Effiziente Administration Ihrer Netzwerkumgebung

Admin Anwender Aufträge, Freigaben Verwaltet Benutzer, Mailboxen, Ordner und vergibt Berechtigungen Anbindung von Fremdsystemen Erzeugt und pflegt Mailboxen und Datenbanken Benutzerinformationen und Konventionen Verwaltet Benutzer, Mailboxen und vergibt Berechtigungen *Alle Firmensymbole sind eingetragene Warenzeichen der Inhaberfirmen Effiziente Administration Ihrer Netzwerkumgebung

Inhaltsverzeichnis 1 Allgemeines 3 2 Voraussetzungen 3 2.1 BETEILIGTE SYSTEME IN HIERARCHISCHE DATENBANK EINTRAGEN 3 3 Vorgehensweise 4 4 Pflege der Testmandanten-Daten 5 4.1 BENUTZERDATEN 6 4.2 GRUPPEN, KONTAKTE, COMPUTER 8 4.3 HEIMAT-VERZEICHNIS 9 4.4 PROFIL-VERZEICHNIS 10 4.5 EXCHANGE 2003 / 2007 11 5 Zuordnung von vorhandenen Objekten zu Mandanten 12 6 Berechtigung für Mandanten und Anträge einstellen 14 6.1 BERECHTIGUNGEN AUF MANDANTEN SETZEN 14 6.2 BERECHTIGUNGEN AUF ANTRÄGE SETZEN 16 7 Test der Antragsarten 17

1 Allgemeines Die im Lieferumfang des Operations Managers enthaltenen Standardanträge (Beispielanträge) sind auf die Mandantenfähigkeit des Produkts abgestimmt und benutzen die Mandantenklasse, um an zentraler Stelle auf benötigte Informationen zuzugreifen. Der Funktionsumfang der Standardanträge ist limitiert auf die beispielhafte Verwaltung von Active Directory-, File System- und Exchange-Servern. Welche der genannten Systeme im Einzelfall mit den Standardanträgen bearbeitet werden sollen, lässt sich individuell über die Mandantenklasse steuern. Die Verwaltung von weiteren Fremdsystemen (z. B. Lotus Notes, Novell e- directory o. ä.) mit Hilfe der Beispielanträge ist prinzipiell möglich, erfordert aber aufgrund komplexer Infrastruktur-Angaben die telefonische Kontaktaufnahme mit der kostenfreien Support-Hotline der Unicat GmbH. 2 Voraussetzungen Bevor Daten für Mandanten in der Mandantenklasse erfasst und damit die Standardanträge des Operations Managers (OM) verwendet werden können, muss die folgenden Voraussetzung erfüllt sein: Alle beteiligten Domänen, File-Server und Exchange-Organisationen sind mit gültigen Anmeldeinformationen in der HDB erfasst und erfolgreich discovert worden. 2.1 Beteiligte Systeme in hierarchische Datenbank eintragen Während der Basis-Inbetriebnahme des Operations Managers werden mit Hilfe des Konfigurationsassistenten bereits die zu verwaltende Domäne sowie eventuell auch schon zu verwaltende Domänen-Controller und File-Server mit entsprechenden Anmeldeinformationen in die hierarchische Datenbank eingetragen (siehe Installationsanleitung, Kapitel 7). Sollen mit den Standardanträgen nicht nur Active-Directory- und Dateisystem- Operationen durchgeführt werden, sondern auch Exchange-Systeme verwaltet werden, muss die Exchange-Organisation in die hierarchische Datenbank des OM eingetragen werden. Dies geschieht ebenfalls über den Konfigurationsassistenten, der in der klassischen Ansicht über die Menüpunkte Umgebung Konfigurations- Assistent erreicht wird. Stand: 18.08.2008 Seite 3 von 19

Nachdem ein Konto eingetragen wurde, das in der Exchange-Organisation über die erforderlichen Rechte verfügt (auf Notation achten! Domäne\Name), wird die ausgewählte Exchange-Organisation durch Klicken auf den Link Hinzufügen in die hierarchische Datenbank des Operations Managers eingetragen.!! HINWEIS!!: Damit die Exchange-Organisation und die darin enthaltenen Exchange-Server, Speichergruppen, Postfach-Speicher und Postfächer discovert und anschließend verwaltet werden können, muss auf dem Dispatcher-Server, der die Exchange-Organisation bearbeitet, der Exchange System-Manager (Exchange 2000/2003) und/oder die Exchange Management Konsole zusammen mit der Exchange Management Shell installiert sein. Bei Exchange 2000/2003-Organisationen wird der jeweils aktuellste Service- Pack-Level unterstützt. Exchange 2007-Organisationen können erst ab dem SP1 verwaltet werden. 3 Vorgehensweise Zur Inbetriebnahme der Standard-Antragsarten wird nun wie folgt vorgegangen: 1. Pflege der Test-Mandantendaten 2. Zuordnung von vorhandenen Objekten zu Mandanten 3. Berechtigung für Mandanten und Anträge einstellen 4. Test der Antragsarten Stand: 18.08.2008 Seite 4 von 19

4 Pflege der Testmandanten-Daten In der klassischen Ansicht steht über das Menü mit Umgebung Mandanten ein Testmandant zur Verfügung. Dieser Testmandant soll als Vorlage für eventuelle weitere Mandanten dienen und ist in den Abschnitten Konto, Exchange 2003 und Exchange 2007 bereits initial mit einigen Beispiel-Daten gefüllt. Die hier bereits eingetragenen Beispiel-Daten werden in Kapitel 4.1 Benutzerdaten im Detail erläutert.!! Hinweis!!: Nachdem Sie zusätzliche Informationen in den Mandanten eingetragen oder bestehende Daten geändert haben, klicken Sie bitte auf den Link Sichern. Andernfalls werden die vorgenommenen Änderungen verworfen. Jeder Mandant besitzt eine eindeutige Identifikation. An dieser Stelle ist ein numerischer Wert einzutragen, dessen Eindeutigkeit automatisch beim Klick auf den Link Sichern durch das System geprüft wird. Es kann ein Domänen-Controller eingetragen werden, gegen den alle diesen Mandanten betreffenden AD-Operationen ausgeführt werden. Wird kein DC eingetragen, wird der DC benutzt, der vom DNS zurückgeliefert wird. Die Mandanten sind in unterschiedliche Abschnitte unterteilt. In jedem dieser Abschnitte können Informationen zu den jeweiligen Objekten eingetragen werden. Damit über die Standard-Anträge nun neue Objekte erzeugt werden können, benötigt der OM für jeden Mandanten entsprechende Informationen, die zu ergänzen sind. Stand: 18.08.2008 Seite 5 von 19

Im Folgenden sehen Sie beispielhaft ausgefüllte Dialoge für Mandanten- Einstellungen: 4.1 Benutzerdaten Im Testmandanten sind bereits beispielhaft Werte zur Berechnung der wichtigen Namenseigenschaften CN-Name, SAMAccountName, UPN und Displayname eines AD-Kontos voreingestellt. Mit Hilfe einer speziellen Notation können die Inhalte zur Laufzeit dynamisch erzeugt werden. Hierfür sind im Folgenden einige Beispiele angegeben: {Firstname} {Lastname} {Lastname}{<Firstname:1} {Firstname} {Lastname}{#:0:1:1} {Lastname}{<Firstname:1}{#:0:1:1}{@ö=oe ä=ae ü=ue Ö=Oe Ä=Ae Ü=Ue ß=ss } Vor- und Nachname werden aufgelöst und bilden die Bezeichnung Nachname wird mit erstem Zeichen des Vornamen ergänzt Vor- und Nachname werden zusammengesetzt und falls notwendig mit einer Zahl ergänzt, bis eindeutigkeit gegeben ist # - 1stellig 0 wenn ohne Zahl eindeutig, dann Zahl weglassen 1 Format: Anzahl Stellen 1 Startwert: 1 Nachname und erstes Zeichen des Vornamen werden bis Eindeutigkeit gegeben ist mit Zahlen ergänzt, die angegebenen Sonderzeichen werden ersetzt Stand: 18.08.2008 Seite 6 von 19

{Lastname}{<Firstname:1:2} Nachname und erstes Zeichen des Vornames. Sofern belegt, nächstes Zeichen des Vornamens. Wenn der Vorname fertig ist, dann ab 2 beginnend mit Zahlen auffüllen bis Eindeutigkeit gegeben ist Für die Funktion der Standard-Anträge ist der Testmandant im Abschnitt Konto ZWINGEND noch um die Informationen Organisatorische Einheit UPN-Suffix zu ergänzen. Alle weiteren Informationen in diesem Abschnitt sind optional. Im Feld Standard-Eigenschaften" können weitere beliebige Name-Value Paare von AD-Eigenschaften angegeben werden, welche für diesen Mandanten gesetzt werden sollen. Die Name-Value Paare setzen sich aus dem Namen des Attributs im AD und dem einzustellenden Wert zusammen und werden durch ~ voneinander getrennt. Stand: 18.08.2008 Seite 7 von 19

Ein komplett ausgefüllter Abschnitt Konto eines Mandanten könnte beispielsweise wie folgt aussehen: 4.2 Gruppen, Kontakte, Computer Hier sind außer der OU für die Erzeugung neuer Gruppen/Kontakte/Computer keine weiteren Angaben notwendig. Beispiel für AD-Gruppen: Stand: 18.08.2008 Seite 8 von 19

4.3 Heimat-Verzeichnis Durch die folgenden exemplarischen Eingaben wird ein Heimatverzeichnis erzeugt, welches den Benutzernamen trägt, mit dem Namen des Benutzers als Hidden-Share freigegeben und automatisch auf Laufwerk H: verbunden wird. Die Rechte werden auf change eigestellt hier gilt die Notation des CACLS.EXE Befehls. Als Basis-Ordner wird der Ordner angegeben, der im Pfad zum Heimatverzeichnis als letzter Ordner freigegeben ist. Wenn das Heimatverzeichnis direkt unterhalb des Basis-Ordners angelegt werden soll, ist im Feld Pfad relativ zur Freigabe ein \ einzutragen. Andernfalls wird an dieser Stelle der komplette Ordnerpfad unterhalb des Basis- Ordners angegeben, in dem das Heimatverzeichnis erstellt werden soll. Die Werte in geschweiften Klammern referenzieren Attributnamen eines Account-Objektes in der hierarchischen Datenbank des OM.!! Hinweis!!: Nur wenn ein gültiger Basis-Ordner angegeben wurde, wird im Standard- Antrag Benutzer NEU (Allg) auch die Option zum Anlegen eines Heimatverzeichnisses aktiviert und die entsprechenden Operationen ausgeführt. Stand: 18.08.2008 Seite 9 von 19

4.4 Profil-Verzeichnis Folgendes Beispiel zeigt die Eintragungen, die ein Profilverzeichnis mit Namen des Kontos im angegebenen relativen Pfad unterhalb des eingetragenen Basis-Ordners erstellt. Es wird keine Laufwerksverbindung vorgenommen und die Rechte werden auf FullControl eingestellt. Als Basis-Ordner wird der Ordner angegeben, der im Pfad zum Profil-Ordner als letzter Ordner freigegeben ist. Wenn das Profilverzeichnis direkt unterhalb des Basis-Ordners angelegt werden soll, ist im Feld Pfad relativ zur Freigabe ein \ einzutragen. Andernfalls wird an dieser Stelle der komplette Ordnerpfad unterhalb des Basis-Ordners angegeben, in dem das Profilverzeichnis erstellt werden soll. Die Werte in geschweiften Klammern referenzieren Attributnamen eines Account-Objektes in der hierarchischen Datenbank des OM.!! Hinweis!!: Nur wenn ein gültiger Basis-Ordner angegeben wurde, wird im Standard- Antrag Benutzer NEU (Allg) auch die Option zum Anlegen eines Profilverzeichnisses aktiviert und die entsprechenden Operationen ausgeführt. Stand: 18.08.2008 Seite 10 von 19

4.5 Exchange 2003 / 2007 Folgende exemplarischen Eintragungen in den Abschnitten Exchange 2003 bzw. Exchange 2007 eines Mandanten können dazu benutzt werden, um durch den Standard-Antrag Benutzer NEU (Allg) ein Postfach für einen neuen Benutzer auf dem jeweiligen Exchange-System zu erstellen und dieses sofort der Verteilerliste OM_TestVL zuzufügen: Im Abschnitt Exchange 2007 ist die Angabe der primären SMTP-Adresse für die Funktion des Standard-Antrags Benutzer NEU (Allg) ZWINGEND erforderlich: Stand: 18.08.2008 Seite 11 von 19

!! Hinweis!!: Nur wenn in den Exchange -Abschnitten des Mandanten jeweils ein gültiger Mailbox-Store des entsprechenden Exchange-Systems angegeben wurde, werden im Standard-Antrag Benutzer NEU (Allg) auch die Optionen zum Anlegen eines Postfachs auf dem jeweiligen Exchange-System aktiviert und die entsprechenden Operationen ausgeführt. 5 Zuordnung von vorhandenen Objekten zu Mandanten Jeder Mandant ist durch eine eindeutige numerische Id bestimmt. Diese Id wird im Feld Identifikation des Mandanten gespeichert. Nun können für alle bereits vorhandenen Objekte in der Datenbank die Mandanten gesetzt werden. Jedes Objekt in der OM-Datenbank besitzt eine Eigenschaft Mandator, in der die Identifikation des zugehörigen Mandanten gespeichert ist. Es werden so alle Objekte eindeutig Mandanten zugeordnet. Die Zuordnung von Mandanten-Identifikationsnummern zu vorhandenen Objekten in der hierarchischen Datenbank des Operations Managers geschieht mit Hilfe des Links Mandant, der in den Teilabschnitten Konto, ADGruppen, Kontakte und Computer eines Mandanten zur Verfügung steht. Das Klicken auf den Link Mandant bewirkt in den genannten Abschnitten, dass bei denjenigen Objekten, die sich in der angegebenen organisatorischen Einheit befinden, die jeweilige Mandanten-Identifikationsnummer des ausgewählten Mandanten eingetragen wird. Stand: 18.08.2008 Seite 12 von 19

So wird beispielsweise durch Betätigen des Mandant -Links im folgenden Konto -Abschnitt des Mandanten Testmandant dafür gesorgt, dass bei allen Account -Objekten, die sich in der organisatorischen Einheit /Mandant1/Users befinden, im Attribut Mandator die Mandanten- Identifikation des Mandanten Testmandant ( 1, s. o.) eingetragen wird.!! Hinweis!!: Die Benutzung des Links Mandant trägt AUSSCHLIEßLICH bei Objekten, die in der Datenbank des Operations Managers vorhanden sind, einen Wert für das Attribut Mandant ein. Es handelt sich hierbei lediglich um ein Setzen eines Objekt-Attributs in der OM-Datenbank und nicht etwa um das Setzen eines Attributs bei Objekten im Active Directory. Stand: 18.08.2008 Seite 13 von 19

6 Berechtigung für Mandanten und Anträge einstellen 6.1 Berechtigungen auf Mandanten setzen Um den in Kapitel 4 erzeugten Mandanten in den Standard-Anträgen nutzen zu können, müssen entsprechende Benutzergruppen oder einzelne Operatoren auf diesen Mandanten berechtigt werden. Dies erfolgt in der klassischen Ansicht über die Menüpunkte Datenbank Sicherheit Mandanten : Stand: 18.08.2008 Seite 14 von 19

Für einen ausgewählten Mandanten können nun Benutzer und Gruppen ausgewählt und die erforderlichen Berechtigungen erteilt werden: Für die Verwendung der Anträge zur Verwaltung von Mandanten sind die Rechte RX erforderlich.!! Hinweis!!: Auch das administrative Konto, in dessen Kontext der Operations Manager installiert wurde, muss auf den Mandanten berechtigt werden, um damit arbeiten zu können. Stand: 18.08.2008 Seite 15 von 19

6.2 Berechtigungen auf Anträge setzen Damit die Anträge ausgeführt werden können, muss noch eine grundsätzliche Berechtigung für die Operationen (Anträge) erfolgen. Soll z.b. der Anwender PC4 neue Benutzer für einen Mandanten erzeugen, so muss er neben der Mandantenberechtigung für den Testmandanten s.o. auch Berechtigungen für die Antragsart Bentuzer NEU (Allg) besitzen. Die Antragsrechte können in der klassischen Ansicht über die Menüpunkte Datenbank Sicherheit Anträge eingetragen werden: Die möglichen zu vergebenen Rechte sind: R Read W Write X Execute M Start über Middleware (z. B. per batch-datei, Kommandozeile) D Delete P Permissions (Rechtevergabe, ohne Besitzer des Antrags zu sein) O Owner-Recht (vergleichbar mit Full-control) E Antrag startbar per E-Mail Stand: 18.08.2008 Seite 16 von 19

7 Test der Antragsarten Jetzt kann der Test der Antragsarten erfolgen. Zunächst legen wir für den Testmandanten ein neues Benutzerkonto an: Erläuterungen: Die Auswahl des Kontentyps soll beispielhaft verdeutlichen wie es möglich gemacht werden kann, dass nur Konten angelegt werden, die einer definierten Namenskonvention entsprechen. In diesem Beispiel lautet die Konvention: ein Buchstabe (abhängig von der entsprechenden Verwendung des Kontos) gefolgt von 6 Ziffern. Das Feld OE (organisatorische Einheit) soll dazu dienen, eine mögliche organisationsinterne Abteilungsbeschreibung im Benutzerkonto zu hinterlegen. In diesem Antragsbeispiel wird die Beschreibung vorbelegt mit dem Mandantennamen, sie kann aber überschrieben werden. Die Option zum Erzeugen eines Postfachs steht nur zur Verfügung, wenn im ausgewählten Mandanten im Abschnitt Mailbox auch ein gültiger Postfachspeicher eingetragen wurde. Stand: 18.08.2008 Seite 17 von 19

Erläuterungen: Im Feld Anmeldescript werden zur Laufzeit des Antrags die Anmeldescripts aus der netlogon-freigabe eines Domänen-Controllers eingelesen und angezeigt. Sollte dieses Feld leer sein, existieren entweder keine Anmeldecripts auf den Domänen-Controllern oder in der hierarchischen Datenbank des Operations Managers ist kein Objekt der Klasse Host eingetragen, das im Attribut DomainRole den Wert PDC enthält. Die Optionen zum Anlegen eines Profil- und Heimatverzeichnisses stehen nur zur Verfügung, wenn im ausgewählten Mandanten in den Abschnitten Profile- Folder bzw. Home-Folder jeweils ein gültiger Basefolder eingetragen ist. Stand: 18.08.2008 Seite 18 von 19

Erläuterung: Im Oberflächenelement zusätzliche Gruppen können dem neuen Benutzer Gruppenmitgliedschaften zugeordnet werden. Den Gruppen im unteren Feld (Sammelliste) wird der Benutzer zugefügt. Als Startwert enthält die Sammelliste die Gruppen, die im ausgewählten Mandanten im Abschnitt Konto unter Standard groups hinterlegt wurden. Das obere Feld (Auswahlliste) enthält Gruppen aus der OM-Datenbank, die im Attribut Mandator die Identifikation eines Mandanten eingetragen haben, auf den der angemeldete Benutzer berechtigt ist. Falls die Auswahlliste leer sein sollte, gibt es also unterschiedliche Gründe dafür: Es existieren in der OM-Datenbank keine Objekte der Klasse AD- Group, die im Attribut Mandator die Identifikationsnummer eines Mandanten eingetragen haben (Standard: 0 kein Mandant). Der momentan angemeldete Benutzer ist nicht auf den in den ADGroup-Objekten eingetragenen Mandanten berechtigt. Stand: 18.08.2008 Seite 19 von 19