Was ist die Active Directory-Lizenzierung?
axes4 stellt die Active Directory-Lizenzierung für Organisationen bereit, die ein Inhouse Windows Active Directory (AD) betreiben.
Die Active Directory-Lizenzierung erlaubt es, axes4-Produkte ohne jede Kommunikation zu axes4-Servern zu lizenzieren.
Die Clients, auf denen ein Produkt von axes4 läuft, müssen Mitglied einer Active Directory Domain sein. Microsoft Entra ID (ehemals Azure Active Directory) ist nicht kompatibel; dafür stellen wir die separate Entra ID-Lizenzierung bereit.
Funktionsweise
Im Programmordner des axes4 Lizenzmanagers liegt eine Json-Datei, welche unter anderem folgende Informationen enthält:
- SID der AD-Domain (gehashed)
- Name einer AD-Gruppe, welche die lizenzierten User enthält
- Anzahl der lizenzierten User
- Ablaufdatum der Lizenz
Die Datei hat das Namensschema LicenseToken_...json..
axes4-Produkte prüfen periodisch folgende Punkte:
- Ist der aktuelle User Mitglied einer Domain, deren SID übereinstimmt mit der SID in der Lizenzdatei?
- Ist der aktuelle User Mitglied der AD-Gruppe, die in der Lizenzdatei steht?
- Stimmt die Anzahl User in der AD-Gruppe mit der Anzahl User in der Lizenz überein?
- Ist das aktuelle Datum im Gültigkeitsbereich der Lizenz?
Wenn alle vier Bedingungen erfüllt sind, werden unsere axes4-Produkte aktiviert – andernfalls laufen sie im Demo-Modus.
Vorgehen am Beispiel von axesWord
- Die Organisation kauft bei axes4 eine Lizenz für Active Directory-Lizenzierung.
- Der Admin erstellt eine neue AD-Gruppe (Beispiel: „axesWord Users“) und fügt diejenigen Domänen-User zu dieser Gruppe hinzu, die axesWord nutzen.
- Der Admin teilt axes4 Informationen zu seiner Domain mit erhält eine Lizenztoken-Datei und verteilt diese per Group Policy an die Clients, die axesWord nutzen.
- Der Admin passt per Group Policy auf den Clients den Registry-Wert für den Lizenzmanager an.
Technische Details
Powershell-Tool zum Erstellen der gehashten SID
Active Directory-Lizenzierung funktioniert nicht mit dem Namen einer Domain, sondern mit deren SID. Damit axes4 diese potenziell sicherheitsrelevante Information nicht erhält, wird die SID mit einem Powershell-Tool gehasht, das wir Ihnen hier zur Verfügung stellen.
Das Powershell-Skript fragt nach den Namen der Domain und der AD-Gruppe. Falls die Domain gefunden wird, erstellt das Tool einen Hash der Domain-SID. Die gehashte SID sowie der AD-Gruppenname werden auf der Kommandozeile ausgegeben; der Admin schickt diese Informationen dann per E-Mail an axes4.
Das Skript ist wie immer bei Powershell unmittelbar einsehbar, so dass Transparenz darüber herrscht, wie die SID gehasht wird.
Verteilung der Lizenztoken-Datei
Mit den Informationen des Powershell-Tools erstellt axes4 eine Lizenztoken-Datei (Json-Datei), welches die oben erläuterten Informationen enthält und schickt diese an die Lizenznehmer.
Diese Datei muss per Group Policy (oder einem vergleichbaren Deployment-Tool) in den axes4 License Manager-Programmordner der Clients verteilt werden. Per Default lautet der Pfad:
C:\Program Files\axes4 License Manager
Anpassung des Registry Values für den Lizenzmanager
Um die Active Directory-Lizenzierung zu aktivieren, muss ein Registry-Wert gesetzt werden, und zwar an einem der folgenden Schlüssel (mit absteigender Priorität bei der Verarbeitung):
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\axes4\Licensing\Manager
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\Policies\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\axes4\Licensing\Manager
Innerhalb dieser Schlüssel sucht der Lizenzmanager einen String Value mit dem Namen ActiveConnections und dem Wert domain.
Licensing Manager. Im rechten Teil des Fensters ist der String Value 'ActiveConnections' mit dem Wert 'domain' hervorgehoben."
Änderung an der AD-Gruppe
Wenn User aus der AD-Gruppe entfernt oder der AD-Gruppe hinzugefügt werden, aktualisieren Domain-Clients diese Information nicht sofort. Wir verzichten aus Performance-Gründen bewusst auf einen Refresh der AD-Gruppen. Es kann deshalb nach dem Hinzufügen eines Users bis zu 10 Minuten dauern, bis seine Gruppen-Mitgliedschaft bestätigt und er korrekt lizenziert wird.
Zufällige Prüfung der Anzahl lizenzierter User
Die Prüfung der Anzahl der Mitglieder in der AD-Gruppe ist seitens Windows AD nicht performant. Um die Domain Controller nicht zu überlasten, findet diese Prüfung je nach Anzahl User nur sporadisch statt.
AD-Untergruppen, Subdomains
Die Gruppe der lizenzierten User kann Untergruppen enthalten.
Ebenso ist es möglich, User bzw. Gruppen aus Subdomains zu einer Parent-Domain-Gruppe hinzuzufügen. Wenn gewünscht, kann also eine einzige Lizenz-Datei für eine Parent-Domain sowie für mehrere Subdomains verwendet werden.
Überschreitung der Anzahl lizenzierter User
Falls die AD-Gruppe mehr Mitglieder enthält, als in der Lizenztoken-Datei angegeben sind und wenn der Zufallsalgorithmus einen Client dazu auswählt, die Gruppenmitglieder zu zählen, wird dieser eine Client nicht lizenziert. Wenn die Anzahl der Gruppenmitglieder zu hoch bleibt, geschieht dies in gleicher Weise bei nachfolgenden Clients. Alle anderen Clients sind davon nicht betroffen.
Flat-Lizenzen
Die Active Directory-Lizenzierung enthält die Möglichkeit, Flat-Lizenzen auszustellen, wenn eine Organisation sämtliche ihrer Mitarbeiterinnen und Mitarbeiter lizenzieren möchte. Dabei gibt es zwei Optionen:
Domain Flat
Es wird nur geprüft, ob ein User zur richtigen AD-Domain gehört. Die Prüfung auf Mitgliedschaft in einer AD-Gruppe entfällt.
Group Flat
Es wird geprüft, ob ein User zur richtigen AD-Domain gehört und ob er Mitglied in der angegebenen AD-Gruppe ist. Mittels dieser Gruppenmitgliedschaft kann ein Admin steuern, wer eine Lizenz erhält. Im Gegensatz zur Standard-AD-Lizenzierung prüft der Lizenzmanager bei Group Flat nicht, wie viele User in der AD-Gruppe sind.