Administration für KMUs
Trend zur umfassenden Administration: Dafür sorgen in Deutschland schon Datenschutz-Vorschriften
Kontrolle der Zugriffsrechte und Benutzer-Accounts ist schon ab einem Dutzend PCs ein Halbtagsjob
(07.11.06) - In großen Unternehmen gibt es die IT-Abteilung, bei kleinen und mittleren Firmen oft mehr oder weniger geordnetes Chaos. In den seltensten Fällen hat überhaupt jemand den Durchblick, oft wird die Verwaltung der Computer nebenbei erledigt. Wenn das nicht die Produktivität und die Sicherheit einschränken soll, müssen sinnvolle Tools helfen.
Netzwerkadministration ist ein großes Wort. Was wirklich dahinter steckt, kann von regelmäßigen Antivirus-Updates und automatischen Microsoft-Patches bis hin zu einer komplett kontrollierten PC-Umgebung reichen, in der auch noch die Position des letzten Icons auf dem Desktop festgelegt ist. Feste Vorschriften gibt es nicht. Aufwand und Ausmaß der Administration hängen vom Anspruch an den Komfort der Arbeitsumgebung und an die Sicherheitsansprüche ab. Natürlich spielen Budget und verfügbare Ressourcen ebenfalls eine Rolle. Allerdings geht der Trend zu mehr und umfassenderer Administration. Dafür sorgen schon die in Deutschland sehr strengen Vorschriften hinsichtlich des Datenschutzes. So müssen Firmen, in denen Minderjährige arbeiten – und das sind fast alle Auszubildenden - dafür Sorge tragen, dass sie keine Web-Seiten aufrufen können, die jugendgefährdende Inhalte darstellen.
Sicherheit bestimmt Vorgaben für den Administrator
Schon die mittlerweile alltägliche Bedrohung durch Viren und über Spyware eingeschleppte Trojaner sorgt für ein beständiges Grundlevel an notwendiger Administration. Aktuelle Anti-Viren Software kann das Unheil nicht in jedem Fall verhindern. Brandaktuelle Viren oder Trojaner, die noch nicht von der Schutzsoftware erkannt werden, können sich trotzdem im System festsetzen. Dagegen helfen klare Richtlinien, was der angemeldete Anwender im System darf: so wenig wie möglich. Wo es keine Schreibrechte für Systemverzeichnisse gibt, kann auch der perfideste Virus nichts ausrichten. Aber die Kontrolle der Zugriffsrechte und Benutzer-Accounts ist schon ab einem Dutzend PCs entweder ein Halbtagsjob oder ein Fall für ein gut abgestimmtes Administrationskonzept mit entsprechenden Tools.
Die Tools können und sollen auch Bordmittel sein: Microsoft stattet ihre Betriebssysteme mit einer ganzen Reihe von eingebauten Hilfsmitteln aus, die in kleinen und großen Netzen viele Vorgänge automatisieren und den Administrator entlasten können. Das fängt bei Batch-Dateien und Shell-Scripting an, die schon seit den ersten schwarz-weißen Anfängen zu den Standardbeigaben von DOS gehören. Auch heute sind Batch-Dateien mit ihrer rudimentären, Basic-ähnlichen Programmiersprache ein oft genutztes Hilfsmittel für kleine Aufgaben. Erheblich mehr Möglichkeiten bieten die mit Windows 2000 eingeführten Gruppenrichtlinien, mit denen sehr massiv in die Einstellungen von Computer und Benutzern eingegriffen werden kann. Doch selbst wenn Gruppenrichtlinien in den meisten Netzen ein unverzichtbares Tool sind, ein Allheilmittel stellen sie nicht dar. Mit ihnen lassen sich nur schwer einzelne Benutzer gezielt auswählen, sie sind in ihrer Funktion eingeschränkt und bedeuten für den ambitionierten Teilzeitadministrator erst einmal eine Menge Lernarbeit, um damit zu Rande zu kommen.
Externe Werkzeuge erleichtern Admin-Aufgaben
Diese Lücke in der Ausstattung haben natürlich auch die Softwarehersteller erkannt und so rangeln ganze Heerscharen von Anbietern in mehreren Kategorien um die Aufmerksamkeit des Kunden. Da sind zum einen die Imaging-Tools, mit denen sich geklonte Abbilder von einer Festplatte schnell auf andere Platten kopieren lassen. Das hilft, wenn man eine große Zahl von PCs neu installieren will. Oder um einen PC, der entweder einen Festplattendefekt oder einen anderen schweren Fehler hat, wieder in den Grundzustand zurückzuversetzen. Allerdings ist der Computer dann immer noch nicht auf seinen Benutzer abgestimmt. Maileinstellungen fehlen, der Desktop ist nur Standard und nicht persönlich, Bookmarks und andere Merkhilfen sind noch nicht angepasst. Wer das nicht von Hand erledigen mag, sollte sich eine Administrationshilfe wie Desktop-Authority von ScriptLogic ansehen. Damit lassen sich sogar die Mailbox-Einstellungen eines jungfräulichen Outlook-Clients zentral konfigurieren und auf den Benutzer anpassen.
Ebenfalls hilfreich sind Packager, die Anwendungen in ein leicht zu installierendes Format zusammenfassen. Doch der Packager allein ist nur die halbe Miete. Um das Paket an den Mann, bzw. an den PC zu bringen, muss der Administrator entweder die Gruppenrichtlinien oder ein Tool zur Softwareverteilung bemühen. Man sieht: eine Lösung für alle Anforderungen stellen diese Tools nicht dar. Und gerade der übergreifende Ansatz ist im KMU-Markt besonders wichtig. Wo wenig Zeit und oft auch nicht das Wissen vorhanden ist, um mehrere Lösungen zu erlernen und optimal zu nutzen, müssen die Softwarehelfer intuitiv und ohne lange Lernzeiten anzuwenden sein. Ebenso wichtig: die Implementierung im eigenen Netz darf nicht viel Aufwand verursachen, genauso wenig die Wartung der Software.
Auch wenn Microsoft das gern anders sehen würde, viele Firmen sind weit von einer homogenen Umgebung mit durchgehend Windows 2000 oder Windows XP auf den Arbeitsplätzen entfernt. Ältere Rechner, die nach wie vor ihren Zweck erfüllen oder PCs, die zur Steuerung von Maschinen eingesetzt werden, laufen unter Windows NT, 98 oder 95. Auch diese sollten im Administrationskonzept eine Rolle spielen. Damit scheiden Gruppenrichtlinien als alleiniges Tool aus; sie greifen erst ab Windows 2000 und XP. Externe Admin-Tools hingegen unterstützen die komplette Microsoft Palette. Damit sind unternehmensweite Richtlinien auch für jeden PC im Unternehmen umsetzbar. Gruppenrichtlinien haben noch ein weiteres Manko. Die Auswahl der Geräte, für die eine Richtlinie gelten soll, ist nicht leicht. Einzelne Geräte lassen sich nicht direkt auswählen, die Richtlinien können nur Gruppen zugewiesen werden. Doch gerade in kleinen Firmen lohnt sich der Aufwand nicht, für einzelne Mitarbeiter Gruppen zu erstellen. Da hat eine Admin-Lösung Vorteile, mit der man die Benutzer auswählen und die gewünschten Aktionen nach Möglichkeit über logische Operatoren wie UND, ODER, WENN freigeben oder blocken kann.
Doch das Selektieren allein reicht nicht. Viele Administratoren scheuen vor dem Erstellen komplexer Scripte zurück. Entwickeln, testen, anpassen, Fehler suchen – zu viel Zeitaufwand um einfache Aufgaben zu automatisieren. Ein gutes Admin-Tool verfügt deshalb über eine einfache, grafische Oberfläche, mit der schnell und unkompliziert Scripte ohne Programmierung zusammengeklickt werden können. Test und Fehlersuche fallen damit flach, die Anwendung wird sofort produktiv eingesetzt. Solche „Baukasten-Scripte“ reichen für viele Aufgaben aus. Soll es wirklich komplexer sein, dient das Script als Basis und kann modifiziert werden.
Helfen aus der Ferne
Mittlerweile ist ein Remote-Control-Tool-Standard in den virtuellen Werkzeugkästen der IT-Admins. VNC und seine Verwandten sind sehr beliebt, nicht zuletzt, weil sie kostenlos erhältlich sind. Mit VNC und Konsorten kann man den Bildschirm jedes PCs im Netzwerk auf den eigenen Monitor holen und den anderen Computer fern bedienen. Das ist praktisch, gerade beim User-Support. Doch ein gutes Admin-Tool unterstützt den Administrator mit mehr Funktionen. So ist beispielsweise bei Desktop-Authority von ScriptLogic neben der Fernsteuerung ein Bündel weiterer Funktionen eingebaut. Man kann unter anderem Dateien auf dem fernen PC verwalten, Rechte ändern, das Registry bearbeiten und eine Eingabeaufforderung aufrufen. Dazu gibt es einen Chat-Client, um am Bildschirm Nachrichten auszutauschen. Der PC muss nicht ständig laufen, um bei Bedarf auf Remote-Anfragen zu reagieren. Gute Admin-Tools können jeden PC durch das Senden eines so genannten „Magic Packets“ aufwecken und nach Abschluss der Arbeiten wieder herunterfahren. Schon in mittelgroßen Netzwerken kann die Stromeinsparung durch dieses Vorgehen die Kosten für ein Management-Tool innerhalb eines Jahres wieder herein holen.
Sicherheitslücken sind schon seit geraumer Zeit der Albtraum jeder IT-Abteilung. Durch den Windows Systems Update Server (WSUS) hat Microsoft die Verwaltung der eigenen Fehler einfacher gemacht. Doch erstens unterstützt WSUS nicht alle Microsoft Produkte, zweitens sind Programme anderer Hersteller auch von Sicherheitslücken betroffen. Ideal wäre eine integrierte Lösung, mit der zumindest die wichtigsten Anwendungen neben Microsoft Produkten wie Firefox, Real Player und Acrobat zentral und automatisch mit Patches versorgt werden können.
Ebenso dramatisch sind Sicherheitslöcher, die durch Spyware auf den PCs entstehen. Obwohl die Gefahr durch versteckte oder freiwillig herunter geladene Softwaremodule sehr real ist und zu vielen, virtuellen Unternehmenseinbrüchen führt, schützen sich noch zu wenige Firmen dagegen. Die meisten Antiviren-Programme sind für die Abwehr von Spyware nicht geeignet und lassen die ungebetenen Schnüffler passieren. Natürlich gibt es auch zum Schutz vor dieser Bedrohung eine ganze Menge Software, doch ein weiteres Sicherheitsprodukt muss installiert, gewartet und beobachtet werden. Eigentlich gehört Spyware-Schutz mit in den Funktionsumfang der Admin-Software, denn nur so hat der Administrator aus einer Anwendung heraus Patch-Management, Anti-Spyware und Remote-Control im Griff.
Bei dem Angebot an Lösungen, die am Markt zu bekommen sind, fällt gerade Administratoren in kleinen und mittleren Unternehmen der Überblick schwer. Administratoren wollen mit ihrem Tool so viele Aktionen wie möglich durchführen, ohne zwischen unterschiedlichen Applikationen hin und her zu schalten. Wichtig für sie ist es daher, eine umfassende, nicht zu komplizierte Desktop Administrationssoftware zu finden, die alle notwendigen Aspekte abdeckt und gleichzeitig kostengünstig eingesetzt werden kann.(Scriptlogic: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>