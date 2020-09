Das Windows-AD knüpft Berechtigungen ausschließlich an Gruppen. Die Rechtevergabe im Dateisystem anhand der Organisationseinheiten ist dem Betriebssystem unbekannt, obwohl dies eine sehr hilfreiche Funktion darstellen würde. FirstWare DynamicGroup automatisiert die Verwaltung von Gruppen im Active Directory und sortiert Benutzer dynamisch basierend auf OUs sowie Attributen in Gruppen ein. IT-Administrator hat das Tool getestet und war von seiner Flexibilität begeistert.

Der deutsche Anbieter FirstAttribute existiert seit 2001 und damit ungefähr so lange wie Microsofts Verzeichnisdienst Active Directory (AD). Wie es der Firmenname bereits andeutet, hat sich das Unternehmen auf Consulting und Software rund um Verzeichnisdienste und Identitätsmanagement, insbesondere das AD, spezialisiert. Ein Ergebnis dieser Tätigkeit ist das Werkzeug DynamicGroup, das FirstAttribute zusammen mit weiteren Softwareprodukten unter dem Label FirstWare anbietet.Seinen Ursprung hat DynamicGroup in Migrationen aus der Novell-Welt in Richtung AD. Während Novell mit seinem hauseigenen Verzeichnisdienst eDirectory Organisationseinheiten (Organizational Units; OU) direkt zur Vergabe von Berechtigungen im Dateisystem verwendet, ist dieses Prinzip im AD unbekannt. Windows knüpft Berechtigungen ausschließlich an Gruppen. Hier hilft DynamicGroup und stellt zu diesem Zweck dynamische Berechtigungsgruppen bereit. Zu jeder OU erzeugt das Tool auf Wunsch eine passende Gruppe und fügt alle Benutzerobjekte, die sich in dieser OU befinden, der Gruppe hinzu – auch für Admins ohne Novell-Vorgeschichte eine durchaus praktische Funktion.Zudem ergänzt das Werkzeug Funktionen, die Microsoft ab Werk nicht mitbringt oder allenfalls rudimentär unterstützt. So kennen Exchange-Server zwar abfragebasierte Verteilergruppen, die über Filter jeweils zum Zeitpunkt ihrer Verwendung dynamisch ihre Mitglieder auswählen. Diese dienen allerdings ausschließlich als E-Mail-Verteiler. Sie haben keine SID und taugen daher sowohl im Dateisystem als auch im Bereich der Öffentlichen Ordner nicht zur Vergabe von Berechtigungen.Weitere Nachteile bescheren die abfragebasierten Verteilergruppen den Endanwendern. Während das Outlook-Adressbuch statische Gruppen in fetter Schrift anzeigt, erscheinen die abfragebasierten Verteiler im Standardschriftschnitt und sind kaum von einzelnen Benutzerpostfächern zu unterscheiden. Noch schwerer wiegt, dass Benutzer solche Verteiler im Adressfeld einer E-Mail nicht expandieren und somit nicht nachvollziehen können, wer aktuell Mitglied in dieser Gruppe ist. Auch in diesem Fall sorgt DynamicGroup für Abhilfe, indem es aus Sicht des ADs statischen Gruppen eine gewisse Dynamik verleiht. Neben der Position eines Benutzerobjekts innerhalb der OU-Hierarchie bedient sich die Software LDAP-Abfragen, die nahezu beliebige Filter auf Basis der Attribute des jeweiligen Benutzerobjekts bilden. So findet DynamicGroup etwa alle Benutzerobjekte einer Abteilung oder eines Standorts und fügt sie den entsprechenden Gruppen hinzu.Komplexere Filter verknüpfen Abfragen mehrerer Attribute mit logischen Operatoren. DynamicGroup aktualisiert die Gruppenzugehörigkeiten in konfigurierbaren Intervallen. Wandert ein Benutzer im AD in eine andere OU oder ändern sich die Werte seiner Attribute, so passt DynamicGroup seine Gruppenmitgliedschaften beim nächsten Lauf automatisch an.Fazit DynamicGroup ist ein einfach zu bedienendes und dennoch sehr mächtiges Werkzeug, das Administratoren die Arbeit mit dem Active Directory signifikant erleichtert. Die Software automatisiert die Zuordnung von Benutzern zu Gruppen und erspart so manuellen Aufwand. Besonders gefällt dabei, dass DynamicGroup gänzlich ohne Datenbank oder Konfigurationsdateien auskommt. Die Einstellungen der Gruppen liegen komplett im AD.Den kompletten Test finden Sie in Ausgabe 10/2020 ab Seite 18.