Der Umgang mit Verzeichnisdiensten wie dem Active Directory (AD) oder LDAP gehört zum Handwerkszeug jeden Admins. Zwar verursachen die Dienste selbst einigen Verwaltungsaufwand, doch die Mühe zahlt sich aus: Kein anderer Weg erlaubt es, so schnell und effizient Benutzer überall in der Umgebung zu deaktivieren oder allen vorhandenen Usern Ressourcen zur Verfügung zu stellen. Wer es schon einmal mit Infrastrukturen zu tun hatte, in denen ausschließlich lokale Benutzer existieren, kennt das Problem: Nicht nur ist es sehr mühsam, hier zentrale Änderungen an der Benutzerverwaltung so durchzuführen, dass sie augenblicklich überall gelten – gerade in stressigen Situationen besteht obendrein die Gefahr, einzelne Systeme zu vergessen und verwundbar zu hinterlassen. Über den Sinn oder Unsinn der Einführung von LDAP oder AD ist deshalb eigentlich keine Diskussion mehr nötig.
Allerdings gibt es auch das Gegenteil, quasi "zu viel" zentrale Benutzerverwaltung, und zwar in jenen Fällen, in denen es mehrere zentrale Benutzerverzeichnisse gibt. So ein Szenario entsteht schneller, als manchem Administrator lieb ist. Kauft eine Firma eine andere, kommt es regelmäßig vor, dass die zentralen Verzeichnisse beider Firmen aufeinander prallen und mühsam abzugleichen sind. Ein Szenario mit mehreren Benutzerverzeichnissen kann zudem durchaus gewollt sein, etwa wenn das Windows-Team ein AD pflegt, das Linux-Team ein LDAP und das Ziel die berüchtigte "Separation of
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.