tenfold nur für Teile des Active Directory lizenzieren – sinnvoll?

Der tenfold-Endbenutzerlizenzvertrag (EULA) sieht vor, dass alle physischen, aktiven IT-Benutzer, die mit tenfold verwaltet werden sollen, lizenziert werden müssen. Strenggenommen ist diese Richtlinie unabhängig von Active Directory. Allerdings bildet das AD in der Praxis häufig die Basis der Lizenzierung, da dort in der Regel alle Mitarbeiter des Unternehmens verwaltet werden.

Die Lizenzierungspflicht besteht laut EULA aber nur für alle physischen, aktiven IT-Benutzer und (rein rechtlich) nicht für das Active Directory. Benutzerkonten, die entweder deaktiviert oder keiner Person zuzuordnen sind (Systembenutzer, Dienstkonten), fallen nicht unter die Lizenzierungspflicht.

Es gibt Szenarien auch, in denen Mitarbeiter eine tenfold-Lizenzierung benötigen, obwohl sie kein AD-Konto haben. Ein Beispiel: Der Werksmitarbeiter ist am Client über einen dauerhaft angemeldeten Sammelbenutzer angemeldet. Der Werksmitarbeiter startet anschließend die SAP-GUI und meldet sich mit einem personalisierten SAP-Benutzer an, der über tenfold verwaltetet wird. Der Werksmitarbeiter ist zu lizenzieren, auch wenn er kein AD-Konto hat.

Die Frage, ob tenfold grundsätzlich für die gesamte Active Directory-Landschaft lizenziert werden muss, taucht relativ häufig auf. Die Antwort lautet: Nein. Technisch ist es durchaus möglich, nicht alle Objekte aus der Active Directory-Umgebung über tenfold zu verwalten:

Wenn Sie tenfold nur für Teile des Active Directory lizenzieren, dann hat dies Auswirkungen auf den Dokumentationsumfang. Objekte (z.B. Benutzer, Gruppen und Computer), die sich in Bereichen (OUs oder Domains) befinden, die von tenfold NICHT verwaltet werden, werden in tenfold auch nicht eingelesen und sind tenfold daher auch nicht bekannt.

Werden diese Objekte in anderen, tenfold bekannten Objekten (z.B. Benutzer, Gruppen, Computer, Fileserver, Exchange oder SharePoint) verwendet, scheinen die tenfold unbekannten Elemente in der Verwaltung dieser Objekte nicht auf.

Beispiel 1: Eine Gruppe „g-citrix-excel“ aus einer in tenfold gescannten OU hat ein Gruppenmitglied „mschwarz“ aus einer in tenfold nicht lizenzierten und daher nicht eingescannten OU. Bei der Betrachtung der Gruppe „g-citrix-excel“ wird der Benutzer „mschwarz“ nicht angezeigt, da er in tenfold nicht aufgelöst werden kann.

Beispiel 2: Ein Benutzer „kmayer“ aus einer nicht eingescannten OU hat Berechtigungen auf einem Verzeichnis, das von tenfold verwaltet wird. tenfold liest das Verzeichnis beim Scan aus, aber kann die Benutzerkennung (SID; Security Identifier) hinter der Berechtigung nicht auflösen, da der zugehörige Benutzer nicht bekannt ist. Der Benutzer scheint auf dem Bericht für das Verzeichnis nicht auf.

Eines der Hauptziele von tenfold ist es, dem Anwender zuverlässige und übersichtliche Auswertungen zu den eingestellten Berechtigungen zu geben. Eine nicht vollständige Lizenzierung von tenfold ist zwar möglich, führt aber zu erheblichen Problemen hinsichtlich der Zuverlässigkeit und Authentizität dieser Reports. Es wird daher nicht empfohlen, tenfold in Umgebungen einzusetzen, in denen es nicht beabsichtigt ist, alle Bereiche der AD-Infrastruktur zu lizenzieren.