Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

In Microsofts Active Directory werden Gruppen verwendet, um Berechtigungen und Zugriffe für Nutzer zu verwalten. Ab einer gewissen Nutzeranzahl wird das zu einer langwierigen Daueraufgabe, die viele Administratoren teils täglich ausführen müssen.

Dynamische Gruppenmitgliedschaften senken den Administrationsaufwand und verhindern Überberechtigung. Microsoft stellt dafür keine Bordmittel zur Verfügung. Aus diesem Grund haben wir DynamicGroup entwickelt.

Warum sollte ich Gruppenmitgliedschaften automatisieren?

AD Gruppen werden oft verwendet um Berechtigungen auf Shares, Anwendungen oder Verteilerlisten zu vergeben.
Eine ganze Reihe von Prozessen, die Sie normalerweise per Hand ausführen müssten, können ohne manuelle Eingabe im Hintergrund ausgeführt werden.

Einige typische Beispiele:

• Ein neuer Mitarbeiter wird eingestellt
• Ein Mitarbeiter wechselt die Abteilung
• Ein Mitarbeiter wechselt den Standort
• Eine neue Software wird eingeführt
• Ein Mitarbeiter benötigt für ein Kundenprojekt Berechtigungen auf ein Verzeichnis
• weitere Einsatzmöglichkeiten für dynamische Gruppen

Jeder dieser Fälle hat Änderungen an Berechtigungen zur Folge. 

Dementsprechend nehmen Sie die Mitarbeiter in eine Gruppe auf oder entfernen Sie. Und diese Arbeiten müssen stets manuell durchgeführt werden.

Damit Sie viele dieser unternehmensspezifischen Prozesse automatisieren können, haben wir bei FirstAttribute DynamicGroup entwickelt und mit der 2015er Version weiter verbessert.

Wie hilft mir DynamicGroup?

DynamicGroup unterstützt Sie dabei, die täglichen Aufgaben der Benutzerverwaltung im Active Directory zu automatisieren. Die Software ermöglicht es Ihnen, ausgewählte Gruppen in Ihrer Struktur als dynamische Gruppen zu kennzeichnen und Mitglieder basierend auf Filtereinstellungen automatisch hinzufügen zu lassen.

Die Vorteile einer automatisierten Gruppenverwaltung:

1. Zeitersparnis
   Die Administration wird entlastet und Routineaufgaben entfallen
2. Vermeidung von Überberechtigung
   Bei einem Abteilungswechsel wird Mitarbeiter automatisch aus der alten Gruppe ausgetragen und in der neuen eingetragen.
   Überberechtigungen durch Gruppenverschachtelungen können durch FlatGroup aufgelöst werden.
3. Eindeutige Berechtigungen
   Mit OU-Begrenzung, Attributsfiltern und Ausnahmelisten werden harte Kriterien für die Mitgliedschaft gesetzt.
4. Bessere Übersicht
   Die Auflösung von verschachtelten Gruppen zeigt Ihnen, welche Mitglieder tatsächlich in Ihrer Gruppe enthalten und berechtigt sind.
    

Hauptfenster von DynamicGroup 2015

Woher bekomme ich das Tool?

Die Software können Sie auf unserer Webseite herunterladen. Dort finden Sie auch die Systemvoraussetzungen, die die beteiligten Systeme in Ihrem Netzwerk erfüllen sollten. 

DynamicGroup kommt dabei mit einer 30-Tage-Lizenz, die es Ihnen ermöglicht, die Software vollumfänglich und ohne Einschränkungen in diesem Zeitraum zu testen.

Zusätzlich zum Installer erhalten Sie auch eine umfangreiche Dokumentation, die detailliert erklärt, wie Sie DynamicGroup Konsolen und Services installieren, einrichten und konfigurieren.

Was brauche ich dafür?

In der einfachsten Variante benötigen Sie nur einen Domain-Controller, auf dem beide Komponenten der Software installiert sind.

DynamicGroup besteht aus:

• einer Oberfläche zur Verwaltung, der DynamicGroup Console, sowie
• einem Service, dem DynamicGroup Implementor

Die Konsole lässt sich aber auch auf verschiedenen Clients in Ihrem Netzwerk installieren, je nachdem, wie viele Administratoren die Verwaltung übernehmen sollen. Auch vom Service können mehrere Instanzen existieren, die auf verschiedenen Servern in Ihrem Netzwerk installiert sind. Diese können unterschiedlich konfiguriert sein und sind für die automatisierte Berechnung der Gruppenmitgliedschaften im Hintergrund zuständig.

Die Einrichtung gestaltet sich dabei besonders einfach:
Einmal konfiguriert, werden die entsprechenden Einstellungen für Konsolen und Services zentral in Ihrem Active Directory hinterlegt. Auch die Einstellungen für die dynamischen Gruppen selbst werden direkt an den Gruppenobjekten im AD gespeichert. Die Zentralisierung stellt sicher, dass alle Administratoren auf demselben Stand sind. 
 

Wie lassen sich Gruppenmitgliedschaften automatisieren?

Um eine Gruppe automatisiert mit Mitgliedern zu befüllen, bietet Ihnen DynamicGroup viele verschiedene Einstellungsmöglichkeiten. Jede davon ist detailliert in der Dokumentation beschrieben. Im Zentrum stehen dabei ist der Query-Builder sowie die Include- und Exclude-Listen. Diese beiden Funktionen können jeweils eigenständig sowie in Kombination miteinander verwendet werden.
 

Query-Builder

Diese Kernkomponente von DynamicGroup gibt Ihnen die Möglichkeit, einen Filter frei zu definieren. Dieser wird angewendet, um eine Gruppe mit Mitgliedern zu befüllen. Dabei werden LDAP-Abfragen verwendet, um den Filter aufzubauen. Damit können Sie überprüfen, ob verschiedene Werte in bestimmten Attributen bei den potentiellen Gruppenmitgliedern vorhanden sind oder nicht. Diese Bedingungen können dabei beliebig oft und beliebig tief mit „UND“ oder „ODER“-Verknüpfungen kombiniert werden.

Dies LDAP-Query müssen Sie natürlich nicht von Hand selbst schreiben. Diese Möglichkeit haben Sie zwar auch, bequemer geht es jedoch mit dem Query-Builder. Die Baumstruktur gibt Ihnen einen lesbaren Überblick über die gesamte Abfrage und neue Bedingungen an entsprechenden Knoten hinzuzufügen gestaltet sich unkompliziert.

Im Screenshot oben sehen Sie so eine beispielhafte Abfrage. Die ausgeschriebene LDAP-Query im unteren Teil ist recht unübersichtlich, doch mit der Baumstruktur wird sie einfach dargestellt. Man kann problemlos ablesen, welche Mitglieder die Gruppe aufnehmen soll: Alle Nutzer, die nicht in der OU „Users“ dieser Domäne liegen, die in der Abteilung „IT Administration“ sind und die entweder am Standort „Deutschland“ oder am Standort „Frankreich“ arbeiten, würde DynamicGroup dieser Gruppe hinzufügen.
 

Include- und Exclude-Listen

Der Name dieser Funktionen sagt es eigentlich bereits aus: mit Hilfe dieser beiden Listen können Sie definieren, ob bestimmte Nutzer oder Gruppen immer bzw. niemals Mitglied der dynamischen Gruppe sein sollen. Diese Einstellung gilt dabei immer, unabhängig von anderen Filtern, die festgelegt werden.

Das ist an sich noch statisch, aber für feste Regelungen, die Sie treffen wollen, gut geeignet. Sie können so zum Beispiel einfach festlegen, dass alle Mitglieder der Gruppe „Helpdesk“ auch Mitglied der dynamischen Gruppe, die beispielsweise Zugriff auf Ihr Ticketsystem gewährt, sein sollen. Oder Sie schließen bestimmte Gruppen und Nutzer explizit aus, die keinen Zugriff erhalten sollen. Das ist besonders nützlich in Verbindung mit ihren eigenen Abfragen – und für diese brauchen Sie den Query-Builder. Doch wie lassen sich Updates der Gruppenmitgliedschaften automatisieren?
 

Wie funktioniert der Service und wie kann ich ihn einstellen?

Der DynamicGroup Implementor Service ist für die Automatisierung zuständig. Sie können dabei mehrere Dienste auf verschiedene Rechner im Netzwerk verteilen und bspw. die Zuständigkeiten für bestimmte Domain-Controller unter ihnen aufteilen. Bei jedem zeitgesteuerten Durchlauf eines Dienstes durchsucht dieser ihr AD nach dynamischen Gruppen und fügt die Mitglieder entsprechend der Filter-Einstellungen oder entfernt diese.

Die Dienste selbst können sie dabei individuell über die Konsole konfigurieren. So können Sie zum Beispiel festlegen, ob die dynamischen Gruppen zu bestimmten Zeiten oder in einem festgelegten Zeitintervall neu kalkuliert werden sollen und mit welchem Domain-Controller der Dienst sich bevorzugt verbinden soll.

Jeder Service bringt zudem auch Zugriff auf sein jeweiliges EventLog mit, sodass Sie immer sofort nachvollziehen können, welche Änderungen er an dynamischen Gruppen vorgenommen hat und welche Fehler eventuell aufgetreten sind.

Alle Veränderungen an Attributen von Benutzern, können nun Auswirkungen auf Gruppenmitgliedschaften haben (wenn ein entsprechner Filter einer dynamischen Gruppen gesetzt wurde).
 

Welche Funktionen hat DynamicGroup noch?

Die Software biete noch viele weitere Funktionen – so zum Beispiel können Sie eigene Saved Queries erstellen, mit denen Sie leicht den Überblick über ihre dynamischen Gruppen behalten können. Dynamische Gruppen sind zudem natürlich auch normale AD-Gruppen. Deswegen integriert DynamicGroup auch standardmäßig AD-Funktionalität: Sie können Gruppen und OUs anlegen, sie wieder löschen, die Administrationszuständigkeit ändern oder sie als Mitglieder zu anderen Gruppen hinzufügen.

Auch bei der Bildung von dynamischen Gruppen können Sie noch weiteren Einfluss nehmen. Sie möchten nur Member einer bestimmten OU suchen? Ändern Sie einfach die Search-Root. Sie möchten keine Gruppen als Mitglieder hinzufügen, sondern nur Nutzer? Aktivieren sie die Flat Groups-Einstellung, und alle gefilterten Gruppen werden solange rekursiv aufgelöst, bis nur noch Nutzer übrig sind.

Alle weiteren Einstellungen finden Sie natürlich auch in der Dokumentation.