Sichere Mandantenfähigkeit durch Microsoft Active Directory

// Cloud Computing, IT-Technologie Beratung

Auch in gemeinsam genutzter Infrastruktur bleibt die Integrität von Daten und Systemen gewährleistet. Service Provider können erheblich Ressourcen einsparen.

Mit dem Active Directory in einer Microsoft Infrastruktur werden bekanntlich Zugänge zu Ressourcen, Daten sowie Anwendungen geregelt. Je nachdem, wie komplex die abgebildeten Unternehmensstrukturen sind, regelt das AD nicht nur 1:1 die Zugänge, sondern beschreibt auch verschiedene Stufen der Vertrauensstellung einzelner Domänen zueinander. Ein meist komplexes System, das wie ein Spiegelbild die innere Dynamik eines Unternehmens widergibt.

Kein Mandant soll die Benutzer und Objekte eines anderen Mandanten sehen

Wird die Unternehmens-IT bei einem externen Provider betrieben, gehört traditionell zu den ungeschriebenen Gesetzen, dass jedes Unternehmen in der Hardware abgegrenzt repräsentiert wird. Zu groß ist die Befürchtung, dass durch gemeinsame Server-Nutzung Unautorisierte Einsicht in fremde Daten oder Strukturen nehmen können. Also betreiben viele Service Provider pro Mandant je ein eigenständiges Active Directory. Das kostet natürlich Prozessorleistung, Strom, Administration und Betriebssystemlizenzen.  

Nicht erst seit der zunehmenden Verbreitung von Cloud Computing und der wachsenden Akzeptanz von Cloud-Infrastrukturen zur Bereitstellung von IT als Service steht die Forderung im Raum, dass diese Einschränkungen ein Ende haben und ein kostenschonenderes Verfahren möglich wird.

Microsoft active directory im „List Object Mode“ ermöglicht Einsparung teurer Ressourcen

Genau an dieser Stelle ist der „List Object Mode“ das Werkzeug, um die physische Trennung einzelner Mandanten aufzuheben und zugleich ihre logische Trennung aufrechtzuerhalten. Mit mindestens zwei Domain Controllern im „List object mode“ wird genau das erreicht. Der Service Provider wird in die Lage versetzt, seine Server Landschaft zu konsolidieren und weiterhin die gleichen Leistungen für seine Mandanten zu erbringen.

Ohne Aufwand ist dieser Modus allerdings nicht zu nutzen. Nachdem der „List Object Mode“ mit Hilfe des Microsoft Tools „ADSI Edit“ eingeschaltet wurde, müssen die unterschiedlichen Mandanten zusammengeführt werden, ebenso ihre Benutzer, Gruppen, Computer und weiteren Active Directory Objekte. Damit der „List Object Mode“ aktiv wird, werden die einzelnen Rechte an den Objekten angepasst. Diese Anpassung ist bei den migrierten Objekten jedoch einmalig und für neu aufgenommene Mandanten, z.B. durch Skripte und/oder Vorlagen, automatisierbar.

Keine Serverkonsolidierung ohne vorherige Simulation

Unabdingbar für eine so weitreichende Serverkonsolidierung ist eine Testumgebung. Diese sollte alle wichtigen Anwendungen und Parameter enthalten, die unter dem Dach eines gemeinsamen AD zukünftig vorgehalten werden sollen. Wenn nur noch ein aktives AD für alle Mandanten betrieben wird, muss auch der Betrieb nach einer Änderung simuliert und getestet werden. Eine Änderung kann zum Beispiel eine Gruppenrichtlinie (Group Policy Object) sein, die gegebenenfalls auf alle Mandanten wirkt. Auch sollte in der Testumgebung überprüft werden, ob alle Rechte so wie gewünscht eingestellt sind. Das Prinzip, wonach kein Mandant die Inhalte eines anderen Mandanten sehen kann, darf natürlich nicht durchbrochen werden. Die Einführung des „List Object Mode“ in einem globalen AD erfordert wegen ihrer Auswirkungen und ihrer Komplexität Erfahrung und Übersicht. Der IT-Dienstleister aus der Finanzbranche wurde in enger Zusammenarbeit von Kunde, Microsoft und noventum in die Lage versetzt, seine Infrastruktur um diverse Server zu entlasten und seine Effizienz dabei erheblich zu steigern.

Dieser IT-Dienstleister betreut heute mehr als 450 Mandanten mit insgesamt über 160.000 Benutzer-Objekten in einem Active Directory. In diesem befinden sich mehr als 4.500 Group Policy Objects (natürlich alle explizit berechtigt).  

Ein einheitliches Namenskonzept konnte durch diese selbst entwickelte Lösung auch umgesetzt werden. Gruppenrichtlinien waren danach eindeutig benannt und die Verwaltung wurde erheblich vereinfacht.

 

 

Michael Lamboury

 

Zurück