backup, Antivirus, Betriebskosten
  • Kosten für Provisioning
    Software (Entwicklung oder Anschaffung und Updates)
  • Kosten für individuelle Anpassungen
    (Initial und laufende Anpassungen)
  • Projektaufwand für
    Dienstleistung, Schulung, Produktauswahl

Nutzen: Welche Einsparungen und Vorteile habe ich durch Provisioning

  • Fehlerarm
    Weniger manuelle fehlerträchtige "Routinearbeit"
  • Revision Änderungen werden protokolliert
  • Reaktionszeit Änderungen des Kunden werden umgehend umgesetzt auch nachts (24h Betrieb)
  • Kosteneinsparungen
    Manuelle Änderungen kosten Arbeitszeit, Tag für Tag

Aus diesen Gründen gehen nicht nur alle große Webhosting Provider für Firmen den Weg, den Kunden quasi selbst die Einstellungen über einen Webbrowser durchführen zu lassen, sondern auch immer mehr mittelständige unternehmen und universitäten sind Kandidaten für diesen "SelfService", um Prozesse zu beschleunigen und letztlich Kosten zu sparen.

Probleme der klassischen Lösung

Wenn Sie heute ihre Anwender und Verteiler verwalten, dann nutzen Sie dazu wie selbstverständlich die Management Konsole für Benutzer und Computer. Um Einstellungen im Exchange Server durchzuführen, nutzen Sie den Exchange System Manager. Diese Vorgehensweise ist für die meisten kleinen und mittleren Firmen üblich und effektiv aber stößt auch in ihre Grenzen. Hier eine kurze Liste der wünschenswerten Funktionen, die eine MMC nicht abbilden kann.

  • Plausibilitätsprüfung und Vorlagen
    In der MMC ist nur sehr schwer sicher zu stellen, dass die Felder alle "richtig" mit plausiblen Daten gefüllt wären. Leider kann man in der MMC keine Vorlagen einbinden (nur über Kopieren eines Anwenders) und selbst dann sind Tippfehler in der Abteilung erst beim Exchange Adressbuch später bemerkbar
  • Fehlender Prozessverarbeitung
    Oft ist es nicht nur "mal schnell einen Benutzer anlegen", sondern solch ein Vorgang betrifft gleich mehrere Abteilungen. Es muss nicht gleich ein Workflow sein, aber ideal  wäre es, wenn die Personalabteilung z.B.: bei der Neueinstellung die Daten in einem Formular eingibt und das System das meiste im Hintergrund alleine macht. Auch wenn der Personalchef kein Administrator ist.
  • keine angepasste Hilfe
    Dazu gehört auch, dass die MMC keine Hilfe für Anwender bereit stellt. Ich möchte natürlich erst gar nicht die MMC in die Hand eines Anwenders geben, aber wenn dies der einzige Weg wäre, sollte eine angepasste Hilfe möglich sein. Die TaskPad-Anzeige der MMC ist ein erster Schritt.
  • Change-Management/Protokollierung
    Ein großes Problem beim Active Directory ist die fehlende Protokollfunktion, die Veränderungen niederschreibt. Wie oft wird später gefragt: "Wer hat wann das getan" ? bzw. wie schnell wurde ein Auftrag eines Kunden oder Mitarbeiters bearbeitet.
  • Komplizierte Berechtigungen und schlechte Delegierung
    Um bestimmte Dinge zu tun, benötigt der Anwender entsprechende Berechtigungen. Damit könnten aber auch ein Virus oder andere Programme eben diese Rechte auch missbrauchen und jede Beschränkung der MMC umgehen. Der Benutzer darf eigentlich nicht die Rechte haben, sondern nur das Programm, welches die Funktionen kontrolliert ausführt. Wenn dies nicht geht, dann müssen Sie als Administrator aber komplizierte Berechtigungen auf OU's und Exchange Objekten einstellen. Das möchte ich eigentlich nicht.
  • Administrative Tools auf Verwaltungs-PCs
    Wenn die MMC wirklich das Mittel der Wahl ist, dann bedeutet dies aber, dass die MMC mit allen erforderlichen Erweiterungen auf die Clients verteilt wird. Auch Service Packs müssen so verteilt werden. Das ist keine einfache Aufgabe, zumal vielleicht die Systeme der Anwender gar nicht geeignet sind. (RAM, Betriebssystem, Netzwerkanbindung)
  • Self-Service
    Viele Tätigkeiten, die heute einen Helpdesk oder Administrator beschäftigen, könnte der Anwender auch problemlos selbst erledigen. So könnte z.B. ein Kollege oder der Vorgesetzte ein Kennwort zurücksetzen bzw. ein gesperrtes Konto wieder freigeben. Ebenso ist die Personalabteilung die richtige Stelle, um das Ausscheiden eines Benutzers im System als Verfallsdatum einzutragen.

Solche Anforderungen bzw. Probleme führen dazu, dass einige Administratoren bestimmte Tätigkeiten mit Skripten automatisieren oder über die Eingabe z.B. über eine Webseite durchführen lassen. Solche Lösungen laufen unter dem Begriff "Provisioning Systeme".

Die Lösung

Eine Abhilfe verspricht, wie so häufig, eine geeignete Software, die den Einsatz der MMC überflüssig macht und den entsprechenden Personen bzw. Inhabern von funktionalen Rollen eine einfache Möglichkeit gibt, die Tätigkeiten auszuführen. Hierzu gibt es zwei Ansätze:

  • Eigenes Windows Programm
    Eine eigens geschriebene bzw. angepasste Anwendung für Windows übernimmt anstatt der MMC die Tätigkeiten. Die Anwendung kann dann auch Plausibilitätschecks, Protokollierung etc. durchführen. Sie muss aber verteilt und installiert werden.
  • Web Anwendung
    Moderner ist hier dann die Implementation als Webseite, so dass ein beliebiger Browser als Client genutzt werden kann und der Code auf dem Webserver die Arbeit übernimmt.

Natürlich gibt es noch Zwischenwege und andere Wege eines Provisioning. Besonders im "Unterbau" können Sich die Produkte stark unterscheiden.

Client Server oder wer tut etwas

Direkt mit der Wahl der Anwendung ist auch die Frage verbunden, welche Komponente nun die Einstellungen in das System schreibt. Drei Ansätze sind denkbar:

  • Anwendung schreibt mit userrechten direkt
    Wenn der Anwender selbst die erforderlichen Berechtigungen im Active Directory und den Servern hat, kann eine eigens entwickelte Anwendung direkt die Felder beschreiben. Die Logik und Plausibilitätsprüfung als auch die Ausführung sind in einem Programm komprimiert und die Berechtigungen sind auf den Benutzer bzw. Gruppen gebunden.
  • Anwendung schreibt mit anderen Rechten
    Der Anwender startet zwar die Anwendung auf seinem PC oder nutzt eine Seite auf einem Webserver. Dieser Code hat dann die Rechte, entsprechende Aktionen auszuführen aber nicht der Anwender selbst. So könnte ein Windows Programm einfach ein "RunAs" nutzen, um die schreibenden Funktionen mit privilegierten Rechten zu starten. Eine ASP-Seite könnte ebenfalls beim LDAP-Connect explizit einen abweichenden Benutzernamen angeben.
  • Client Server-Prinzip
    Die wird die Anwendung nur genutzt, um die entsprechenden Aufträge und Anweisungen einzugeben. Ein zweiter Prozess im Hintergrund sorgt dann dafür, dass die Änderungen an den Zielsystemen durchgeführt werden. Solche Lösungen sind meist sehr viel besser Skalierbar und Führung zu einer Trennung der Eingabe und der Business Logik. Allerdings muss hier dann eine Art Warteschlange der Aufträge verwaltet werden und eine Problembehandlung muss dem Anwender eine Rückmeldung geben, wenn ein Vorgang nicht ausgeführt werden kann.

Am flexibelsten ist natürlich der Client-Server Ansatz, wenn der Client zudem ein Webbrowser ist und der Code auf der Webseite die Aufträge auf Plausibilität und Berechtigung prüft und direkt ausführt oder in eine Warteschlange stellt, die dann von einem anderen Prozess abgearbeitet wird.

Berechtigung und Datenhaltung

Bei der Nutzung eines Provisioning Systems stellt sich automatisch die Frage, wie denn gesteuert wird, wer was darf. Hier gibt es im Bereich Active Directory und Exchange zwei grundlegend unterschiedliche Konzepte

  • Active Directory Berechtigung
    Einige Provisioning Systeme (z.B. der Microsoft Webadmin) nutzen keine eigene Verwaltung von Berechtigungen und administrativen Rollen, sondern verlangen von dem Anwender eine Anmeldung und greifen mit diesen Daten dann auf das Active Directory zu. Damit wird direkt über die Berechtigungen auf OU's und Objekte auch die Funktionalität der grafischen Anwendung gesteuert. Dies führt dazu, dass Sie als Administrator klar Berechtigungen im AD vergeben müssen. Ohne besonderen Schutz ist es damit aber dem Anwender ebenfalls möglich, das Provisioning System zu umgehen und direkt per LDAP auf die Objekte zuzugreifen und diese außerhalb zu verändern. Diese Logik eignet sich daher eher für kleine und einfache Systeme
  • Rollenbasierte Berechtigung
    Leistungsfähiger ist sicher eine auf Rollen basierte Administration, bei der im System über Gruppen bestimmt wird, welche Nutzer welche Aufgaben durchführen dürfen. Nach der Anmeldung erhalten die Anwender dann auf Sie abgestimmte Oberflächen, die zudem mit individuellen Hilfetexten und anderen Zusatzfunktionen bestückt sein. Hinzu kommt, dass die Berechtigung in den Zielsystemen nicht für einzelne Benutzer gesetzt werden, sondern quasi das Servicekonto die Berechtigungen erhält. Das vereinfacht den Betrieb des AD und verhindert, dass Anwender am Provisioning System vorbei Änderungen durchführen können.

Prüfen Sie daher genau, ob die Vergabe von Berechtigungen über die Rechte auf dem Zielsystem oder eine eigene Berechtigungsstruktur erfolgt. Wobei die Nutzung einer eigenen Berechtigungsstruktur nicht ausschließt, dass dabei Windows Sicherheitsgruppen und Active Directory Benutzer einbezogen werden. Die erspart ihnen eine eigene Benutzerverwaltung im Provisioning System selbst.

Who is Who ?

Einen richtigen Markt mit klaren Wettbewerbern gibt es im Bereich Provisioning meiner Ansicht nach nicht, da viele Produkte, die heute als "Fertig" verkauft werden, entweder stark in der Funktion eingeschränkt sind oder einer einen Bausatz zum Zusammenstellen und Anpassen darstellen,. Viele Produkte dürften aus einer Auftragsentwicklung bei einem Kundenprojekt hervor gegangen sein und wurden dann einfach weiter entwickelt. Jeder Anbieter versteht natürlich etwas eigenes und währen die einen Produkte eher klein und überschaubar, wenig anpassbar aber direkt einzusetzen sind, sind andere Lösungen eher umfangreich und komplex, um viele Einsatzfälle abzudecken. Nur ist hier dann auch eine längere Anpassungsphase einzuplanen.

Die Liste der Programm ist nicht vollständig und stellt keine Gewichtung oder Bewertung dar. Da ein Test und Bewertung der Produkte jenseits meiner Möglichkeiten liegt, bin ich auf Feedback der Firmen oder von Personen, die das ein oder andere Produkt einsetzen, angewiesen.

Firma/Produkt Plattform Berechtigung Ziele Preis
Microsoft WebAdmin (Nicht mehr zum Download verfügbar !!)
Frühere Beispielanwendung einer Weboberfläche mit ASP.
Web/ASP Active Directory
  • Active Directory
  • Exchange
  • Office
free
Microsoft Provision System (MPS)
www.Microsoft.com/serviceproviders/mps/default.asp
http://www.microsoft.com/serviceproviders/solutions/
hostedmessagingprovisioning.mspx
  ? ?  
Microsoft ADS
http://www.Microsoftcom/downloads/details.aspx?FamilyID=1cb154f4-2b88-45e8-8a6d-bf41ccbf386b&DisplayLang=en
? ?
  • Server Setup und Konfiguration
 

WebSitePanel
http://www.websitepanel.net/
Provisioning Framework per Webbrowser für Hoster

Exchange 2010 SP1 support status in WebsitePanel
http://social.msdn.microsoft.com/Forums/en-US/wspentsupport/thread/f4db8636-a3a3-4c1c-93dd-82390f9d1d8f

Win/ASPX  
  • Active Directory
  • Exchange 2007/2010
  • OCS 2007
  • Sharepoint 3.0

Und viele mehr

Free !
Cloud Panel
https://cloudpanel.codeplex.com/
? ? ? Free ?
Directory update
http://www.directory-update.com
http://msmvps.com/blogs/ehlo/archive/2006/08/31/111367.aspx
Win/ASPX XML-Steuerung mit Dienstkonto
  • Active Directory
  • Self-Service
299US-$
399US-$
rDirectory
http://www.namescape.com/Products/rDirectory/Default.aspx
CommunityEdition (FREE) Anzeige und "Self Editing"
? ? ?  
cMatrix ITSM
http://www.econet.de/product/itsm/uebersicht.htm
Win/ASP Mandanten
Rollen
  • Active Directory
  • Exchange
  • SelfService
  • Konfiguration
 

ALGACOM AG: algaCom Account provisioning System (aAPS)
http://www.algacom.ch/produkte

PowerShell Cmd-Line Administration Tool, Self-Service Portal, Password Reset Portal, Attestations Portal

Win/ASP
  • AD Integrated
  • Business Roles
  • ulti-Tenancy
  • Active Directory
  • Exchange
  • NotuL Notes
  • SMTP Routing Tables
  • SharePoint
  • Generic XML
Basis 20cent / user
EasyExchangeAdministrator

http://www.system-hosting.com/de/index.php

       
ActiveRoles Server & Quest Quick Connect
http://www.quest.com/activeroles-server/
Windows/MMC Web/ASP Active Directory & andere Zielsysteme
  • Active Directory
  • Exchange
  • Fileservices
  • SharePoint
  • OCS/Lync
  • SAP
  • Lotus Notes
  • Online Services ( z.B. GoogleApps)
  • RACF / ACF2 / TopSecret

div. Verzeichnisse, Identity Management Frameworks und Datenbanken

 
eQuest www.eqinc.com
http://www.eqinc.com/MPSQuickstart.aspx
? ? ?  
Imanami Web Based Directory & Account Provisioning
http://www.imanami.com/products/webdir/web_provisioning.asp
Web/ASP
  • Active Directory
  • Exchange
250 uS-4 für 5 Administratoren
User Management Resource Administrator
http://www.tools4ever.de/software/user-management-resource-administrator/
Win AD
  • Active Directory
  • Exchange
 
NETIQ Administration & Identity Management
http://www.netiq.com/solutions/security/administration.asp
http://www.netiq.com/solutions/administration/default.asp

NETIQ Exchange Administrator
http://www.netiq.com/products/exa/default.asp

Win ? ?  
intermedia.net: HostPilot Control Panel
http://www.intermedia.net/hosting/hostpilot/
? ? ?  
EQuant http://www.equant.com
http://www.equant.com/content/xml/
prod_serv_messaging_services.xml
Angeblich auch aktiv mit Provisioning
? ? ?  
Unicat GmbH: Operations Manager 2.5
http://www.unicat-gmbh.com/
Web/ASPX  
  • Windows
  • Fileservices

AddOns für: NDS, LDAP, Exchange, Notes, Inventory u.a

1490€/100 user

2490€/500
Staffeln

PHAT Consulting Directory Manager
http://www.phatconsulting.de/hp/Default.aspx?content=68
Web/ASPX  
  • Active Directory
  • Fileservices
  • Exchange
  • SQL
 
CA Admin
http://www3.ca.com/Solutions/Product.asp?ID=155
? ? ?  
Faster.WAK von Faster Software AGCA Admin
http://www.faster-software.de/?Content=Projekte/TAdmin

http://www.Microsoft.com/windowsserver2003/
evaluation/casestudies/CaseStudy.aspx?CaseStudyID=14177

? ? ?  
Ein Provisioningportal des CERN. Sehr schön gezeigt, was machbar ist und auf jeden Fall sehenswert. Leider kein Produkt zum Kaufen
http://winservices.web.cern.ch/winservices/

Allerdings etwas erschreckend, wie offen viele Informationen im Internet stehen, z.B.: https://weba5.cern.ch/Winservices/ServerStatus/

Web/ASP ?
  • Benutzermanagement
  • Workstationinstallation
  • Statusmanagement
  • Dokumentation
 
ChangeManager für Active Directory
http://www.netpro.com/products/changemanager/index.cfm
Win ? ?  
bvAdmin von BindView Web/Win Rollen
  • Active Directory
  • Exchange
 
ActiveAdministrator von ScriptLogic Win Rollen
  • Active Directory
 
WebAdmin (Nicht mit dem Microsoft WebAdmin verwechseln
http://www.glueckkanja.com/Solutions/webadmin.aspx?lang=de
? ? ?  
DotnetPanel
http://www.dotnetpanel.com/
Win Rollen
  • AD
  • Exchange
  • OCS
  • CRM
  • Sharepoint
  • und andere
2450 uS$/Server
Cion Systems Active Directory Manager
http://www.cionsystems.com/AD-manager.php

Active Directory Self Service
http://www.cionsystems.com/AD-selfservice.php
Web  
  • Active Directory
 
Omni-TS eControl
http://www.omni-ts.com/web-management/
http://www.omni-ts.com/documentation/marketing/econtrol-active-directory.pdf
Web ?
  • Active Directory
  • Exchange
  • GroupWise
  • Novell eDirectory
 
AD Manager Plus
http://www.manageengine.com/products/ad-manager/index.html
Web Admin, Helpdesk pro OU
  • Active Directory
  • Exchange
795 uS$ für 1 Domain zzgl Helpdesk users
Ensim unify
http://www.ensim.com/products/ensim_unify/unify_managed_edition/index.html
http://www.ensim.com/cloud-billing-provisioning-and-portal/automated-provisioning
<  
  • Active Directory
  • Exchange
  • OCS
 

Folgende Produkte gibt oder gab es mal, aber ich habe keine weiteren Informationen hierzu im Internet gefunden:

Firma/Produkt Plattform Berechtigung Ziele Preis
TÜV NORD Provisioning
Auf einer TechEd habe ich hierzu eine Vorstellung gesehen. Leider gibt es anscheinend kein offizielles Produkt, sondern es ist eine interne Lösung.
       
ManageMail, The Enterprise Mail Advantage
LOCKHEED MARTIN DISTRIBUTION TECHNOLOGIES
       

Empfehlung ?

Es ist leider nicht möglich, eine Empfehlung für das ein oder andere Produkt zu geben. Dazu sind die Produkte zu unterschiedlich und leider auf den Webseiten der Hersteller auch meist sehr sparsam beschrieben. Viele Informationsseiten zählen nur bekannte und nette Stichworte auf aber ich werde den Verdacht nicht los, dass es kein richtiges "Provisioning-Produkt" gibt, sondern alle Lösungen mehr aus Bausteinen und Komponenten bestehen, die zum einen zusammengefügt und mit mehr oder weniger Aufwand durch Programmierung auf ihre Bedürfnisse angepasst werden müssen. Das Problem ist aber nicht nur bei den Anbietern zu suchen, sondern auch bei den Personen, die einen Lösung suchen, die am besten perfekt auf die eigenen Belange abgestimmt ist, aber in einem Tag installiert und in Betrieb genommen sein muss. So kann Provisioning auch nicht funktionieren, denn eine Software kann keine Defizite in der Planung und der Organisation lösen. Wenn eine Provisioning Software ihnen Arbeit abnehmen und die Qualität verbessern soll, dann müssen Sie auch intern Richtlinien festlegen, damit die Software danach handeln kann. Da jeder hier andere Vorlieben und Anforderungen hat, werden Sie um eine Entwicklung und Anpassung nicht umhin kommen.

Deswegen sollten Sie aber nicht gleich die Flinte ins Korn werfen, denn der Aufwand, auch wenn er sich über Manntage und Mannwochen hinzieht, kann sich sehr schnell rechnen. Nämlich dann, wenn nicht mehr mehrere Domänen Administratoren Tätigkeiten durchführen, die z.B. die Personalabteilung oder ein IT Ansprechpartner vor Ort viel besser tun könnte, wenn Sie denn nur die Möglichkeiten dazu hätten. Viel Erfolg bei der Suche nach ihrer Lösung.

Weitere Links