PC-Manager übernehmen Routine-Jobs

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Die Lösungen von Altiris und Landesk wurden in einer Arbeitsumgebung mit zehn Rechnern begutachtet.

Altiris und Landesk gehören seit Jahren zu den etablierten Anbietern von System-Management-Produkten. Beide liefern vollständige Suites, die sie nun mit erneuerten Funktionen präsentierten.

So wurde getestet

• Windows-Netz mit zehn Rechnern unter den Betriebssystemen Windows 2000 Professional, Windows Server 2003 und Windows 2000 Server.

• Der Landesk Server war auf einem Rechner mit Windows Server 2003 mit Athlon-XP-CPU und 768 MB RAM installiert.

• Das Altiris-Produkt lief auf einem Server mit einem Prozessor vom Typ Athlon 64/3400+, einem GB RAM und Windows Server 2003.

Vor- und Nachteile von Landesk

-- Gute Integration in die Landesk-Suite;

- konsistente Umgebung für sämtliche Verwaltungsaufgaben von der Inventarisierung über die Softwareverteilung und den neuen Sicherheitsmechnismen.

- Die Sicherheitsfunktion sind nicht so reichhaltig wie bei dedizierten Security-Tools. Sie reichen daher in vielen Fällen nicht aus.

Vor- und Nachteile von Altiris

-- benutzerfreundliche Oberfläche;

- schnelles Provisioning des Zielgerätes. Das Werkzeug ist für einen Unternehmensstandort ausgelegt und nicht für einweltweites Unternehmen, dadurch kann es bedeutend rascher in Betrieb genommen werden.

- Web-Client bietet nicht die gleichen Funktionen wie das Windows-Frontend;

- Deployment Solution folgt nicht der sonst von Altiris bekannten Bedienerführung.

Hier lesen Sie …

• welche Aufgaben die Produkte von Altiris und Landesk dem Systemverwalter abnehmen;

• wie sich die Verwaltungswerkzeuge per Windows- und Web-Client bedienen lassen;

• wie neue Rechner in die Verwaltungsumgebung eingebunden und konfiguriert werden;

• was die Lösungen an Sicherheitsfunktionen bieten und wo deren Grenzen liegen.

Mehr zum Thema

www.computerwoche.de/go/

567997: Tools erleichtern die Windows-Verwaltung;

571810: System-Management mit Open Source;

568841: Unicenter 11;

569578: HP baut Dashboard für Openview.

Altiris Deployment Solution

Altiris bietet mit über 60 Modulen viele Hilfen zur Verwaltung von Computern. Die Spanne reicht von der Inventarisierung, über die Lizenz- und Softwareverwaltung, den Fernzugriff bis hin zum Provisioning mit automatisierten Skripten. Die Module sind in einer gemeinsamen Verwaltungskonsole integriert, werden aber meist als kombinierte Suiten angeboten. In der "Client Management Suite" fasst der Hersteller all jene Funktionen zusammen, die eben zur Verwaltung der Clients benötigt werden. Analog verhält es sich mit der "Server Management Suite".

Nun hat das Unternehmen eine erneuerte "Deployment Solution 6.5" vorgestellt. Das Toolkit verwaltet Rechner (Server, Desktops und Notebooks), verteilt Software und migriert komplette Computerumgebungen beziehungsweise Benutzereinstellungen. Es unterstützt "Windows PE" und Linux-Preboot-Umgebungen.

Die Deployment Solution dient vorrangig dazu, einen Rechner neu einzurichten und dabei das Betriebssystem sowie das Benutzerprofil nebst Anwendungen, Browser-Einstellungen, Datenpfade und Druckerzuordnungen zu konfigurieren. Unerheblich ist, ob es sich dabei um eine Migration eines bestehenden Arbeitsplatzes auf eine neuere Softwareumgebung oder die ganz neue Einrichtung eines Gerätes handelt.

Dabei zielt der Deployment-Server auf einen spezifischen Standort oder ein festgelegtes Teilnetz. Sowohl die Client Management Suite als auch die Server Suite des Herstellers sind hingegen für den umfassenden Unternehmensverbund (Enterprise) ausgelegt. Sie benötigen daher einen oder mehrere kaskadierte Verwaltungs-Server ("Notification Server"). Einem Notification Server können mehrere Deployment Server zugeordnet werden.

Während der Deployment Server Funktionen zur Rechnerverwaltung umfasst, bietet der Notification Server zusätzlich Mechanismen zur Inventarisierung, Lizenzverwaltung (Application Metering) und Fernsteuerung ("Carbon Copy").

Die Deployment Solution lässt sich im Gegensatz zu den Enterprise-Produkten schnell installieren. Altiris verwendet, analog zu allen Wettbewerbern, eine Datenbank zur Ablage der Konfigurationseinstellungen, des Inventars und aller weiteren Arbeitsdaten.

Der Hersteller liefert die Deployment Solution mit zwei Verwaltungskonsolen aus. Die "Deployment Console" ist eine Windows-Anwendung. Die "Web Console" ermöglicht einen Zugriff via Web-Browser auf die Deployment Server.

Beide Konsolen ähneln sich. Sie unterscheiden zwei zentrale Verwaltungsobjekte, die in korrespondierenden Fenstern dargestellt werden: "Jobs" beschreiben Aktionen und "Computer" repräsentieren das Inventar.

Unter das Objekt Computer werden alle unter der Verwaltung eines Deployment Server stehenden Rechnersysteme zusammengefasst. Anwender können eine hierarchische Struktur definieren, die an die Organisationsstruktur mit Standort, Abteilung oder Typ (mobiler Computer, Desktop oder Server) des Unternehmens angepasst ist. Den Gruppen oder Organisationseinheiten sind dann die Rechner zuzuweisen. Solche Informationen lassen sich über unterschiedliche Modi importieren. Oder das Altiris-Tool scannt das Unternehmensnetz und bringt die Daten so in Erfahrung.

Basiseinrichtung von PCs

Die Rubrik der Jobs beschreibt die Aufgaben, die auf die Rechner angewandt werden sollen. Ein Job zerfällt in Teilaufgaben wie zum Beispiel: die Basiseinrichtung des Zielsystems, die Installation und Einrichtung des Betriebssystems, das Aufspielen von Anwendungen sowie das Hinzufügen von Druckern.

Voraussetzung dafür sind Scripts, um die Software von der zentralen Konsole auf die gewählten Systeme zu verteilen. Der Verwalter kann Jobs gruppieren oder Reihenfolgen bilden. Dies ermöglicht Provisioning-Läufe wie etwa die Erstellung eines Basis-Images, dessen Ausbringung auf das Zielsystem und die nachfolgende Detailkonfiguration des Rechners. Ein drittes Fenster zeigt Details zu den gerade aktiven Aktionen.

Prinzipiell werden Rechnergruppen und Jobs unabhängig aufgebaut. Per Drag and Drop weist der Anwender einen Job einem Computer oder einer Rechnergruppe zu und löst die Verarbeitung aus. Auch der umgekehrte Weg ist machbar. Jobläufe können über einen Scheduler auch zu einer bestimmten Zeit gestartet werden.

Da die Web-Console kein Drag and Drop kennt, erfolgt hier die Zuordnung der Funktionen auf die Rechner über Dropdown-Listenfelder und nachgeschaltete Dialoge.

Jobs werden über Popup-Menüs eingerichtet. Dort lassen sich Einträge vornehmen zum:

• Erstellen des Images;

• Script-gesteuerter Installation des Betriebssystems;

• Verteilung von Software;

• Erfassung oder Verteilung des Benutzerprofils;

• Änderung der Registry;

• Ausführung eines Scriptes und

• Inventarisierung.

Mit Hilfe des Werkzeugs "Wise Packager" können Systemverwalter MSI-Pakete "schnüren" und verteilen.

Das Tool erlaubt ferner es, Boot-Images auf einen entfernten Client für die Betriebssysteme DOS, Linux und Windows auszubringen. Die für den jeweiligen Job notwendigen Parameter werden in einer Dialogfolge mit Assistenten vom System abgefragt. Durch Bedingungen sind die Jobs auf bestimmte Computergruppen einzuschränken. Zusammen mit der Suite liefert der Hersteller über 80 Beispieljobs zum Herstellen von System-Images, der Migration von Virtualisierungssoftware wie Virtual Server und VMware sowie einfache Funktionen zum Abruf des Inventars und zum Rechner-Shutdown per Fernzugriff. Unterstützt wird dabei auch die automatisierte Installation eines "ESX Server" von VMware sowie eines Thin Clients des Herstellers Neoware (http://www.neoware. com/de). Ist der Rechner in diesem Moment nicht angeschaltet, weckt ihn Altiris durch Wake-On-LAN.

Rechnerumzüge begleiten

Ein weiterer Funktionsabschnitt des Altiris-Produkts ist die Migration des Benutzerprofils (User State). Dies kommt immer dann zum Tragen, wenn von einem bestehenden Rechnersystem alle benutzerspezifischen Einstellungen mitsamt ihren Daten auf ein anderes Rechner- oder Betriebssystem übertragen werden sollen. Angeboten werden solche Produkte heute auch von System-Management-Herstellern wie Computer Associates (CA), Enteo, Landesk und Symantec. Um das zu unterstützen, hat das Toolset verschiedene Optionen zum Migrieren von Betriebssystemen, Computer-Persönlichkeitsprofilen, Software oder vollständigen Datenträger-Images. Auch diese Migrationsschritte können dann als Teilaufgaben in Jobs integriert werden.

Zur Kommunikation mit den von der Deployment Solution verwalteten Geräten benötigt das Werkzeug Agenten auf den Zielsystemen. Die nehmen die Aufträge vom Deployment Server entgegen, führen sie aus und liefern das Statusergebnis ab. Für Windows- und Linux-Clients können die Agenten ohne Eingriffe auf den einzelnen Rechnern vom Verwaltungs-Server aus verteilt werden. Altiris empfiehlt ferner die Verwendung von eingebetteten oder versteckten Partitionen auf den Zielsystemen. Auf diesen Rechnern residieren die Agenten.

Landesk Management Suite 8.6

Auch Landesk hat seine Verwaltungssuite nun aktualisiert. Dr Hersteller hat neue Funktionen für die Rechnersicherheit hinzugefügt. Diese bietet das Softwarehaus auch als eigenständige "Security Suite" an. Die Suite wird nunmehr in zwei Aufgabenblöcke heruntergebrochen. Im "Security" und im "Patch Manager" finden sich die Funktionen zur Erkennung und Entfernung von Spyware. Der "Application Blocker" unterbindet das Ausführen von unerwünschten Anwendungen. Ein Analyse-Tool ermittelt Sicherheitsschwachstellen des Rechners.

Der zweite Funktionsblock der Security Suite ist der "Connection Control Manager". Mit ihm will der Hersteller aktuelle Sicherheitstechniken und -konzepte integrieren. Mit dieser Komponente legt der Anwender fest, in welche Netze sich der jeweilige Rechner einwählen darf. Außerdem überwacht das Tool die Kommunikationskanäle und USB-Ports der Computer. Mit dem Connection Control Manager will Landesk dem Missbrauch oder Diebstahl von Daten vorbeugen und gleichzeitig das Gerät besser vor Angriffen schützen. Der Hersteller geht davon aus, dass über Kommunikationskanäle oder -geräte, die nicht angesprochen werden können, auch keine Daten oder Malware das Gerät verlassen oder diese beeinflussen können. Der Connection Control Manager regelt dabei den Zugriff auf jegliche interne oder externe Peripheriegeräte. Darunter fallen herausnehmbare Laufwerke, die Anschlüsse für serielle, parallele, Firewire- und Infrarot-Kommunikation, die Wireless-Anschlüsse sowie die USB-Ports. Der Administrator kann die Verwendung dieser Geräte separat einstellen, und zwar je nach der jeweiligen IP-Adresse, die das Benutzergerät aufweist. Für Notebook-Anwender sind somit unterschiedliche Berechtigungen einzustellen, je nachdem, in welcher Umgebung das Gerät gerade betrieben wird.

Landesk hat die Kontrolle dieser Geräte gut in die übergeordnete Suite integriert. Dennoch bieten dedizierte Werkzeuge in diesem Segment bedeutend mehr. Meist erfolgt bei Landesk eine relativ grobe Unterscheidung zum Sperren oder Freigeben des jeweiligen Geräts, was nicht immer ausreicht. Komplexe Differenzierung in der Art, dass etwa auf einen mit Seriennummer identifizierten USB-Speicher bestimmte Dateien kopiert werden dürfen, alle anderen Dateien beziehungsweise Speichersticks jedoch abgelehnt werden, sind mit dem Landesk-Tool nicht möglich.

Damit die verwalteten Clients ihre Funktionen ausführen können, stellt Landesk eine Reihe von dedizierten Agenten bereit. Diese wurden nunmehr um einen "Landesk Trust Agent" erweitert. Er realisiert eine Quarantäne für Clients. Hierbei werden Geräte, welche eine Kommunikation mit den zentralen Diensten und Servern im LAN aufbauen wollen, vorher über einen Landesk Server geschleust.

Patchlevel prüfen

Erst nach der Prüfung hinsichtlich der geforderten Sicherheitsvoraussetzungen wie etwa Patchlevels und aktuelle Virenpatterns schaltet Landesk den Zugang zu den zentralen Diensten frei. Ein "Posture Validation Server" nimmt diese Prüfungen vor. Eine Schlüsselrolle hat dabei ein durch Landesk bereitgestellter DHCP-Server, der den Clients eine IP-Adresse zuweist. Dies geschieht passiert normalerweise durch die DHCP-Dienste eines zentralen Windows-Servers. Hier aber stellt Landesk diese Funktion bereit und kann folglich auch den Netzzugang kontrollieren.

Viele Produkte und Sicherheitskonzepte sehen mittlerweile eine vorgeschaltete Sicherheitsprüfung mit Quarantänefunktion vor. Das gilt etwa für Ciscos "NAC" ("Network Admission Control") und "NAP" ("Network Access Protection"), das Microsoft mit "Vista" ausliefern will. Zwar ist Landesk auch Partner von Cisco NAC und Microsoft NAP und integriert sich damit in Cisco NAC, der Landesk Trust Agent stellt jedoch eine eigenständige Implementierung eines Sicherheitskonzepts dar. Als Vorteil führt Landesk an, dass der Aufbau beispielsweise einer NAC-Infrastruktur mit erheblichen Kosten und Zeit verbunden ist, der Landesk Trust Agent diese aber quasi im Produkt mitliefert. Das ist prinzipiell richtig, denn NAC erfordert den Ausbau aller Cisco-Netzkomponenten. Router und Switches anderer Hersteller können darin ebenso wenig einbezogen werden wie ältere Cisco-Hardware. Erhebliche Anpassungen stehen auch bei NAP an, und auch hier bleiben ältere Microsoft-Produkte außen vor.

Zu den weiteren Neuerungen der aktuellen Landesk Suite zählt ein "Advanced Agent", in dem die Standardfunktionen untergebracht sind. Er umfasst anders als sein Vorgänger nicht 15 MB sondern nur 500 KB und startet somit schneller. Landesk liefert eine Vielzahl an Berichten über das Inventar und Ergebnisse von Software-Rollouts. Neu ist, dass diese automatisch in ein HTML-File übertragen und per E-Mail versandt werden können. fn)