CodeFlügel

Active Directory zum Mitnehmen, Bitte!

Ein Beitrag von Felix Gruber
26. März 2020
Es ist ruhig - zu ruhig. Kein Tastatur-Geklimper und auch in der Nase kein Geruch nach frisch gebrühtem Kaffee. Postapokalyptisch anmutende Zustände für eine Softwarefirma, aber auch bei uns wird derzeit fleißig im Home-Office gearbeitet und unser fancy Büro steht dank COVID-19 leider leer. Nur ein paar wenige Geräte schuften im Rack fleißig vor sich hin und ermöglichen uns einen produktiven Arbeitsalltag aus der Ferne.

Aller Anfang ist schwer

Seit einiger Zeit hatten wir uns firmenintern über die letzten Wochen verteilt damit beschäftigt, uns bezüglich Active Directory (AD) zu informieren. Ausgangspunkt dafür war eigentlich der Wunsch, bestimmte Sicherheitsrichtlinien für mehrere Nutzer einfach verwalten zu können. Am besten schön von einer zentralen Oberfläche aus.

 

Wer sich auf diesem Feld schlau macht, stößt unweigerlich irgendwann auf den heiligen Gral der User-, Rollen- und Rechteverwaltung: Active Directory. Aus meiner Sicht zumindest, wobei mir hier mindestens einer meiner Kollegen, Stefan, sicher zustimmen wird. Obwohl wir mit unserem Wissensstand anfänglich wohl gerade erst die Spitze des Eisbergs sahen, eröffnete sich uns nach und nach eine neue Welt. Und so dauerte es auch nicht lange, bis wir, damals hauptsächlich aus Neugierde, beschlossen eine Windows Server Instanz bei uns aufzusetzen. Gesagt – getan. Macht halt noch nicht viel wenn man keine User, Gruppen, Organizational Units und dergleichen vergeben hat – aber läuft.

 

Bei unseren Recherchen kamen wir dann nebenher ziemlich zeitgleich auch darauf, dass wir mit unserem Office 365 Abo bereits implizit Azure AD in Verwendung hatten. Wobei der Begriff “in Verwendung” schon an eine Übertreibung grenzt. Hier waren einfach nur User eingetragen, für die das Office Paket freigeschalten war. Dass wir damit im Hintergrund eigentlich schon AD (in der “ultralight – Variante”, wenn man so will) verwendeten, war uns nicht bewusst. Wie wir das bis dahin so gekonnt ignoriert hatten, frage ich mich bis dato noch. Wir waren bei der Entdeckung aber auf jeden Fall positiv überrascht. Und hatten, ohne es zu ahnen, ein neues Kapitel in der Enzyklopädie der Möglichkeiten von AD aufgeschlagen.

tutorial verbund ad
[01] src: Tutorial: Erstellen eines Verbunds einer Umgebung mit einer AD-Gesamtstruktur mit Azure

Nun hatten wir also zwei, noch voneinander unabhängige, AD Instanzen. Die eine in der Azure Cloud, mit einigen Usern die durch Nutzung des Office Pakets schon angelegt waren. Und eine on-premise; gähnende Leere, wie die Straßen und Plätze derzeit. Nur ohne Polizeikontrollen – dafür mit einer Hand voll Test-Usern.
Wir begannen also damit neue User, die in keiner der beiden Instanzen eingetragen waren, einzupflegen. Ja, bisher herrschte bei uns noch der wilde Westen wenn es um Acount Management geht – zumindest aus jetziger Sicht. Das on-premise AD begann sich langsam zu füllen. Auch unser Verständnis des Systems, sowie dessen Aufbau und Verwaltung wurden immer klarer, in allen seinen Auswüchsen.

 

Zeit für eine hybride Hochzeit

Auf der Reise, durch die paradiesische Landschaft von Active Directory, trifft man vermutlich auch irgendwann ein kleines Helferlein namens AD Connect. Für uns war es wiederum ein kleiner Heureka – Moment. Was AD Connect ist und macht, steht in der Dokumentation so wunderschön geschrieben, dass ich es niemandem vorenthalten will:

 

“Azure AD Connect wurde entwickelt, um Sie beim Erreichen Ihrer Hybrididentitätsziele zu unterstützen.”

 

Ein Satz zum Einrahmen, Aufhängen und davor Niederknien. Falls ich jemals einen Kalender mit motivierenden Zitaten herausbringen sollte, wird “Versuche auch heute wieder deine Hybrididentitätsziele zu erreichen.” eine eigene Seite bekommen. Aber ich schweife ab.
Als wir dieses Heinzelmännchen antrafen, das so bereitwillig anbot, es würde sich um Synchronisation und Passthrough-Authentifizierung sowie Überwachung des Systems und Verwaltung über das Azure Portal kümmern, konnten wir dann quasi nicht mehr verneinen.

 

Azure AD Connect und Connect Health

[02] src: Was sind Azure AD Connect und Connect Health?

Und nach, mehr oder weniger, einfachem Setup und Konfiguration, synchronisierten auch bald die ersten Datensätze zwischen den beiden Instanzen hin und her. Der strukturelle Aufbau sieht auch tatsächlich so aus wie in der Abbildung. Wir fühlten uns, als hätten wir den Eisberg ein Stück weiter erkundet. Und wir hatten unsere Hybrididentitätsziele, aber sowas von, erreicht.

Als hätten wir es geahnt

Ungefähr zur selben Zeit wurden auch die ersten Maßnahmen gegen die Ausbreitung von COVID-19 in Österreich unternommen. Was für Stefan und mich so viel hieß wie alle Mitarbeiter, die Zugriffe auf das firmeninterne Netzwerk brauchen, mit VPN Profilen auszustatten. Viele waren noch gar nicht angelegt, da einige bisher nie Access von außen benötigten. Zusätzlich mussten noch alle Geräte mit Endpoint Protection Software bestückt werden, um auch im Home-Office ein möglichst hohes Level an Security gewährleisten zu können.

Auch für die Kommunikation von zu Hause aus überlegten wir welches Tool sich am besten dafür eignen würde. Intern verwenden wir ja schon lange Slack. Da aber einige Kollegen in diversen Projekten bereits Microsoft Teams zur Kommunikation mit Kunden und Partnern verwendeten, und wir sowieso gerade dabei waren Azure AD einzurichten, war es der nächste logische Schritt. Und auch hier staunten wir nicht schlecht – aber diesmal realistischerweise schon etwas weniger – als wir das erste Mal die Administrationsoberfläche öffneten und bereits alle synchronisierten Nutzer unseres ADs sahen. Der Schritt, ein Team zu erstellen und alle Mitglieder einzuladen, war dann letztlich die kleinste aller Hürden auf unserem Weg.

Azure AD Cloud gesteuer Verwaltung
[03] src: Über die Azure AD Cloud gesteuerte Verwaltung für lokale Workloads – Azure

So hatten wir schlussendlich eine Punktlandung hingelegt und unser System war am Freitag vor dem Start der allgemeinen Home-Office Verordnung in der darauffolgenden Woche bereit zum Appheben (© neue CF Website).
Ähnlich wie in der Abbildung, entdeckten nun auch wir den Aufwärtstrend, der sich unweigerlich ergibt, wenn man mehr und mehr Komponenten eines ausgeklügelten Systems verwendet, die perfekt ineinander greifen. Wie sich nach und nach Vereinfachungen in der Organisation, im Identitätsmanagement und in der Kommunikation zwischen den Usern ergeben, wenn die Tools immer besser zusammen spielen. Dazu sei aber auch gesagt, dass wir erst am Anfang stehen – wer sich hiervon also “das Active Directory – Orakel” in Textform erwartet, den muss ich leider noch enttäuschen. Dafür fehlt uns noch das Know-How, aber wer weiß, vielleicht wird daraus ja eine Blog – Reihe.

Zu guter letzt von meiner Seite: wie es so oft in schlauen Sprüchen heißt “ist der Weg das Ziel”, was sich in diesem Fall in gewisser Weise doch auch wieder bewahrheitet hat. Ich sollte mir das mit dem Weisheiten – Kalender echt nochmal überlegen, Material wäre genug vorhanden. An dieser Stelle übergebe ich mein virtuelles Mikrofon virenfrei an meine Kollegen, die euch die ganze Thematik aus ihrer Sicht schildern werden.

 

Home, sweet Home

Allgemein

Mit einem weinenden und einem lachenden Auge haben wir letzte Woche Auszug aus unserem geliebten Headquarter und Einzug in unsere privaten Home-Offices gehalten. Weinend, weil wir unser Wohlfühl-Altbau-Office inklusive bestem Kaffee und Süßigkeitenverpflegung schon jetzt vermissen. Lachend, weil der durchschnittliche Entwickler-Nerd bekanntlich am liebsten und besten bei heruntergelassenen Rollos von zu Hause aus arbeitet – quasi im natürlichen Lebensraum. Damit die Extrovertierten unter uns nicht ganz sozial verkümmern, haben wir 9-Uhr-Meetings in Microsoft Teams eingeführt. Neben dem kleinen Ansporn, pünktlich zu Dienstbeginn den beschwerlichen Weg vom Bett zur Work-Battle-Station geschafft zu haben, ist der Hauptzweck der täglichen Meetings alle auf dem neuesten Stand zu halten und natürlich ein bisschen über Gott und die Welt zu quatschen. Außerdem lässt sich so auch gut mit süßen Kindern und Haustieren angeben…

Angegeben wird auch in unserem Slack-Channel “fresskoordinator-5000” und zwar pünktlich zur Mittagszeit mit super lecker aussehenden Lunch-Fotos. Zu Kaffeepausen-Zeiten wird fleißig in unserem Discord-Server, den wir speziell dafür ins Leben gerufen haben, getratscht. Abends oder am Wochenende trifft man sich dort auch gerne zum Zocken beziehungsweise für die ein oder andere skribbl-Runde. Zusammengefasst ist die Home-Office-Situation durch ein paar zusätzliche “Sozialisierungsmaßnahmen” für uns sehr gut erträglich, auch wenn wir uns alle schon wieder auf unser großartiges Headquarter und den face-to-face Kontakt mit Kunden und Kollegen freuen.

 

Entwicklersicht

Es ist soweit. Die Apokalypse naht und das jahrelang trainierte Skillset eines Geeks kommt zum Einsatz: soziale Isolation, Computer-Affinität und Sonnenentzug. Enttäuschenderweise ist die medial ausgeschlachtete Endzeitstimmung nicht von Zombies geprägt und Katana und Baseballschläger bleiben im Schrank.
Alles Quatsch, natürlich. Resident Evil und The Walking Dead helfen uns in dieser Situation nicht weiter*. Viele von uns “IT-Menschen” (copyright Vertrieb & Marketing) sind es zwar gewohnt, viel Zeit alleine vor dem Rechner zu verbringen, sozial verkrüppelt sind aber nur die Wenigsten. Ohne Kommunikation funktioniert die Softwareentwicklung ohnehin nicht. Features wollen spezifiziert werden, Feedback wird eingeholt bzw. formuliert und man muss sich ja auch noch über den Source Code eines anderen aufregen können (wichtigstes Frustventil eines Programmierers).

Home Office spielt uns hierbei in die Hände, da wir mit den meisten Tools bereits vertraut sind und auch in der Vergangenheit bereits infrastrukturell dafür gerüstet haben. So läuft die Kommunikation nun vermehrt über Voice-Calls, wo früher Face-to-Face (CORONAVIREN-ALARM!!!!) angesagt war. Ein reger Austausch über Slack (Firmenchat) war sowieso schon immer vorhanden. Firmeninterne Server und Dienste sind dank Virtual Private Network (VPN) auch weiterhin für uns erreichbar. Weiterer Vorteil: der Arbeitsweg entfällt. Vernünftigen Kaffee hat man als full-fledged Byte-Warrior ohnehin in der Grundausstattung daheim.

Wo Licht, da ist allerdings auch Schatten. Der Autor dieser Zeilen, zum Beispiel, kann im Home Office zwar in Ruhe telefonieren (was in einem Großraumbüro manchmal herausfordernd sein kann), muss sich aber auch von den Ablenkungen des Alltags und der eigenen Umgebung distanzieren. Das gelingt manchmal besser, manchmal schlechter und erfordert Selbstdisziplin.

* Zumindest nicht direkt. Videospiele helfen aber beim Zeitvertreib und als Geek ist man oft geübter in der Selbstbeschäftigung, was in Isolationszeiten verdammt nützlich ist.

 

Vertriebssicht

Auch aus Vertriebs- und Marketingsicht ist die aktuelle Corona-Krise eine enorme Herausforderung. Speziell die Umstellung, dass wir unsere geliebten Kollegen aus der Entwicklung nicht mehrmals täglich mit spannenden Fragen zum Projektfortschritt nerven und sie so an ihrer Arbeit hindern können, ist eine Umstellung. Die meisten wichtigen Meetings wurden durch eine Mail ersetzt. Alle anderen wirklich wichtigen Termine finden trotzdem statt. Nur eben über Microsoft Teams oder ganz altmodisch per Telefon. Bei dem Schneechaos das wir aktuell in Graz haben sowieso die bessere Idee. Aber ansonsten läuft er Vertriebs- und Marketingalltag wie gewohnt weiter. Angebote werden formuliert, Marketingkampagnen geplant, Wartungsverträge ausgeschickt und Kundentermine geplant.

 

Was fehlt ist vor allem der täglich Austausch mit den Kollegen, haben wir doch die regelmäßigen face-to-face Kaffeepausen immer sehr genossen. Gut, dass wir eine virtuelle Lösung gefunden haben unsere Kollegen zu treffen und mit Projektforschrittsfragen zu nerven. Einen Vorteil hat das Homeoffice aber tatsächlich: Ein sehr kurzer Arbeitsweg vom Bett bis zum Schreibtisch. Und den kann man sogar in Pyjama zurücklegen, ohne dass die Menschen auf der Straße einen komisch anschauen.

 

Erstaunlich ist trotzdem die zwischendurch aufkeimende Effizienz, wenn man mal 2 Stunden ganz ungestört an einem Projekt weiter arbeiten kann. Nichts desto trotz, freuen wir uns auf den gewohnten Arbeitsalltag, mit face-to-face Kaffeepausen und vor allem auf das schöne Altbaubüro.

CodeFlügel Felix Gruber

Über den Autor

Felix Gruber

Felix liebt Kaffee und Memes - ach ja, Technologie darf man natürlich nicht vergessen. Ob Hard- oder Software, alles was aussieht wie aus einem Iron Man Film oder Mr. Robot ist genau sein Ding. In seiner Freizeit versucht er sich außerdem mit Robotern anzufreunden, bevor diese die Macht übernehmen, um später gut dazustehen.