Hosting Provisioning
Der permanente Wettbewerb und Kostendruck erfordert eine kontinuierliche Überprüfung der internen Kostenstrukturen und den Einsatz der Mittel. Bei Dienstleistern ist damit primär die Ressource "Mensch" gefragt, welche effektiver einzusetzen ist. Weg von "Regeltätigkeiten", die möglichst automatisiert erfolgen können zu individuellen Mehrwertleistungen, die aus einem Standardprodukt eine Kundenlösung schaffen.
Exchange Server 2013 hosting
and multi-tenancy solutions and guidance
http://technet.microsoft.com/en-us/exchange/jj720331
Wirtschaftlichkeitsrechnung einer Provisioning Plattform
| Kosten | Nutzen |
|---|---|
|
Zuerst einmal die Aufwände, die hinter eine Implementation eines Provisioning stehen:
|
Nutzen: Welche Einsparungen und Vorteile habe ich durch Provisioning
|
Aus diesen Gründen gehen nicht nur alle große Webhosting Provider für Firmen den Weg, den Kunden quasi selbst die Einstellungen über einen Webbrowser durchführen zu lassen, sondern auch immer mehr mittelständige unternehmen und Universitäten sind Kandidaten für diesen "SelfService", um Prozesse zu beschleunigen und letztlich Kosten zu sparen.
Provisioning von Hand
Wenn Sie heute ihre Anwender und Verteiler verwalten, dann nutzen Sie dazu wie selbstverständlich die Management Konsole für Benutzer und Computer. Um Einstellungen im Exchange Server durchzuführen, nutzen Sie den Exchange System Manager.
Diese Vorgehensweise ist für die meisten kleinen und mittleren Firmen üblich und effektiv aber stößt auch in ihre Grenzen. Hier eine kurze Liste der wünschenswerten Funktionen, die eine MMC nicht abbilden kann.
- Plausibilitätsprüfung und Vorlagen
In der MMC ist nur sehr schwer sicher zu stellen, dass die Felder alle "richtig" mit plausiblen Daten gefüllt wären. Leider kann man in der MMC keine Vorlagen einbinden (nur über Kopieren eines Anwenders) und selbst dann sind Tippfehler in der Abteilung erst beim Exchange Adressbuch später bemerkbar - Fehlender Prozessverarbeitung
Oft ist es nicht nur "mal schnell einen Benutzer anlegen", sondern solch ein Vorgang betrifft gleich mehrere Abteilungen. Es muss nicht gleich ein Workflow sein, aber ideal wäre es, wenn die Personalabteilung z.B.: bei der Neueinstellung die Daten in einem Formular eingibt und das System das meiste im Hintergrund alleine macht. Auch wenn der Personalchef kein Administrator ist. - keine angepasste Hilfe
Dazu gehört auch, dass die MMC keine Hilfe für Anwender bereit stellt. Ich möchte natürlich erst gar nicht die MMC in die Hand eines Anwenders geben, aber wenn dies der einzige Weg wäre, sollte eine angepasste Hilfe möglich sein. Die TaskPad-Anzeige der MMC ist ein erster Schritt. - Change-Management/Protokollierung
Ein großes Problem beim Active Directory ist die fehlende Protokollfunktion, die Veränderungen niederschreibt. Wie oft wird später gefragt: "Wer hat wann das getan" ? bzw. wie schnell wurde ein Auftrag eines Kunden oder Mitarbeiters bearbeitet. - Komplizierte Berechtigungen und schlechte Delegierung
Um bestimmte Dinge zu tun, benötigt der Anwender entsprechende Berechtigungen. Damit könnten aber auch ein Virus oder andere Programme eben diese Rechte auch missbrauchen und jede Beschränkung der MMC umgehen. Der Benutzer darf eigentlich nicht die Rechte haben, sondern nur das Programm, welches die Funktionen kontrolliert ausführt. Wenn dies nicht geht, dann müssen Sie als Administrator aber komplizierte Berechtigungen auf OU's und Exchange Objekten einstellen. Das möchte ich eigentlich nicht. - Administrative Tools auf Verwaltungs-PCs
Wenn die MMC wirklich das Mittel der Wahl ist, dann bedeutet dies aber, dass die MMC mit allen erforderlichen Erweiterungen auf die Clients verteilt wird. Auch Service Packs müssen so verteilt werden. Das ist keine einfache Aufgabe, zumal vielleicht die Systeme der Anwender gar nicht geeignet sind. (RAM, Betriebssystem, Netzwerkanbindung) - Self-Service
Viele Tätigkeiten, die heute einen Helpdesk oder Administrator beschäftigen, könnte der Anwender auch problemlos selbst erledigen. So könnte z.B. ein Kollege oder der Vorgesetzte ein Kennwort zurücksetzen bzw. ein gesperrtes Konto wieder freigeben. Ebenso ist die Personalabteilung die richtige Stelle, um das Ausscheiden eines Benutzers im System als Verfallsdatum einzutragen.
Solche Anforderungen bzw. Probleme führen dazu, dass einige Administratoren bestimmte Tätigkeiten mit Skripten automatisieren oder über die Eingabe z.B. über eine Webseite durchführen lassen. Solche Lösungen laufen unter dem Begriff "Provisioning Systeme".
Provisioning per Skript
Eine Abhilfe verspricht, wie so häufig, eine geeignete Software, die den Einsatz der MMC überflüssig macht und den entsprechenden Personen bzw. Inhabern von funktionalen Rollen eine einfache Möglichkeit gibt, die Tätigkeiten auszuführen.
Es gibt entsprechende Werkzeuge, in die ein Administrator, ein Skript aber auch ein Benutzer über eine Oberfläche bestimmte Aktionen anstoßen können. Daraus ergeben sich Aufträge an verschiedene Backend-Systeme, die durch die Anwendung mit einem Systembenutzer umgesetzt werden. Die Personen selbst sind nur Auslöser, deren Eingaben auch verifiziert werden können. Die Business-Logik wird vom Server vorgegebenen und dran vorbei gibt es idealerweise keine Zugriffe. So werden die Änderungen "richtig" und nachvollziehbar gemacht.
Wenn Sie nicht alles selbst schreiben wollen, dann gibt es natürlich entsprechende Programme, die solche Funktionen umsetzen. Hier ein paar Beispiele als Startpunkt. Bitte nicht als Empfehlung falsch verstehen:
- Adaxes
https://www.adaxes.com - ScriptRunner
https://www.scriptrunner.com/de/
Weiter unten habe ich unter Who Is Who noch eine längere Liste von Programmen.
Provisioning per Verzeichnisabgleich
je größer eine Firma wird, desto höher sollte der Automatisierungsgrad werden. Die Einrichtung und Anpassungen sind dann zwar aufwändiger aber dafür ersparen Sie sich viele manuellen Schritte der Anwendern, wenn Sie die Daten nutzen, die eh schon da sind. Wir sprechen dann von einem Meta-Directory oder Verzeichnisabgleich, bei dem aus verschiedenen Systemen die relevanten Informationen extrahiert und in andere Systeme Übertragen werden. So kommen neue Benutzer dann aus dem Person/ERP-System, während die Mailadressen von Exchange erstellt und die Rufnummern aus der Telefonanlage beigesteuert werden. Auch Anbindungen an Applikationen (Rechtevergabe) und selbst Zugangssysteme sind möglich.
Die Schlüsselkomponente ist dabei ein Synchronisationsprozess, der die Daten zwischen einem zentralen Metadirectory und den über Connector angebundenen Systemen automatisch abgleicht. Natürlich kann ein Administrator über ein Portal auch im Metadiretory die Objekte verändern, die dann an die Systeme übertragen werden. Interessanter ist hier aber, dass auch Änderungen an den Zielsystemen zugleich auch Quelle für andere Systeme sein können. Wenn ein Administrator z.B. einen Benutzer im Active Directory mit den bordeigenen Mitteln ändert, kann dies auch in die anderen Systeme übertragen werden. Dies ist ein flexibler und leistungsfähiger Ansatz, der sich aber erst mit höheren Anforderungen an Sicherheit, Datenqualität, Änderungsraten und Firmengröße rechnet.
Client Server oder wer tut etwas?
Direkt mit der Wahl der Anwendung ist auch die Frage verbunden, welche Komponente nun die Einstellungen in das System schreibt. Drei Ansätze sind denkbar:
- Anwendung schreibt mit Userrechten direkt
Wenn der Anwender selbst die erforderlichen Berechtigungen im Active Directory und den Servern hat, kann eine eigens entwickelte Anwendung direkt die Felder beschreiben. Die Logik und Plausibilitätsprüfung als auch die Ausführung sind in einem Programm komprimiert und die Berechtigungen sind auf den Benutzer bzw. Gruppen gebunden. - Anwendung schreibt mit anderen Rechten
Der Anwender startet zwar die Anwendung auf seinem PC oder nutzt eine Seite auf einem Webserver. Dieser Code hat dann die Rechte, entsprechende Aktionen auszuführen aber nicht der Anwender selbst. So könnte ein Windows Programm einfach ein "RunAs" nutzen, um die schreibenden Funktionen mit privilegierten Rechten zu starten. Eine ASP-Seite könnte ebenfalls beim LDAP-Connect explizit einen abweichenden Benutzernamen angeben. - Client Server-Prinzip
Die wird die Anwendung nur genutzt, um die entsprechenden Aufträge und Anweisungen einzugeben. Ein zweiter Prozess im Hintergrund sorgt dann dafür, dass die Änderungen an den Zielsystemen durchgeführt werden. Solche Lösungen sind meist sehr viel besser Skalierbar und Führung zu einer Trennung der Eingabe und der Business Logik. Allerdings muss hier dann eine Art Warteschlange der Aufträge verwaltet werden und eine Problembehandlung muss dem Anwender eine Rückmeldung geben, wenn ein Vorgang nicht ausgeführt werden kann.
Am flexibelsten ist natürlich der Client-Server Ansatz, wenn der Client zudem ein Webbrowser ist und der Code auf der Webseite die Aufträge auf Plausibilität und Berechtigung prüft und direkt ausführt oder in eine Warteschlange stellt, die dann von einem anderen Prozess abgearbeitet wird.
Berechtigung und Datenhaltung
Bei der Nutzung eines Provisioning Systems stellt sich automatisch die Frage, wie denn gesteuert wird, wer was darf. Hier gibt es im Bereich Active Directory und Exchange zwei grundlegend unterschiedliche Konzepte
- Active Directory Berechtigung
Einige Provisioning Systeme (z.B. der Microsoft Webadmin) nutzen keine eigene Verwaltung von Berechtigungen und administrativen Rollen, sondern verlangen von dem Anwender eine Anmeldung und greifen mit diesen Daten dann auf das Active Directory zu. Damit wird direkt über die Berechtigungen auf OU's und Objekte auch die Funktionalität der grafischen Anwendung gesteuert. Dies führt dazu, dass Sie als Administrator klar Berechtigungen im AD vergeben müssen. Ohne besonderen Schutz ist es damit aber dem Anwender ebenfalls möglich, das Provisioning System zu umgehen und direkt per LDAP auf die Objekte zuzugreifen und diese außerhalb zu verändern. Diese Logik eignet sich daher eher für kleine und einfache Systeme - Rollenbasierte Berechtigung
Leistungsfähiger ist sicher eine auf Rollen basierte Administration, bei der im System über Gruppen bestimmt wird, welche Nutzer welche Aufgaben durchführen dürfen. Nach der Anmeldung erhalten die Anwender dann auf Sie abgestimmte Oberflächen, die zudem mit individuellen Hilfetexten und anderen Zusatzfunktionen bestückt sein. Hinzu kommt, dass die Berechtigung in den Zielsystemen nicht für einzelne Benutzer gesetzt werden, sondern quasi das Servicekonto die Berechtigungen erhält. Das vereinfacht den Betrieb des AD und verhindert, dass Anwender am Provisioning System vorbei Änderungen durchführen können.
Prüfen Sie daher genau, ob die Vergabe von Berechtigungen über die Rechte auf dem Zielsystem oder eine eigene Berechtigungsstruktur erfolgt. Wobei die Nutzung einer eigenen Berechtigungsstruktur nicht ausschließt, dass dabei Windows Sicherheitsgruppen und Active Directory Benutzer einbezogen werden. Die erspart ihnen eine eigene Benutzerverwaltung im Provisioning System selbst.
Produkte
Einen richtigen Markt mit klaren Wettbewerbern gibt es im Bereich Provisioning meiner Ansicht nach nicht, da viele Produkte, die heute als "Fertig" verkauft werden, entweder stark in der Funktion eingeschränkt sind oder einer einen Bausatz zum Zusammenstellen und Anpassen darstellen,. Viele Produkte dürften aus einer Auftragsentwicklung bei einem Kundenprojekt hervor gegangen sein und wurden dann einfach weiter entwickelt. Jeder Anbieter versteht natürlich etwas eigenes und währen die einen Produkte eher klein und überschaubar, wenig anpassbar aber direkt einzusetzen sind, sind andere Lösungen eher umfangreich und komplex, um viele Einsatzfälle abzudecken. Nur ist hier dann auch eine längere Anpassungsphase einzuplanen.
Die Liste der Programm ist nicht vollständig und stellt keine Gewichtung oder Bewertung dar. Da ein Test und Bewertung der Produkte jenseits meiner Möglichkeiten liegt, bin ich auf Feedback der Firmen oder von Personen, die das ein oder andere Produkt einsetzen, angewiesen.
| Firma/Produkt | Plattform | Berechtigung | Ziele | Preis |
|---|---|---|---|---|
Microsoft WebAdmin (Nicht mehr zum Download verfügbar !!) |
Web/ASP |
Active Directory |
|
free |
Microsoft Provision System (MPS)
|
|
? |
? |
|
Microsoft ADS |
? |
? |
|
|
Adaxes |
Windows |
|
|
|
ScriptRunner |
Windows |
|
|
|
? |
|
|
$ |
|
|
WebSitePanel Exchange 2010 SP1 support status in WebsitePanel |
Win/ASPX |
|
Und viele mehr |
Free ! |
Cloud Panel |
? |
? |
? |
Free ? |
Directory Update |
Win/ASPX |
XML-Steuerung mit Dienstkonto |
|
299US-$ |
rDirectory |
? |
? |
? |
|
cMatrix ITSM |
Win/ASP |
Mandanten |
|
|
|
ALGACOM AG: algaCom Account provisioning System (aAPS) PowerShell Cmd-Line Administration Tool, Self-Service Portal, Password Reset Portal, Attestations Portal |
Win/ASP |
|
|
Basis 20cent / User |
| EasyExchangeAdministrator |
|
|
|
|
ActiveRoles Server & Quest Quick Connect |
Windows/MMC Web/ASP |
Active Directory & andere Zielsysteme |
div. Verzeichnisse, Identity Management Frameworks und Datenbanken |
|
eQuest
www.eqinc.com |
? |
? |
? |
|
Imanami Web Based Directory & Account Provisioning |
Web/ASP |
|
250 uS-4 für 5 Administratoren |
|
User Management Resource Administrator |
Win |
AD |
|
|
| NETIQ Administration & Identity Management http://www.netiq.com/solutions/security/administration.asp http://www.netiq.com/solutions/administration/default.asp NETIQ Exchange Administrator |
Win |
? |
? |
|
intermedia.net: HostPilot Control Panel |
? |
? |
? |
|
EQuant
http://www.equant.com |
? |
? |
? |
|
Unicat GmbH: Operations Manager 2.5 |
Web/ASPX |
|
Add-ons für: NDS, LDAP, Exchange, Notes, Inventory u.a |
1490€/100 User 2490€/500 |
PHAT Consulting Directory Manager |
Web/ASPX |
|
|
|
? |
? |
? |
|
|
| Faster.WAK von Faster Software AGCA Admin http://www.faster-software.de/?Content=Projekte/TAdmin
http://www.Microsoft.com/windowsserver2003/ |
? |
? |
? |
|
| Ein Provisioningportal des CERN. Sehr schön gezeigt, was machbar
ist und auf jeden Fall sehenswert. Leider kein Produkt zum Kaufen http://winservices.web.cern.ch/winservices/ Allerdings etwas erschreckend, wie offen viele Informationen im Internet stehen, z.B.: https://weba5.cern.ch/Winservices/ServerStatus/ |
Web/ASP |
? |
|
|
ChangeManager für Active Directory |
Win |
? |
? |
|
bvAdmin von BindView |
Web/Win |
Rollen |
|
|
ActiveAdministrator von ScriptLogic |
Win |
Rollen |
|
|
WebAdmin (Nicht mit dem Microsoft WebAdmin verwechseln |
? |
? |
? |
|
DotnetPanel |
Win |
Rollen |
|
2450 uS$/Server |
Cion Systems Active Directory Manager |
Web |
|
|
|
Omni-TS eControl |
Web |
? |
|
|
AD Manager Plus |
Web |
Admin, Helpdesk pro OU |
|
795 uS$ für 1 Domain zzgl. Helpdesk Users |
Ensim unify |
|
|
|
|
| IAM/IDM/Personal-MangementIdentity Management &
Berechtigungen https://www.firstware.com/de/ |
|
|
|
|
Folgende Produkte gibt oder gab es mal, aber ich habe keine weiteren Informationen hierzu im Internet gefunden:
| Firma/Produkt | Plattform | Berechtigung | Ziele | Preis |
|---|---|---|---|---|
TÜV NORD Provisioning |
|
|
|
|
ManageMail, The Enterprise Mail Advantage |
|
|
|
|
Empfehlung ?
Es ist leider nicht möglich, eine Empfehlung für das ein oder andere Produkt zu geben. Dazu sind die Produkte zu unterschiedlich und leider auf den Webseiten der Hersteller auch meist sehr sparsam beschrieben. Viele Informationsseiten zählen nur bekannte und nette Stichworte auf aber ich werde den Verdacht nicht los, dass es kein richtiges "Provisioning-Produkt" gibt, sondern alle Lösungen mehr aus Bausteinen und Komponenten bestehen, die zum einen zusammengefügt und mit mehr oder weniger Aufwand durch Programmierung auf ihre Bedürfnisse angepasst werden müssen. Das Problem ist aber nicht nur bei den Anbietern zu suchen, sondern auch bei den Personen, die einen Lösung suchen, die am besten perfekt auf die eigenen Belange abgestimmt ist, aber in einem Tag installiert und in Betrieb genommen sein muss. So kann Provisioning auch nicht funktionieren, denn eine Software kann keine Defizite in der Planung und der Organisation lösen. Wenn eine Provisioning Software ihnen Arbeit abnehmen und die Qualität verbessern soll, dann müssen Sie auch intern Richtlinien festlegen, damit die Software danach handeln kann. Da jeder hier andere Vorlieben und Anforderungen hat, werden Sie um eine Entwicklung und Anpassung nicht umhin kommen.
Deswegen sollten Sie aber nicht gleich die Flinte ins Korn werfen, denn der Aufwand, auch wenn er sich über Personentage und mehr hinzieht, kann sich sehr schnell rechnen. Nämlich dann, wenn nicht mehr mehrere Domänen Administratoren Tätigkeiten durchführen, die z.B. die Personalabteilung oder ein IT Ansprechpartner vor Ort viel besser tun könnte, wenn Sie denn nur die Möglichkeiten dazu hätten. Viel Erfolg bei der Suche nach ihrer Lösung.
Weitere Links
- Exchange 2000 Hosting
-
Exchange Online Provisioning
So werden Exchange Online Postfächer mit AADConnect korrekt provisioniert -
AzureAD ohne
ADSync
Sie haben kein lokales AD für ADSync oder möchten Exchange Online ohne ADSync betreiben? - Exchange Server 2013 hosting and multi-tenancy solutions and guidance
http://technet.microsoft.com/en-us/exchange/jj720331 -
Update-Recipient
Exchange 2010 PowerShell Commandlet für Provisioning - Service Provisioning - Hosted Messaging and Collaboration version
4.0
http://www.microsoft.com/serviceproviders/solutions/hostedmessaginADPTrovisioning.mspx - MSN Group zu Provisioning
http://groups.msn.com/Provisioning - ASP.NET Forum zu Windows Hosting mit Bereichen zu MPS etc.
http://www.asp.net/Forums/ShowForumGroup.aspx?tabindex=1&ForumGroupID=29 - Blog zu MPS und Provisioning
http://weblogs.asp.net/rgillen
http://blogs.msdn.com/conrad/ - CERN Genf mit eigenen Einstiegsseiten zu Provisioning und Monitoring
http://nicemonitoring.web.cern.ch/NICEMonitoring ServerMonitoring
http://mmmservices.web.cern.ch/mmmservices/ Mail Monitoring
http://winservices.web.cern.ch/WinServices/ Windows Services - BeyondTrust® Privilege Manager
http://www.beyondtrust.com/products/PrivilegeManager.aspx - DL Management from Outlook
http://www.unifysquare.com/blog/post/DL-Management-from-Outlook.aspx - Service Desk Password Reset Tool - Version 2.0
http://www.telnetport25.com/windows-applications/270-service-desk-password-reset-tool-version-20.html - Z-Hire Active Directory, Exchange, Lync User Creation Tool
http://gallery.technet.microsoft.com/office/Z-Hire-Employee-Provisionin-e4854d6b - De-Provision O365 Users with Cloudbridge
https://www.youtube.com/watch?v=XAEiwgiYPKg - omada
https://www.omada.net/
