Mutations-Helfer für Active Directory
Quelle: Tanet

ADprofiler

Mutations-Helfer für Active Directory

Mit der Lösung ADprofiler des Schweizer Herstellers Tanet lässt sich die Benutzerverwaltung in Active Directory wesentlich vereinfachen. «Swiss IT Magazine» konnte die Lösung im Einsatz begleiten.

Artikel erschienen in Swiss IT Magazine 2020/04

     

Mitarbeiter-Mutationen – seien es Ein- und Austritte, aber auch Beförderungen oder nur schon der Wechsel des Nachnamens beispielsweise aufgrund von Heirat – sind immer eine aufwendige Geschichte für mehrere Abteilungen eines Unternehmens. Davon betroffen ist in der Regel auch die IT, schliesslich will der neue Mitarbeitende einen Benutzeraccount, eine Mailadresse und so weiter. Beim Gros der Unternehmen mit Microsoft-Infrastruktur dürfte hier Active Directory zum Einsatz kommen – so auch bei einem Unternehmen aus der Zentralschweiz mit knapp 1000 Mitarbeitenden, das für die Benutzerverwaltung in Active Directory das Tool ADprofiler des Herstellers Tanet mit Sitz in Goldau im Kanton Schwyz verwendet. «Swiss IT Magazine» durfte bei diesem Tanet-Kunden, der namentlich ungenannt bleiben möchte, ADprofiler zusammen mit dem verantwortlichen System Engineer im Einsatz sehen.

Automatisiert von A bis Z

Beim Unternehmen, das wir besuchen konnten, werden alle Prozesse und Abläufe rund um das Thema Personal in ­einer Oracle-Datenbank verwaltet. Tritt also beispielsweise ein neuer Mitarbeitender ins Unternehmen ein, wird er durch die HR-Abteilung in der Oracle-­Datenbank erfasst. Für das User-Management seitens IT setzt die Firma dann wie erwähnt auf Active Directory – seit kurzem aus einer Private Cloud. Und damit die Mitarbeiter-Mutationen seitens IT nicht parallel nochmals komplett erfasst werden müssen, kommt ADprofiler zum Einsatz.

Unser Beispielunternehmen ist in einer Branche tätig, in der es naturgemäss verhältnismässig viele Personalmutationen gibt. Müssten diese manuell in Active Directory erfasst werden, würden monatlich geschätzt 30 bis 40 Personenstunden in der IT darauf verwendet werden. Kommt hinzu, dass in diesem manuellen Prozess eine potenzielle Fehlerquelle läge, denn jeder Schreibfehler oder jede Ungenauigkeit wird in Active Directory gespiegelt. Mit Hilfe von ADprofiler aber werden sämtliche Einstellungen in Active Directory automatisch nach vorgegebenen Attributen aus der zentralen, vom HR befüllten Oracle-Datenbank erzeugt. So wird es möglich, dass das HR alle Mitarbeiter-Mutationen erledigen kann, ohne dass die IT-Abteilung involviert wird – inklusive Ein- und Austrittsprozess.


Dies funktioniert beispielsweise beim Eintritt eines neuen Mitarbeitenden im Wesentlichen folgendermassen: Ein Mitarbeitender aus dem HR pflegt die Daten des neuen Mitarbeitenden über eine Oberfläche in die Oracle-Datenbank ein. ADprofiler ist mittels ODBC-Schnittstelle an diese Datenbank angehängt und holt sich die Informationen über eine sogenannte Oracle View, eine definierte Abfrage an die Datenbank. Beim Beispiel-­Unternehmen geschieht dies mehrmals täglich zu verschiedenen Uhrzeiten – eine Einstellung, die via Task Scheduler im ADprofiler definiert werden kann. Die mehrmalige tägliche Abfrage passiert darum, weil so auch Mitarbeitende zeitnah im ADprofiler übernommen werden, die vom HR erst im Laufe des Tages erfasst werden. Anhand der erfassten Daten (z.B. des Eintrittsdatums) löst ADprofiler dann verschiedene Prozesse aus. Bei einem neuen Mitarbeitenden wird zum Beispiel der User eröffnet und es werden die entsprechenden Rechte respektive die Rechtegruppen gesetzt, es wird ein Passwort definiert, die Telefonnummer gesetzt oder der Name und der Jobtitel erfasst – je nach Attributen, die man im ADprofiler definiert hat. Ausserdem wird ein Home Directory für den neuen User mit den entsprechenden Rechten erstellt, genauso wie seine Mailbox auf der Exchange-­Datenbank. Dies alles geschieht automatisch, die IT hat nur eine überwachende Aufgabe und erhält eine Benachrichtigung seitens ADprofiler.

Ebenfalls automatisch aus ADprofiler heraus erstellt wird ein Willkommensschreiben – sprich ein Word-Dokument mit den wichtigsten Informationen für den neuen Mitarbeitenden wie etwa seinem Usernamen und einem zufällig erstellten Initialpasswort mit der nötigen Komplexität sowie weiteren Informationen zum Login oder zum Helpdesk. Dieser Brief wird sogar automatisch auf dem Drucker des HR ausgedruckt, immer dann, wenn ADprofiler bei der Synchronisation mit der Oracle-Datenbank bemerkt, dass ein neuer Nutzer erstellt wurde.

Auch in der Cloud

Die Konfiguration von ADprofiler ist überschaubar komplex, setzt aber einen Systemadministrator voraus, der etwas von Active Directory versteht, inklusive einem tieferen Verständnis für Attribute und VB-Skripte. Zudem braucht es je nach Datenquelle auch Unterstützung des Datenbankadministrators.

Installiert wird die Lösung auf einem Server – aktuell werden Windows Server 2012 R2 sowie Exchange Server 2013 als Minimum vorausgesetzt. Die Drittsysteme – von der Excel-Tabelle übers CRM und die Lohnbuchhaltung bis zur komplexen Datenbank – werden wie erwähnt über eine ODBC-Schnittstelle oder via Webservices angehängt, danach wird über entsprechende Attribute definiert, welche Informationen an ADprofiler fliessen sollen. Bei unserer Beispielfirma hat man sich für die Initialkonfiguration sowie auch für Migrationsprojekte, wie zuletzt beim Wechsel in die Cloud, Hilfe seitens des Herstellers an Bord geholt. Auch darum, weil im verhältnismässig kleinen IT-Team des mittelgrossen Unternehmens kein Spezialwissen vorhanden war. Positiv zu erwähnen bezüglich Migrationsprojekten (etwa auf eine neue Servergeneration) ist, dass Konfigurationen und Einstellungen mittels Scripts exportiert und danach wieder importiert werden können. So dauerte in «unserem» Unternehmen in der Vergangenheit ein herkömmliches Migrationsprojekt für ADprofiler rund 2,5 Stunden, für die Migration in die Cloud wurden rund 6 Stunden aufgewendet – dieser Mehraufwand darum, weil nicht nur der Server, sondern auch der Active-Directory-Namen gewechselt wurde und man zudem mehr Zeit fürs Testing aufwendete.


Apropos Cloud: ADprofiler unterstützt auch Azure Active Directory – aktuell noch via Konnektor, wobei ein On-Premises Active Directory mit Azure Active Directory synchronisiert wird. Als Beta getestet und in einem nächsten Release implementiert wird laut Tanet aber auch die Möglichkeit, ADprofiler via Power­shell direkt mit Azure Active Directory zu verbinden, so wie das bereits mit Exchange in Office 365 geschieht.

Abgesehen von den Migrationsprojekten gab es für den System Engineer, mit dem wir ADprofiler anschauen konnten, in Vergangenheit aber kaum Grund, auf den Support von Hersteller Tanet zurückzugreifen. Nötig wurde dies einzig bei gewissen nicht alltäglichen Zusatzattributen, bei denen man Hilfe brauchte, was dank vorhandenen SLAs aber unkompliziert und zeitnah via E-Mail erledigt werden konnte.
Was kein Problem darstellt ist, wenn mehr als ein Quellsystem genutzt wird – Daten also aus verschiedenen Datenbanken oder Webservices in ADprofiler fliessen. ADprofiler nutzt selbst zwei Datenbanken – eine Profildatenbank mit sämtlichen Profilen und Attributen sowie eine Entry-Datenbank, welche die von ADprofiler verwalteten Benutzer in Active Directory beinhaltet und die eindeutige Indexierung und Zuordnung von Benutzer und Datenquelle sicherstellt.

Ein Wort zur Performance: Eine Abfrage bei knapp 1000 User-Profilen dauert rund eine halbe Minute, und auch die Erstellung eines neuen Active-Directory-­Eintrags für einen neuen Mitarbeitenden passiert innerhalb dieser Zeitspanne. Für grössere Synchronisationsprojekte macht Tanet auf seiner Website Zeitangaben. So heisst es beispielsweise, dass in einem KMU das Erstellen von 200 neuen Benutzern und das Löschen von 600 Benutzern inklusive nachgelagerten Aufgaben rund 15 Minuten dauert, während eine Bildungsinstitution bei einem Semesterwechsel für das Erstellen von 1000 neuen Benutzern und nachgelagerten Aufgaben mit rund einer Stunde rechnen muss – diese Angaben können aber höchstens als Richtwerte dienen.

Sinnvoll ab 100 Usern

Letztlich geht es bei ADprofiler primär um die Arbeit, die das Tool der IT-Abteilung abnimmt und die möglichen Fehlerquellen, die vermindert werden. Hier liegt laut «unserem» System Engineer auch der ganz grosse Mehrwert von ADprofiler. Negative Punkte werden durch ihn derweil kaum genannt. Bei ganz speziellen, detaillierten Berechtigungen sei es möglich, dass diese weiterhin händisch durch die IT-Abteilung in Active Directory gemacht werden müssen. Gleichzeitig ist es nicht möglich, dass man willkürlich irgendwelche Attribute auf einem User in Active Directroy ändert, weil diese bei der nächsten Synchronisation von ADprofiler wieder überschrieben würden – was allerdings mehr Vor- als Nachteil ist.

Allerdings: ADprofiler ist nicht für jedermann, sondern primär für mittelgrosse bis grosse Unternehmen gedacht. Tanet empfiehlt eine Verwendung ab rund 100 Usern, damit ADprofiler kostenneutral eingesetzt werden kann. In Schulen, wo auch Spezialkonditionen gewährt werden und es überdurchschnittlich viele Mutationen gibt, oder in anderen Organisationen mit vielen Wechseln, kann der Einsatz bereits ab 50 Usern Sinn machen.


ADprofiler ist auch nicht ganz günstig. Grundsätzlich sind die Preise abhängig vom Engineering-Aufwand respektive vom Projekt. Richtpreise können aber nichtsdestotrotz genannt werden. Bei 100 Usern werden für die ADprofiler-Lizenz inklusive der dazugehörigen Exchange-­Lizenz einmalig 6200 Franken fällig. Dazu kommen dann jährliche Kosten von 3900 Franken für den Servicevertrag inklusive SLA. Das Unternehmen, bei dem wir die Lösung im Einsatz gesehen haben, bezahlte für eine Lizenz für bis zu 1200 Anwender 13'200 Franken, und die dreijährige Subscription inklusive SLA kostet 8830 Franken. Das ist auf den ersten Blick ein rechter Brocken, setzt man den Preis allerdings in Relation mit der Manpower, die aufgewendet werden müsste, wenn ein IT- Mitarbeitender alle Änderungen des HR in der Oracle-Datenbank 1:1 ins Active Directory übernehmen müsste – was etwa einer 25-Prozent-Stelle entspricht – dann rechnet sich der Einsatz von ADprofiler mehrfach.

ADprofiler

Fazit
ADprofiler ist für jedes Unternehmen zu empfehlen, das Active Directory einsetzt und mit der Herausforderung von Personalmutationen konfrontiert ist. Zum einen spart die Lösung von Hersteller Tanet Zeit, da sämtliche Änderungen rund um die Belegschaft, die von der Personalabteilung erfasst werden, automatisch in Active Directory umgesetzt werden. Zum anderen wird auch die Zahl der Fehler reduziert, da Daten nur noch an einer anstatt an zwei Stellen bearbeitet werden. Natürlich ist die Implementation von ADprofiler nicht ganz trivial und wird darum in der Regel von Tanet als Projekt unterstützt – mit entsprechender Kostenfolge, und auch die Lizenzkosten sind nicht zu vernachlässigen. Doch kann der Return on Investment relativ einfach berechnet werden – Lizenz- und Implementationskosten versus Manpower-­Einsparung.

Positiv
+ hohe Funktionalität
+ entlastet die IT-Abteilung
+ reduziert Fehlerquellen
+ flexibel bezüglich Anbindung der Datenquellen, Exportfunktionen
+ modular erweiterbar


Negativ
- relativ hohe Initialkosten
- Implementation nicht ganz trivial und oft nur als Projekt umsetzbar

Hersteller/Anbieter
Tanet

Preis
Projektabhängig; Richtpreis ab ca. 6200 Franken (Lizenz für 100 User) plus 3900 Franken/Jahr für Servicevertrag

Wertung
Funktionalität 6/6 Sterne
Bedienung 5/6 Sterne
Preis/Leistung 5/6 Sterne
Gesamt 5,5/6 Sterne (mw)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER