7.6. Adressierungsmodi¶
Dieses Kapitel ist nur relevant für Umgebungen, in denen die Professional Edition von IDERI note installiert ist. Wenn Ihre Umgebung in der Lizenzvariante Lite Edition oder Standard Edition läuft, können Sie dieses Kapitel vollständig überspringen.
Vor Version 3 von IDERI note konnte sich der IDERI note Client gegenüber seinem IDERI note Server nur mit dem Active Directory® Benutzer authentifizieren, unter dem der IDERI note Client läuft. Folgerichtig konnten damit auf dem Desktop des Benutzers nur Nachrichten erscheinen, die an den Benutzer selbst oder eine Gruppe gerichtet waren, in der der Benutzer Mitglied ist. Für viele Umgebungen ist diese benutzerzentrierte Sicht von IDERI note zwar absolut ausreichend, jedoch hat sie das inhärente Problem, dass der Verfasser einer IDERI note Nachricht implizites a-priori-Wissen über die Benutzer benötigt, die auf den Computern oder einer Gruppe von Computern eingeloggt sind, wenn eine Benachrichtigung von Benutzern aufgrund des Rechnerstandorts, oder etwa im Schichtbetrieb erforderlich ist.
Zur Illustration des Problems stelle man sich vor, dass der Verfasser einer IDERI note Nachricht beabsichtigt, alle Benutzer zu benachrichtigen, die an einer bestimmten Gruppe von Computern eingeloggt sind, unabhängig davon, wer an den jeweiligen Computern tatsächlich eingeloggt ist. Ein Beispiel wäre etwa eine Alarmnachricht, die an alle Benutzer der Computer im dritten Stockwerk des Firmengebäudes gerichtet ist. Selbst wenn alle diese Computer fein säuberlich in Active Directory® Gruppen organisiert sind, gab es vor Version 3 in keiner Version von IDERI note die Möglichkeit, diese Computer gezielt über Ihren Active Directory® Computernamen oder -Gruppen anzusprechen. Stattdessen musste der Verfasser einer IDERI note Nachricht implizites a-priori-Wissen um die Active Directory® Benutzer haben, die auf den Computern im dritten Stock angemeldet sind, damit die Nachricht dort erscheinen kann. Das ändert sich mit IDERI note Version 3 Professional Edition: Mit dieser Version ist der IDERI note Client (inotecln.exe) in der Lage, sich am IDERI note Server mit beiden Identitäten zu authentifizieren: Dem Active Directory® Benutzerkonto des Benutzers, unter dem inotecln.exe läuft, und dem Active Directory® Computerkonto des Computers, auf dem der IDERI note Client installiert ist. Die Authentifizierung am IDERI note Server mit dem Active Directory® Computerkonto findet dabei über den Dienst inclmgmt statt, der im eingebauten Benutzerkonto “Netzwerkdienst” läuft und die per-Benutzer Clientverbindungen zum IDERI note Server mit dem Active Directory® Computerkonto des Domänencomputers, auf dem der IDERI note Client läuft, assoziiert.
Diese Vorgehensweise gestattet es dem IDERI note Client, Nachrichten zu empfangen, die an den eingeloggten Benutzer oder an seinen Computer gerichtet sind.
7.6.1. Überblick¶
Um Nachrichten anzulegen, die sowohl an Benutzer als auch an Computer gerichtet sind, hat ab Version 3 von IDERI note jede Nachricht eine neue Eigenschaft, den Adressierungsmodus. Bevor auf diese Eigenschaft im Detail eingegangen werden wird, soll hier zunächst ein grober Überblick über die Adressierungsmodi sowie ihre Eigenschaften bei der Verteilung von Nachrichten aus Sicht des IDERI note Servers und dem Empfang von Nachrichten aus Sicht des IDERI note Client gegeben werden. Interessierten Lesern wird anschliessend nahegelegt, die restlichen Abschnitte dieses Kapitels zu lesen, um die Motivation hinter der Einführung der Adressierungsmodi sowie deren Grenzen besser zu verstehen.
Die folgenden drei Adressierungsmodi sind für Nachrichten, die mit IDERI note Professional Edition erzeugt werden, definiert. Jede IDERI note Nachricht hat implizit einen davon ausgewählt:
- Nachricht nur an Benutzer schicken: Nachrichten in diesem Modus werden vom IDERI note Server nie an IDERI note Clients geschickt als Folge einer Berechtigungsprüfung gegen die Active Directory® Computerkonteninformationen in einer Clientverbindung. Folgerichtig sollten Sie bei der Verwendung von Nachrichtenausschlüssen sicherstellen, dass sich keine Computerkonten oder Gruppen mit ausschliesslich Computerkonten in der Liste der Nachrichtenausschlüsse befinden. Diese haben in diesem Adressierungsmodus keine Auswirkung auf den Empfang der Nachrichten.
- Nachricht an Benutzer und an Computer schicken: Nachrichten in diesem Adressierungsmodus werden vom Client empfangen, wenn sie entweder an das Benutzerkonto gerichtet sind oder an das Computerkonto des Computers, an dem der Benutzer eingeloggt ist. Werden in diesem Adressierungsmodus Empfängerausschlüsse angegeben, dann wird die Nachricht dann vom Client nicht empfangen, wenn entweder für den Benutzer oder für das Computerkonto ein expliziter Empfängerausschluss besteht.
- Nachricht nur an Computer schicken: Nachrichten in diesem Modus werden vom IDERI note Server nie an IDERI note Clients geschickt als Folge einer Berechtigungsprüfung gegen die Active Directory® Benutzerinformationen in einer Clientverbindung. Folgerichtig sollten Sie bei der Verwendung von Nachrichtenausschlüssen sicherstellen, dass sich keine Benutzerkonten oder Gruppen mit ausschliesslich Benutzerkonten in der Liste der Nachrichtenausschlüsse befinden. Diese haben in diesem Adressierungsmodus keine Auwirkung auf den Empfang der Nachrichten.
7.6.2. Technischer Hintergrund¶
Um gleichzeitig eine Berechtigungsprüfung der Identität eines Benutzers und des von ihm verwendeten Active Directory® Computerkontos mit dem Sicherheitsdeskriptor einer Nachricht durchzuführen, wird die Identität des Active Directory® Computerkontos als Teil der Aufnahme der Benutzerverbindung mit der Verbindung auf kryptografisch sichere Weise assoziiert. Damit kann der IDERI note Server im Lizenzmodus “Professional” nach einer erfolgreichen Verbindungsaufnahme des Clients eine Berechtigungsprüfung gegen den Sicherheitsdeskriptor einer neuen oder aktualisierten Nachricht im Adressierungsmodus “Nachricht an Benutzer und an Computer schicken” mit beiden Identitäten gleichzeitig vornehmen. Bei Nachrichten im Adressierungsmodus “Nachricht nur an Benutzer schicken” wird nur die benutzerspezifische Identität der Clientverbindung für die Berechtigungsprüfung neuer oder aktualisierter Nachrichten herangezogen. Bei Nachrichten im Adressierungsmodus “Nachricht nur an Computer schicken” wird hingegen nur die Identität des Active Directory® Computerkontos in der Clientverbindung für die Berechtigungsprüfung neuer oder aktualisierter Nachrichten herangezogen.
Mit diesem Verfahren ist es möglich, Nachrichten an Active Directory® Computer oder Gruppen davon zu schicken, nicht nur an Active Directory® Benutzer oder Gruppen davon.
7.6.3. Gründe für das Einführen von Adressierungsmodi¶
In diesem Abschnitt wird erklärt werden, warum die Einführung von Adressierungsmodi bei der Adressierung von Active Directory® Computerobjekten mit IDERI note Nachrichten notwendig ist. Zu diesem Zweck nehmen wir für einen Moment einfach einmal an, es gäbe dieses Unterscheidungsmerkmal nicht um sowohl Active Directory® Computer als auch Benutzer mit Nachrichten zu adressieren.
Einfach nur naiv Nachrichten jedweder Art zu empfangen mit Hilfe der zwei Identitäten, die im vorangegangenen Abschnitt erläutert wurden, wird sehr schnell eine Reihe von Problemen offenbaren:
Stellen wir uns den Fall vor, wo eine Nachricht in der Vergangenheit an eine Active Directory® Gruppe geschickt wurde, die sowohl Benutzer als auch Computer enthält. Diese Nachricht soll nun unter Beibehaltung der Empfänger und Ausschlüsse mit einer neuen Zeit versehen reaktiviert werden. Damit sollten dieselben Empfänger erreicht werden wie beim letzten Versenden der Nachricht. Nehmen wir weiterhin an, dass adam.sam nicht Mitglied dieser Gruppe ist, aber der Computer, auf dem er aktuell eingeloggt ist. Vor Version 3.0 hätte adam.sam daher diese Nachricht nie empfangen, da er mit seinem Benutzerkonto nicht in der Empfängergruppe ist. Nun, mit Version 3 würde adam.sam diese Nachricht empfangen, wenn sein Client mit dem Anteil des Active Directory® Computeraccounts einer Berechtigungsprüfung für die Nachricht unterzogen wird. Ein anderes Beispiel, diesmal nicht mit reaktivierten Nachrichten, wäre etwa eine Serie von Willkommensnachrichten für neue Mitarbeiter. Wenn ein neuer Mitarbeiter sich zum ersten Mal einloggt am Active Directory®, würde er diese Nachrichten, etwa mit einem Begrüssungstext und weiteren Informationen erhalten. Für verschiedene Active Directory® Gruppen würden diese Begrüssungsnachrichten unterschiedlich sein. Wenn nun gemischte Gruppen mit Active Directory® Benutzern und Active Directory® Computern für die Empfangsberechtigung solcher Nachrichten verwendet werden, kann die Situation entstehen, dass der neue Mitarbeiter Nachrichten erhält, für die nun mit Version 3 zufällig auch das Active Directory® Computerkonto empfangsberechtigt ist.
Beide Beispiele zeigen, dass eine naive Implementation unerwartete Verhaltensänderungen des Produkts gegenüber früheren Versionen aufzeigen würde. Dies ist einer der vielen Gründe dafür, dass beginnend mit Version 3 von IDERI note, jede Nachricht implizit einen von drei Adressierungsmodi hat:
- Nachricht nur an Benutzer schicken
- Nachricht an Benutzer und an Computer schicken
- Nachricht nur an Computer schicken
Um die zuvor genannte Verhaltensänderung zu vermeiden, haben alle Nachrichten, die auf einem IDERI note Server vor dem Update auf Version 3 angelegt wurden, automatisch den ersten Adressierungsmodus: “Nachricht nur an Benutzer schicken”. Jede Nachricht, die beim Betrieb von IDERI note in der Standard Edition angelegt wird, hat auch genau diesen Adressierungsmodus ausschliesslich (der IDERI note Server in der Standard Edition lässt ein Anlegen von Nachrichten in einem der beiden anderen Adressierungsmodi gar nicht zu). Für eine Nachricht in diesem Adressierungsmodus wird von einem IDERI note Server ausschliesslich die Benutzeridentität einer Clientverbindung für die Berechtigungsprüfung herangezogen. Somit gibt es keine Verhaltensänderung für alte Nachrichten, die vor der Aktualisierung auf Version 3 erzeugt wurden. Obwohl dieser Adressierungsmodus auf den ersten Blick wie ein Kompatibilitätsmodus für IDERI note Umgebungen aussieht, die von einer früheren Version aktualisiert wurden, gibt es - abgesehen von der Standard Edition - auch andere legitime Anwendungsfälle, die weiter unten in diesem Kapitel illustriert werden.
Der dritte Modus, “Nachricht nur an Computer schicken”, funktioniert ähnlich: Für eine Nachricht in diesem Adressierungsmodus wird von einem IDERI note Server ausschliesslich die Identität des Active Directory® Computerkontos, das mit einer Clientverbindung assoziiert ist, für die Berechtigungsprüfung herangezogen.
Der zweite Modus, “Nachricht an Benutzer und an Computer schicken”, macht die Zuweisung von Nachrichten sowohl an Active Directory® Benutzer als auch an Active Directory® Computerkonten überhaupt erst möglich und verdient daher eine nähere Betrachtung:
Die Berechtigungsprüfung für Nachrichten in diesem Adressierungsmodus findet gegen die Identität des Active Directory® Benuters und der assoziierten Identität des Active Directory® Computerkontos statt. Wird bei einer der beiden Identitäten festgestellt, dass eine Zugriffsberechtigung vorhanden ist und besteht für die jeweils andere Identität keine explizite Verweigerung des Zugriffs, so wird der Zugriff und damit der Empfang der Nachricht gestattet.
Bei Verwendung von Empfängerausschlüssen sollten Sie folgende Dinge im Hinterkopf behalten:
Bei einer Nachricht im Adressierungsmodus “Nachricht nur an Benutzer schicken” hat ein Empfängerausschluss für ein Active Directory® Computerkonto oder einer Gruppe von Active Directory® Computerkonten keine Auswirkung auf den Nachrichtenempfang des IDERI note Clients mit dem interaktiv eingeloggten Active Directory® Benutzerkonto. Ebenso hat bei einer Nachricht im Adressierungsmodus “Nachricht nur an Computer schicken” ein Empfängerausschluss für ein Active Directory® Benutzerkonto oder einer Gruppe von Active Directory® Benutzerkonten keine Auswirkung auf den Nachrichtenempfang des IDERI note Clients mit dem Active Directory® Benutzerkonto über den Dienst inclmgmt.
7.6.4. Adressieren von Clients auf dem IDERI note Servercomputer¶
Es gibt zwar keine Gründe, die gegen einen Betrieb des IDERI note Clients auf demselben Computer wie dem IDERI note Server sprechen, dennoch handelt es sich dabei um ein eher wenig verbreitetes Szenario. Wird allerdings die IDERI note Professional Edition in einer solchen Konfiguration betrieben, müssen spezielle Überlegungen angestellt werden, wenn das Active Directory® Computerkonto des IDERI note Server adressiert werden soll, um eine Nachricht an die auf dem IDERI note Server interaktiv eingeloggten Benutzer zu schicken.
Stellen wir uns eine Umgebung vor wie sie im Abschnitt 4 vorgestellt wurde, wo wir davon ausgehen, dass der IDERI note Server auf dem Active Directory® Mitgliedsserver mit dem DNS-Namen sv01.note.dev installiert ist. Um das Active Directory® Computerkonto dieses Servers zu adressieren, würden wir zunächst ganz naiv annehmen, dass dies über das Hinzufügen des Active Directory® Kontennamen zur Empfängerliste funktioniert, in diesem Fall SV01$. Dies ist jedoch nicht der Fall und der Spezialfall der Adressierung des IDERI note Servers selber ist eine wichtige Ausnahme bei der Adressierung von Active Directory® Computerkonten. Der Grund dafür liegt in der Art und Weise, wie in der Windows-Betriebssystemfamilie eine Authentifizierung lokal und zu entfernten Computern erfolgt: Der Dienst inclmgmt, der als Teil des Clients läuft und die Authentifizierung des Clientcomputers am IDERI note Server implementiert, wird sich bei jedem Computer im Active Directory® mit dem Computerkonto des jeweiligen Computers am IDERI note Server authentifizieren, nur nicht beim inclmgmt-Dienst, der auf dem IDERI note Server selbst läuft. Dieser authentifiziert sich lokal mit dem Konto, mit dem dieser Dienst läuft, dem eingebauten Konto “Netzwerkdienst”. Der Kontenname für den Netzwerkdienst ist für landessprachliche Betriebssystemvarianten lokalisiert und heisst in englisch lokalisierten Betriebssystemvarianten “NT AUTHORITY\NETWORK SERVICE”, in deutsch lokalisierten Varianten dagegen “NT-AUTORITÄT\NETZWERKDIENST”. Im Umkehrschluss bedeutet diese lokale Authentifizierung des Dienstes inclmgmt aber, dass für das Adressieren des Active Directory® Computerkontos des IDERI note Servers der Kontenname des Netzwerkdienstes statt dem Active Directory® Computerkonto des IDERI note Servers in der Empfänger- oder Ausschlussliste einer Nachricht angegeben werden muss. Diejenigen Module aus der IDERI note Produktsuite, die eine grafische Benutzerschnittstelle haben, wie etwa der IDERI note Administrator, wenden zur Unterstützung des Benutzers hier Heuristiken an, um bereits bei der Eingabe eine explizite Angabe des IDERI note Servers in der Empfänger- oder Ausschlussliste zu erkennen und dabei automatisch zu “Netzwerkdienst” umzuwandeln. Damit ist aber ein anderer Fall noch nicht abgehandelt, bei dem der Betrieb des IDERI note Clients auf demselben Computer wie dem IDERI note Service weitere Implikationen hat: Das Active Directory® Computerkonto des IDERI note Servers kann aus exakt demselben Grund nicht über die Angabe einer Active Directory® Gruppe, die diesen Computer beinhaltet, aufgelöst werden: Der Dienst inclmgmt, der auf dem IDERI note Server lokal läuft und seine Authentifizierung lokal als “Netzwerkdienst” durchführt, kann ja per Definition gar kein Mitglied irgendeiner Active Directory® Gruppe sein. Die Konsequenz daraus ist, dass die Adressierung einer Nachricht für das Active Directory® Computerkonto des IDERI note Servers immer explizit und durch Angabe des eingebauten Benutzerkontos “Netzwerkdienst” erfolgen muss. Diese Regel gilt natürlich nicht nur für die Empfängerliste einer Nachricht sondern auch für deren Ausschlussliste.