Längst erledigen Admins Verwaltungs- und Wartungsaufgaben auch per Smartphone oder Tablet. Das ist zwar meist nicht so bequem und komfortabel wie die Fernwartung vom Admin-PC aus, kann aber Zeit sparen. Mit den richtigen Apps oder Tools lassen sich zumindest rudimentäre Aufgaben durchführen oder einfach auch mal nur die Server neu starten. Die Apps ersetzen keine professionellen Verwaltungswerkzeuge, können diese aber sinnvoll ergänzen.
Wir konzentrieren uns im Folgenden auf den Einsatz eines iPads für derlei Zwecke. Natürlich sind viele Apps auch für Android verfügbar. In diesem Zusammenhang eines gleich vorweg: Für Windows Phone 8 sieht es da noch deutlich übersichtlicher aus: Apps für die Verwaltung von Netzwerken sind da eher Mangelware.
Mit Active Directory Assist können Sie zum Beispiel per iPad das Active Directory nach Benutzerkonten, Computer und Gruppen durchsuchen und verwalten. Sie können Benutzer anlegen, die Gruppenmitgliedschaften von Benutzern anpassen, Kennwörter zurücksetzen und Berichte erstellen. Auch das Bearbeiten von Attributen, das Verschieben zwischen Organisationseinheiten und das Löschen von Computerkonten sind möglich.
Mit iPad Benutzer, Computer und Gruppen verwalten - Active Directory Assist
Eine der bekanntesten kostenlosen Apps zur Verwaltung von Active Directory für das iPad ist Active Directroy Assist (AD Assist). Mit der App können Sie Benutzer anlegen und das Active Directory abfragen. Sie können beispielsweise Berichte erstellen, um gesperrte Konten anzuzeigen, oder Benutzerkonten, deren Kennwort abläuft. Die Verwaltung läuft über die iPad-Oberfläche sehr flüssig, und Sie müssen keine Änderungen auf den Servern vornehmen.
Die App unterstützt bereits Windows Server 2012 und kann auch in Windows Server 2012 Domänenbenutzer verwalten. Natürlich können Sie auch ältere Betriebssysteme mit dem Tool verwalten. Die Grundfunktionen der App stehen kostenlos zur Verfügung.
Wollen Sie nicht administrative Konten verwalten oder neue Benutzer anlegen, müssen Sie über einen In-App-Einkauf die App kommerziell freischalten. Für viele Funktionen reicht aber die kostenlose Version aus, und die App zeigt keine nervige Werbung an.
Die Authentifizierung erfolgt mit dem Kerberos-V5-Protokoll und wird verschlüsselt. Der Datenverkehr lässt sich also nicht auslesen. Wenn Sie sich per VPN mit dem iPad mit Ihrem Netzwerk verbinden, können Sie mit Active Directory Assist auch auf diesem Weg das Active Directory verwalten. Zur Verbindung reicht eine Netzwerkverbindung zum Domänencontroller, es spielt keine Rolle, wie diese zustande kommt.
Für den Verbindungsaufbau nutzt Active Directory Assist die Ports 389 (LDAP), 88 (Kerberos) und 484 (Kerberos Change Password). Diese Ports müssen auf dem Domänencontroller verfügbar sein. Da diese ohnehin im internen Netzwerk geöffnet sind, sollten keine Änderungen an den Servern notwendig sein. Sie können mit AD Assist keine Gruppenrichtlinien verwalten, sondern nur Benutzerkonten, Computer und Gruppen, ebenso Kontakte in Active Directory.
Um die App zu nutzen, müssen Sie keinerlei Einstellungen auf den Servern vornehmen. Administratoren müssen sich an der App nur authentifizieren und können dann über das iPad die Domäne verwalten. Beim Start geben Sie den Namen eines Administratorkontos, das Kennwort und die IP-Adresse oder den Namen eines Domänencontrollers ein. Namen und IP-Adresse speichert die App, das Kennwort geben Sie jedes Mal neu ein. Wenn Sie mit der App einige Zeit nicht arbeiten, werden Sie automatisch abgemeldet. Das verhindert, dass andere Anwender unbefugt Zugriff erhalten.
Über Search können Sie im oberen Bereich das Active Directory nach verschiedenen Objekten durchsuchen und Einstellungen ändern. Sie können im Suchfenster auch nur einen Teil des Namens eingeben, damit Sie alle passenden Ergebnisse erhalten.
In der kostenlosen Edition können Sie nur Administrationsbenutzer und Computer verwalten, aber alle Benutzer anzeigen. Wenn Sie die App freischalten ( 8,99 Euro), können Sie auch andere Benutzer verwalten und Benutzerkonten anlegen. Sie müssen auch dazu auf den Servern keinerlei Einstellungen ändern oder Agenten installieren. Die Anmeldung an der Domäne durch die App reicht aus.
Über den Bereich Reports können Sie sich Berichte erstellen lassen. Hier sehen Sie auf einen Blick, welche Benutzerkonten aktuell gesperrt sind und wann Konten und Kennwörter ablaufen.
Benutzerkonten und Gruppen mit Active Directory Assist verwalten
Suchen Sie nach Benutzern auch mit dem Teil eines Namens, dann rufen Sie deren Einstellungen durch einfaches Antippen auf. Sie sehen anschließend, wann das Konto ausläuft, ob es gesperrt ist und ob das Konto aktiviert ist. Mit der kostenlosen Version von AD Assist können Sie nach Gruppen in Active Directory suchen, aber diese nicht verwalten.
Über den Bereich General erreichen Sie die allgemeinen Einstellungen der Benutzerkonten. Sie können an dieser Stelle Namen und E-Mail-Adressen anpassen, ebenso die üblichen allgemeinen Informationen wie etwa Telefonnummer oder Büroangaben. Auch die Adresse in den Konten lassen sich über diesen Weg pflegen. Die Daten trägt die App sofort in das Benutzerkonto in Active Directory ein.
Interessant ist die Schaltfläche Member Of. Hier sehen Sie, in welchen Benutzergruppen das Konto Mitglied ist. Das ist ein echter Mehrwert der App, da Administratoren auf diese Weise schnell und einfach Gruppenmitgliedschaften und damit auch Rechte überprüfen können. Mit der Schaltfläche Edit können Sie Mitglieder aus Gruppen entfernen oder in Gruppen hinzufügen. Dazu nutzen Sie die Schaltfläche + am unteren Rand. Über diesen Weg können Sie mit der kostenlosen Version der App auch Gruppenmitgliedschaften pflegen.
Über die Schaltfläche Objekt Details eines Benutzerkontos sehen Sie wichtige Informationen zu den Konten. Sie sehen, in welcher Domäne und Organisationseinheit das Objekt gespeichert ist, wie der NetBIOS-Name (zum Beispiel administrator) oder der UPN (zum Beispiel administrator@contoso.int). Interessant sind das Datum der letzten Kennwortänderung, die letzte Änderung des Kontos und das Datum der Erstellung.
Über die Schaltfläche Profile lassen sich für Benutzerkonten auch servergespeicherte Profile und das Home-Verzeichnis festlegen und ändern.
Computerkonten verwalten
Wenn Sie die Verwaltung der Computer aufrufen, können Sie, wie bei den Benutzerkonten, Informationen zum Server, das Betriebssystem und die genaue Version des Betriebssystems anzeigen. Sie sehen, wo das Konto gespeichert ist, den DNS-Namen des Servers und auch hier Daten zur Erstellung und Änderung des Computerkontos.
Über diesen Bereich können Sie Computerkonten auch deaktivieren, löschen und mit der Auswahl Move (über die Schaltfläche oben rechts) auch zwischen Organisationseinheiten verschieben. Auch hier können Sie wieder nach Organisationseinheiten suchen, um das Computerkonto zu verschieben.
IP-Adressen, Rechnernamen und MAC-Adresse mit Fing herausfinden
Was Active Directory Assist leider nicht kann, ist die Anzeige von aktuellen IP-Adressen oder der MAC-Adresse von Geräten. Hier können Sie aber auf die kostenlose App Fing (im App Store oder bei Google Play) setzen. Die App scannt das Netzwerk und zeigt auf einen Blick die aktuell gestarteten Geräte mit Namen, Hersteller, IP-Adresse und MAC-Adresse an.
Klicken Sie ein gefundenes Netzwerkgerät an, zeigt Fing noch weitere Informationen wie den Hersteller, den NetBIOS-Namen, die Domäne und einzelne Funktionen des Computers an.
In den erweiterten Einstellungen eines Computers in Fing können Sie auch nach offenen Netzwerk-Ports scannen lassen. Auf diesem Weg erhalten Sie parallel zu AD Assist umfangreiche Informationen zu Servern im Netzwerk.
Network Ping Lite
Mit Network Ping Lite können Sie über iPads einzelne Geräte oder ganze Subnets anpingen und überprüfen, welche IP-Adressen aktuell in Verwendung sind. Außerdem kann die App nach Namen im Netzwerk suchen. Als Ergänzung zu den anderen Apps ist Network Ping Lite für jeden Administrator sinnvoll, der sein iPad an das Firmennetzwerk anbinden will.
Verwaltung mit dem Remotedesktop
Wollen Sie erweiterte Verwaltungsaufgaben vornehmen, ist eine RDP-Verbindung auf Server und PCs am besten geeignet. Denn es gibt keine Apps, die den Server-Manager oder andere Verwaltungs-Tools von Windows ersetzen können. In Sachen RDP helfen aber kostenlose Apps weiter.
Mit der App Remote Desktop Universal von Evolve Networks bauen Sie kostenlos RDP-Verbindungen auf. Das funktioniert auch zu Rechnern mit Windows 8 und Windows Server 2012. Die Verbindungen können Sie auch speichern und so schneller aufrufen.
Die Werbung der kostenlosen Version ist ein bisschen vervig, dafür ist das Tool kostenlos. Mit den Schaltflächen am oberen Rand können Sie Tastenkombinationen an den Computer senden oder zwischen verschiedenen RDP-Verbindungen umschalten. Es ist aber durchaus sinnvoll, mehrere RDP-Apps zu nutzen, da nicht alle für alle Funktionen optimal sind. Da Sie Verbindungen speichern können, ist der Umgang nicht sehr kompliziert.
Eine weitere App in diesem Bereich ist Remote Desktop von Hana Mobile. Auch hier können Sie kostenlos auf RDP-Sitzungen zugreifen. Die App unterstützt ebenfalls schon Windows 8 und Windows Server 2012. Mit beiden Apps können Sie die Verbindungsdaten speichern und nach der ersten Einrichtung schnell und einfach wiederherstellen.
Ebenfalls hilfreich in diesem Bereich ist Remote Desktop Lite RDP von Mochasoft. Auch hier können Sie verschiedene Verbindungen verwenden, um per RDP auf Server zugreifen zu können. Die App gibt es zudem für Windows Phone 8. So lassen sich auch mit Microsoft-Smartphones RDP-Sitzungen aufbauen.
Mit diesen Apps lassen sich auch größere Netzwerke umfassend verwalten. Der Vorteil aller hier vorgestellten Apps ist, dass diese Multitasking-fähig sind. Das heißt, die RDP-Sitzungen bleiben aktiv, auch wenn Sie im Hintergrund eine andere App nutzen, zum Beispiel die genannten AD-Assist oder Fing.
Remoteunterstützung mit TeamViewer
Fernwartungssoftware gibt es in unterschiedlichsten Ausführungen, Preislagen und Darreichungsformen. Viele Lösungen, wie die verschiedenen VNC-Varianten, sind kostenlos, bieten dafür aber oft weniger Leistung als professionelle Lösungen wie Dameware oder Radmin. Aber unabhängig vom Preis hat fast jede Software das gleiche Problem: Der Zugriff über das interne Netzwerk funktioniert reibungslos. Soll aber über das Internet, eine Firewall oder einen Proxy-Server per HTTPS auf einen Rechner zugegriffen werden, zum Beispiel für den Anwender-Support für kleinere Niederlassungen oder Heimarbeitsplätze, spielen die wenigsten Anwendungen mit. Hier setzt TeamViewer an.
Die Verwendung der Software ist denkbar einfach. Zunächst muss eine kleine Anwendung von Teamviewer heruntergeladen und auf dem Computer installiert oder direkt gestartet werden, auf den zugegriffen werden soll. Auch auf dem Computer, der über das Internet zugreift, muss die Anwendung installiert oder direkt gestartet sein. Für iOS-Geräte gibt es dazu passende Apps. Das heißt, Sie können mit iPads Server und Arbeitsstationen fernwarten und dabei auf das gleiche Tool setzen wie bei der Fernwartung zwischen Clients.
Eine Installation auf den Clients ist nicht zwingend vorgeschrieben, der Start ist auch ohne vorherige Installation möglich. Deshalb können Sie die Anwendung auch von einem USB-Stick aus betreiben. Die ausführbare Datei und das Installationspaket sind identisch. Beim Start der Anwendung wählen Sie den Modus aus. Für beide Varianten reichen normale Benutzerrechte aus. Ein Administratorkonto ist nicht notwendig, da das Tool keine Treiber installiert. Auch Firewall, Proxy-Server oder DSL-Router müssen Sie nicht anpassen, der Verkehr darf problemlos passieren. Nach der Installation beziehungsweise dem Start der Anwendung generiert diese eine ID und ein Kennwort. Beides braucht der zugreifende PC oder das iPad
Auf dem zugreifenden Computer kann jetzt über die Schaltfläche Mit Partner verbinden eine Sitzung zum anderen Computer aufgebaut werden. Dabei tauschen die Clients die ID und das Kennwort der aktuellen Sitzung auf dem Host aus. Nach wenigen Sekunden wird das Fenster aufgebaut, und die Fernwartung beginnt. Das Programm erkennt automatisch, ob die Verbindung über ein Netzwerk oder das Internet hergestellt wird, und stellt die Datenübertragung entsprechend der Bandbreite ein, sodass immer eine optimale Leistung bei der Fernwartung erzielt wird.
Auf der Internet-Seite des Herstellers gibt es ausführliche Hilfen, wenn die Computer zum Beispiel hinter hochsicher konfigurierten Firewalls positioniert sind. Auch hier ist der Zugriff grundsätzlich möglich. Über ein Chat-Fenster können die beiden Teilnehmer miteinander kommunizieren. Auch Dateien lassen sich zwischen den beiden Computern austauschen.
Sind am Computer, auf den über die Fernwartung zugegriffen wird, mehrere Monitore angeschlossen, kann in TeamViewer zwischen diesen Monitoren umgeschaltet werden. Wird nach dem Beenden der Sitzung die Anwendung beendet, kann kein Anwender über TeamViewer auf den Computer zugreifen, bis erneut eine Sitzung erstellt und die ID und das Kennwort weitergegeben wurden. Natürlich kann diese Konfiguration angepasst werden, damit auch eine Fernwartung auf dem Server stattfinden kann. In diesem Fall erfolgt der Zugriff nicht über eine ID, sondern es muss eine entsprechende Authentifizierung stattfinden. Der Zugriff funktioniert auch, wenn der zugreifende Computer über einen Proxy-Server mit dem Internet verbunden ist. Die Fernwartung können Sie über diesen Weg problemlos von iPads aus durchführen. (mb)
Dieser Artikel basiert auf einem Beitrag der Schwesterpublikation TecChannel.de.