Powershell-Tool zum Erstellen der gehashten SID
Active Directory-Lizenzierung funktioniert nicht mit dem Namen einer Domain, sondern mit deren SID. Damit axes4 diese potenziell sicherheitsrelevante Information nicht erhält, wird die SID mit einem Powershell-Tool gehasht, das wir Ihnen hier zur Verfügung stellen.
Das Powershell-Skript fragt nach den Namen der Domain und der AD-Gruppe. Falls die Domain gefunden wird, erstellt das Tool einen Hash der Domain-SID. Die gehashte SID sowie der AD-Gruppenname werden auf der Kommandozeile ausgegeben; der Admin schickt diese Informationen dann per E-Mail an axes4.
Bitte beachten Sie, dass der Name der AD-Gruppe nach der Ausstellung der Lizenzdatei nicht mehr geändert werden kann.
Das Skript ist wie immer bei Powershell unmittelbar einsehbar, so dass Transparenz darüber herrscht, wie die SID gehasht wird.
Verteilung der Lizenztoken-Datei
Mit den Informationen des Powershell-Tools erstellt axes4 eine Lizenztoken-Datei (Json-Datei), welches die oben erläuterten Informationen enthält und schickt diese an die Lizenznehmer.
Diese Datei muss per Group Policy (oder einem vergleichbaren Deployment-Tool) in den axes4 License Manager-Programmordner der Clients verteilt werden. Per Default lautet der Pfad:
C:\Program Files\axes4 License ManagerAnpassung des Registry Values für den Lizenzmanager
Um die Active Directory-Lizenzierung zu aktivieren, muss ein Registry-Wert gesetzt werden, und zwar an einem der folgenden Schlüssel (mit absteigender Priorität bei der Verarbeitung):
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\Policies\axes4\Licensing\Manager
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\axes4\Licensing\ManagerInnerhalb dieser Schlüssel sucht der Lizenzmanager einen String Value mit dem Namen ActiveConnections und dem Wert domain.
Licensing Manager. Im rechten Teil des Fensters ist der String Value 'ActiveConnections' mit dem Wert 'domain' hervorgehoben."
Änderung an der AD-Gruppe
Wenn User aus der AD-Gruppe entfernt oder der AD-Gruppe hinzugefügt werden, aktualisieren Domain-Clients diese Information nicht sofort. Wir verzichten aus Performance-Gründen bewusst auf einen Refresh der AD-Gruppen. Es kann deshalb nach dem Hinzufügen eines Users bis zu 10 Minuten dauern, bis seine Gruppen-Mitgliedschaft bestätigt und er korrekt lizenziert wird.
Zufällige Prüfung der Anzahl lizenzierter User
Die Prüfung der Anzahl der Mitglieder in der AD-Gruppe ist seitens Windows AD nicht performant. Um die Domain Controller nicht zu überlasten, findet diese Prüfung je nach Anzahl User nur sporadisch statt.
AD-Untergruppen, Subdomains
Die Gruppe der lizenzierten User kann Untergruppen enthalten.
Ebenso ist es möglich, User bzw. Gruppen aus Subdomains zu einer Parent-Domain-Gruppe hinzuzufügen. Wenn gewünscht, kann also eine einzige Lizenz-Datei für eine Parent-Domain sowie für mehrere Subdomains verwendet werden.
Überschreitung der Anzahl lizenzierter User
Falls die AD-Gruppe mehr Mitglieder enthält, als in der Lizenztoken-Datei angegeben sind und wenn der Zufallsalgorithmus einen Client dazu auswählt, die Gruppenmitglieder zu zählen, wird dieser eine Client nicht lizenziert. Wenn die Anzahl der Gruppenmitglieder zu hoch bleibt, geschieht dies in gleicher Weise bei nachfolgenden Clients. Alle anderen Clients sind davon nicht betroffen.
Flat-Lizenzen
Die Active Directory-Lizenzierung enthält die Möglichkeit, Flat-Lizenzen auszustellen, wenn eine Organisation sämtliche ihrer Mitarbeiterinnen und Mitarbeiter lizenzieren möchte. Dabei gibt es zwei Optionen:
Domain Flat
Es wird nur geprüft, ob ein User zur richtigen AD-Domain gehört. Die Prüfung auf Mitgliedschaft in einer AD-Gruppe entfällt.
Group Flat
Es wird geprüft, ob ein User zur richtigen AD-Domain gehört und ob er Mitglied in der angegebenen AD-Gruppe ist. Mittels dieser Gruppenmitgliedschaft kann ein Admin steuern, wer eine Lizenz erhält. Im Gegensatz zur Standard-AD-Lizenzierung prüft der Lizenzmanager bei Group Flat nicht, wie viele User in der AD-Gruppe sind.