Limitlogin in der Praxis

Es ist wieder einmal Wochenende, und was macht ein Administrator? Richtig, er testet neue Software und Technologien. Da in den Newsgroups schon öfter der Begriff "LimitLogin" gefallen ist, dachte ich, es wäre an der Zeit, dieses Programm einmal zu testen. Also fix auf die Download-Webseite von Microsoft und nach "Limitlogin" gesucht. Wie so oft blieb die Seite leer, und mir wurde klar gemacht: "Für diesen Suchvorgang wurden leider keine Ergebnisse gefunden." Also auf zu Google und "limitlogin+download" eingegeben, und siehe da, als drittes Resultat ein Link auf die Technet-Seite.
Ganz oben auf der Seite ist auch ein Link, über den man das Tool herunterladen kann (Download). Durch das Entpacken erhält man drei MSI-Dateien und eine Hilfe-Datei, die sehr ausführlich den Installationsvorgang dokumentiert. Dies macht mir natürlich Hoffnung, dass ich diesen Test schnell abschließen kann. Bevor ich mit dem Installieren beginne, müssen die Systemvoraussetzungen geklärt sein:

• Windows 2000 Professional Service Pack 4
• Windows 2000 Server Service Pack 4
• Windows XP Professional Service Pack 1 und höher
• Windows Server 2003
• Mindestens ein Windows 2003 DC
• Ein Server, der IIS 6.0 mit ASP.NET Unterstützung ausführt

Ich habe für diesen Test einen Domänencontroller unter Windows 2003 Server SP1 (GER) und zwei Windows XP Professional Workstations in VMWare installiert. Laut der Installationsanleitung von Limitlogin soll als erstes die Setupdatei für den IIS ausgeführt werden. Den Ablauf habe ich mit einem Flashfilm dokumentiert.

Die Installation verlief reibungslos, und ich konnte das nächste MSI-Paket ausführen. Wie sollte es auch anders sein, hier gab’s die erste Fehlermeldung. Das Setupprogramm erklärte mir, es hätte die Schemaerweiterung nicht korrekt durchführen können. Als typischer Windows-Admin klickt man natürlich hier, ohne mit der Wimper zu zucken, auf "OK". Im letzten Dialogfeld berichtet mir das Setupprogramm "LimitLoginADSetup has been successfully installed". Was denn, nun doch erfolgreich? Flashfilm

Da man ja anscheinend dem Setupprogramm von LimitLogin nicht trauen kann, ist ein prüfender Blick in die Logdatei der Schemaerweiterung eine gute Idee. Flashfilm

Nachdem ich mich von der korrekten Ausführung der Schemaerweiterung überzeugt hatte, habe ich mich an einer erneuten Ausführung der MSI-Datei versucht. Siehe da, das Setup erkennt, dass das Schema erweitert wurde, und bietet mir diese Option gar nicht mehr an. Die zweite Option im Setupprogramm bereitet das Active Directory für die Nutzung von LimitLogin vor. Der wichtigste Vorgang hier ist die Erzeugung der Anwendungspartition im Active Directory. Auch dabei bekomme ich, wie nicht anders zu erwarten, prompt eine Fehlermeldung. Beim Zugriff auf den Webservice wird dies mit einem HTTP 401 Fehler vom IIS zurückgewiesen. Flashfilm

Also musste irgendwo eine Zugriffsverweigerung vorliegen. Nach dem Durchkämmen der IIS-Logfiles und dem Aufruf des Webservice im Internetexplorer konnte ich die Ursache lokalisieren. Übeltäter war ein fehlendes Schreibrecht auf einen temporären Ordner für das Benutzerkonto "Netzwerkdienst". Flashfilm

Sichtlich genervt und etwas desillusioniert führte ich das Setup nun zum dritten Mal durch, und siehe da, es wurde ohne Fehler abgeschlossen. Am Ende des Setups kommt eine Hinweismeldung, welche Anpassungen an der Gruppenrichtlinie vorgenommen werden müssen, damit die Benutzer das entsprechende Anmelde- und Abmeldeskript ausführen. Im Programmverzeichnis von Limitlogin liegen dafür drei Dateien, die in eine Netzwerkfreigabe kopiert werden müssen. Nachdem ich eine Gruppenrichtlinie entsprechend konfiguriert hatte, machte ich mich frohen Mutes sofort an die Installation der MMC-Erweiterung, damit ich endlich meine Nutzer limitieren kann. Meine Zuversicht sollte sehr schnell durch das "ausgeklügelte" Setup gebremst werden. Auch nach mehrmaligem Ausführen des Setupprogramms konnte ich keine Erweiterungen im Kontextmenü eines Benutzerkontos finden. Flashfilm

Clientseitig benötigt Limitlogin auch eine Komponente, die installiert werden muss. Ich habe dieses Setup manuell auf den beiden Clients ausgeführt. Als Alternative kann man das natürlich auch per Gruppenrichtlinie erledigen. Flashfilm

Jetzt ist das einzige, was noch fehlt, ein geeigneter Benutzer. Zu diesem Zweck habe ich einen Testbenutzer angelegt und diesen auf eine einzige Anmeldung an der Domäne limitiert. Flashfilm

Jetzt muss Limitlogin beweisen was es kann & Leider konnte sich der Testbenutzer trotz Limitierung mehrmals an der Domäne anmelden. Auch hier waren wieder mangelnde Schreibrechte des Benutzerkontos "Netzwerkdienst" auf den Ordner "%systemroot%Temp" schuld. Flashfilm

Nach dem die Berechtigungsprobleme beseitigt waren, funktionierte Limitlogin problemlos, und der zweite Anmeldeversuch des Testkontos wurde mit sofortiger Abmeldung belohnt. Leider bekommt der Benutzer, der versucht, sich mehrfach an der Domäne anzumelden, keine Fehlermeldung präsentiert, sondern wird sofort automatisch abgemeldet. Dieser Vorgang wird sicherlich die Benutzer verwirren und zum Telefon greifen lassen. Wen werden die User denn dann anrufen? Sicherlich den armen Admin, der ja sein ganzes Wochenende der Installation von Limitlogin gewidmet hat. Flashfilm

Ich möchte mich jetzt nicht über das Preis-Leistungs-Verhältnis von Limitlogin auslassen. Dies hat ein Anderer schon sehr treffend im Allgemeinen ausformuliert: Preis-Leistungs-Verhältnis (Blog Daniel Melanchthon)