tenfold nur für Teile des Active Directory lizenzieren – sinnvoll?

Mit tenfold verwalten Sie sämtliche IT-Zugriffsberechtigungen policy-konform und automatisiert und können zu jedem Zeitpunkt zuverlässige und übersichtliche Auswertungen zu den eingestellten Berechtigungen einsehen. Lizenzieren Sie tenfold nur für Teile des Active Directory, büßen Dokumentation und Reporting an Vollständigkeit und Authentizität ein. Wir schauen uns an, warum eine teilweise Lizenzierung des AD zwar möglich, aber nicht sinnvoll ist.

Regelung in der EULA

Der tenfold-Endbenutzerlizenzvertrag (EULA) sieht vor, dass alle physischen, aktiven IT-Benutzer, die mit tenfold verwaltet werden sollen, lizenziert werden müssen. Strenggenommen ist diese Richtlinie unabhängig von Active Directory. Allerdings bildet das AD in der Praxis häufig die Basis der Lizenzierung, da dort in der Regel alle Mitarbeiter des Unternehmens verwaltet werden.

Die physischen, aktiven IT-Benutzer eines Unternehmens und die im AD verwalteten Mitarbeiter sind in den meisten Fällen deckungsgleich. Aus diesem Grund wird die vollständige Lizenzierung des AD ausdrücklich empfohlen.

Die Lizenzierungspflicht besteht laut EULA aber nur für alle physischen, aktiven IT-Benutzer und (rein rechtlich) nicht für das Active Directory. Benutzerkonten, die entweder deaktiviert oder keiner Person zuzuordnen sind (Systembenutzer, Dienstkonten), fallen nicht unter die Lizenzierungspflicht.

tenfold-Lizenzierung ohne AD-Konto

Es gibt Szenarien auch, in denen Mitarbeiter eine tenfold-Lizenzierung benötigen, obwohl sie kein AD-Konto haben. Ein Beispiel: Der Werksmitarbeiter ist am Client über einen dauerhaft angemeldeten Sammelbenutzer angemeldet. Der Werksmitarbeiter startet anschließend die SAP-GUI und meldet sich mit einem personalisierten SAP-Benutzer an, der über tenfold verwaltetet wird. Der Werksmitarbeiter ist zu lizenzieren, auch wenn er kein AD-Konto hat.

Teilweise Lizenzierung des Active Directory

Die Frage, ob tenfold grundsätzlich für die gesamte Active Directory-Landschaft lizenziert werden muss, taucht relativ häufig auf. Die Antwort lautet: Nein. Technisch ist es durchaus möglich, nicht alle Objekte aus der Active Directory-Umgebung über tenfold zu verwalten:

  • Es kann der Scope innerhalb einer Domain auf bestimmte Organisationseinheiten (OUs) beschränkt werden.

  • In einer Multi-Domain-Umgebung ist es möglich, nicht alle Domains mit tenfold zu verbinden und so bestimmte Domains von der Verwaltung gänzlich auszuschließen.

Folgen einer unvollständigen Lizenzierung

Wenn Sie tenfold nur für Teile des Active Directory lizenzieren, dann hat dies Auswirkungen auf den Dokumentationsumfang. Objekte (z.B. Benutzer, Gruppen und Computer), die sich in Bereichen (OUs oder Domains) befinden, die von tenfold NICHT verwaltet werden, werden in tenfold auch nicht eingelesen und sind tenfold daher auch nicht bekannt.

Werden diese Objekte in anderen, tenfold bekannten Objekten (z.B. Benutzer, Gruppen, Computer, Fileserver, Exchange oder SharePoint) verwendet, scheinen die tenfold unbekannten Elemente in der Verwaltung dieser Objekte nicht auf.

tenfold Produkt-Demo

Erleben Sie tenfold in Aktion: Unser Produkt-Demo zeigt alle Funktionen!

Beispiele für “unsichtbare” Objekte

Beispiel 1: Eine Gruppe „g-citrix-excel“ aus einer in tenfold gescannten OU hat ein Gruppenmitglied „mschwarz“ aus einer in tenfold nicht lizenzierten und daher nicht eingescannten OU. Bei der Betrachtung der Gruppe „g-citrix-excel“ wird der Benutzer „mschwarz“ nicht angezeigt, da er in tenfold nicht aufgelöst werden kann.

Beispiel 2: Ein Benutzer „kmayer“ aus einer nicht eingescannten OU hat Berechtigungen auf einem Verzeichnis, das von tenfold verwaltet wird. tenfold liest das Verzeichnis beim Scan aus, aber kann die Benutzerkennung (SID; Security Identifier) hinter der Berechtigung nicht auflösen, da der zugehörige Benutzer nicht bekannt ist. Der Benutzer scheint auf dem Bericht für das Verzeichnis nicht auf.

Fazit

Eines der Hauptziele von tenfold ist es, dem Anwender zuverlässige und übersichtliche Auswertungen zu den eingestellten Berechtigungen zu geben. Eine nicht vollständige Lizenzierung von tenfold ist zwar möglich, führt aber zu erheblichen Problemen hinsichtlich der Zuverlässigkeit und Authentizität dieser Reports. Es wird daher nicht empfohlen, tenfold in Umgebungen einzusetzen, in denen es nicht beabsichtigt ist, alle Bereiche der AD-Infrastruktur zu lizenzieren.

Achtung!

Änderungen im Lizenzvertrag sind selbstverständlich vorbehalten. Diese unverbindliche Richtlinie zur tenfold-Lizenzierung ist nicht Bestandteil bestehender oder zukünftiger Lizenzverträge.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.