Test Center – ADprofiler

Mutations-Helfer für Active Directory

Mutations-Helfer für Active Directory

4. April 2020 - Mit der Lösung ADprofiler des Schweizer Herstellers Tanet lässt sich die Benutzerverwaltung in Active Directory wesentlich vereinfachen. «Swiss IT Magazine» konnte die Lösung im Einsatz begleiten.
Artikel erschienen in IT Magazine 2020/04

Auch in der Cloud

Die Konfiguration von ADprofiler ist überschaubar komplex, setzt aber einen Systemadministrator voraus, der etwas von Active Directory versteht, inklusive einem tieferen Verständnis für Attribute und VB-Skripte. Zudem braucht es je nach Datenquelle auch Unterstützung des Datenbankadministrators.

Installiert wird die Lösung auf einem Server – aktuell werden Windows Server 2012 R2 sowie Exchange Server 2013 als Minimum vorausgesetzt. Die Drittsysteme – von der Excel-Tabelle übers CRM und die Lohnbuchhaltung bis zur komplexen Datenbank – werden wie erwähnt über eine ODBC-Schnittstelle oder via Webservices angehängt, danach wird über entsprechende Attribute definiert, welche Informationen an ADprofiler fliessen sollen. Bei unserer Beispielfirma hat man sich für die Initialkonfiguration sowie auch für Migrationsprojekte, wie zuletzt beim Wechsel in die Cloud, Hilfe seitens des Herstellers an Bord geholt. Auch darum, weil im verhältnismässig kleinen IT-Team des mittelgrossen Unternehmens kein Spezialwissen vorhanden war. Positiv zu erwähnen bezüglich Migrationsprojekten (etwa auf eine neue Servergeneration) ist, dass Konfigurationen und Einstellungen mittels Scripts exportiert und danach wieder importiert werden können. So dauerte in «unserem» Unternehmen in der Vergangenheit ein herkömmliches Migrationsprojekt für ADprofiler rund 2,5 Stunden, für die Migration in die Cloud wurden rund 6 Stunden aufgewendet – dieser Mehraufwand darum, weil nicht nur der Server, sondern auch der Active-Directory-Namen gewechselt wurde und man zudem mehr Zeit fürs Testing aufwendete.

Apropos Cloud: ADprofiler unterstützt auch Azure Active Directory – aktuell noch via Konnektor, wobei ein On-Premises Active Directory mit Azure Active Directory synchronisiert wird. Als Beta getestet und in einem nächsten Release implementiert wird laut Tanet aber auch die Möglichkeit, ADprofiler via Power­shell direkt mit Azure Active Directory zu verbinden, so wie das bereits mit Exchange in Office 365 geschieht.

Abgesehen von den Migrationsprojekten gab es für den System Engineer, mit dem wir ADprofiler anschauen konnten, in Vergangenheit aber kaum Grund, auf den Support von Hersteller Tanet zurückzugreifen. Nötig wurde dies einzig bei gewissen nicht alltäglichen Zusatzattributen, bei denen man Hilfe brauchte, was dank vorhandenen SLAs aber unkompliziert und zeitnah via E-Mail erledigt werden konnte.
Was kein Problem darstellt ist, wenn mehr als ein Quellsystem genutzt wird – Daten also aus verschiedenen Datenbanken oder Webservices in ADprofiler fliessen. ADprofiler nutzt selbst zwei Datenbanken – eine Profildatenbank mit sämtlichen Profilen und Attributen sowie eine Entry-Datenbank, welche die von ADprofiler verwalteten Benutzer in Active Directory beinhaltet und die eindeutige Indexierung und Zuordnung von Benutzer und Datenquelle sicherstellt.

Ein Wort zur Performance: Eine Abfrage bei knapp 1000 User-Profilen dauert rund eine halbe Minute, und auch die Erstellung eines neuen Active-Directory-­Eintrags für einen neuen Mitarbeitenden passiert innerhalb dieser Zeitspanne. Für grössere Synchronisationsprojekte macht Tanet auf seiner Website Zeitangaben. So heisst es beispielsweise, dass in einem KMU das Erstellen von 200 neuen Benutzern und das Löschen von 600 Benutzern inklusive nachgelagerten Aufgaben rund 15 Minuten dauert, während eine Bildungsinstitution bei einem Semesterwechsel für das Erstellen von 1000 neuen Benutzern und nachgelagerten Aufgaben mit rund einer Stunde rechnen muss – diese Angaben können aber höchstens als Richtwerte dienen.

Sinnvoll ab 100 Usern

Letztlich geht es bei ADprofiler primär um die Arbeit, die das Tool der IT-Abteilung abnimmt und die möglichen Fehlerquellen, die vermindert werden. Hier liegt laut «unserem» System Engineer auch der ganz grosse Mehrwert von ADprofiler. Negative Punkte werden durch ihn derweil kaum genannt. Bei ganz speziellen, detaillierten Berechtigungen sei es möglich, dass diese weiterhin händisch durch die IT-Abteilung in Active Directory gemacht werden müssen. Gleichzeitig ist es nicht möglich, dass man willkürlich irgendwelche Attribute auf einem User in Active Directroy ändert, weil diese bei der nächsten Synchronisation von ADprofiler wieder überschrieben würden – was allerdings mehr Vor- als Nachteil ist.

Allerdings: ADprofiler ist nicht für jedermann, sondern primär für mittelgrosse bis grosse Unternehmen gedacht. Tanet empfiehlt eine Verwendung ab rund 100 Usern, damit ADprofiler kostenneutral eingesetzt werden kann. In Schulen, wo auch Spezialkonditionen gewährt werden und es überdurchschnittlich viele Mutationen gibt, oder in anderen Organisationen mit vielen Wechseln, kann der Einsatz bereits ab 50 Usern Sinn machen.

ADprofiler ist auch nicht ganz günstig. Grundsätzlich sind die Preise abhängig vom Engineering-Aufwand respektive vom Projekt. Richtpreise können aber nichtsdestotrotz genannt werden. Bei 100 Usern werden für die ADprofiler-Lizenz inklusive der dazugehörigen Exchange-­Lizenz einmalig 6200 Franken fällig. Dazu kommen dann jährliche Kosten von 3900 Franken für den Servicevertrag inklusive SLA. Das Unternehmen, bei dem wir die Lösung im Einsatz gesehen haben, bezahlte für eine Lizenz für bis zu 1200 Anwender 13'200 Franken, und die dreijährige Subscription inklusive SLA kostet 8830 Franken. Das ist auf den ersten Blick ein rechter Brocken, setzt man den Preis allerdings in Relation mit der Manpower, die aufgewendet werden müsste, wenn ein IT- Mitarbeitender alle Änderungen des HR in der Oracle-Datenbank 1:1 ins Active Directory übernehmen müsste – was etwa einer 25-Prozent-Stelle entspricht – dann rechnet sich der Einsatz von ADprofiler mehrfach.

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
SPONSOREN & PARTNER