Jetzt testen

10 gute Gründe für ScriptRunner und PowerShell

Inhaltsverzeichnis

Post Featured Image

Durch die Komplexität der Infrastruktur und die steigende Effizienzanforderungen entstehen neue Herausforderungen für IT-Abteilungen. Gleichzeitig entwickeln sich auch neue Compliance-Anforderungen, die eine Nachvollziehbarkeit der IT-Aufgaben erfordern. Trotz der ansteigenden Spezialisierungen werden die Budgets für die Abteilungen meist nicht erhöht. Der Schlüssel für diese neuen Herausforderungen ist die Automatisierung und Delegation von wiederkehrenden Aufgaben und Routinetätigkeiten mit PowerShell in IT-Operations, die in vielerlei Hinsicht noch in den Kinderschuhen steckt.

 

Die Einhaltung von SLA, die Erwartung immer kürzerer Reaktionszeiten und höherer Qualität sowie der Wunsch nach höherer Effizienz im IT-Betrieb ist nur mithilfe von Automatisierung und Delegation für die IT Teams zukünftig leistbar. Und nur so können Freiräume für geschäftsgetriebene IT-Projekte geschaffen werden.

Quelle: IDC Infobrief „Optimisation drives digital transformation“ 2017

Sowohl im Windows- als auch im Linux-Umfeld sind Automationssprachen seit Jahren verfügbar. Als ideale Script-Sprache bietet sich insbesondere PowerShell an. Eine Script-Sprache selbst bietet jedoch für die kontrollierte Ausführung eines Scriptes standardmäßig keinen organisatorischen und technischen Rahmen, mit dem Automatisierung und Delegation sicher und einfach umsetzbar sind.

 

Beispielweise gibt es derzeit lediglich ein interaktives Command Line Interface, in das Kommandos per Hand eingegeben und Scripte im Kontext des Benutzers ausgeführt werden können. Wird die Shell geschlossen, so werden alle eingegebenen Kommandozeilen und Ergebnisse gelöscht und können auch nicht wiederhergestellt werden. Ein weiteres Problem besteht in der Rechtevergabe. Für die Ausführung eines Scripts werden in der Regel hohe Systemrechte benötigt, die nicht jedem Mitarbeiter erteilt werden können oder sollen. Eine häufig auftretende Vorgehensweise in Bezug auf PowerShell liegt darin, dass die Scripte verteilt über alle Administratoren in deren persönlichen Ordnern abgelegt sind und es somit keine gemeinsame Bibliothek für Scripte gibt. Die Scripte werden individuell verändert, als Administrator ohne Regeln und Sicherheitsrichtlinien auf der Konsole ausgeführt und diese anschließend geschlossen.

Insgesamt resultieren aus dieser Arbeitsweise drei Problemzonen, die eine intelligente, sichere und einfache Automatisierung sowie Delegation mit PowerShell verhindern:

  • Die Ziele Effizienz und Produktivität durch Automatisierung und Delegation kollidieren mit den tatsächlichen Möglichkeiten der Kommandozeile, geordneten Betriebsprozessen und den Erfordernissen des Service Management nach ITIL
  • Reproduzierbarkeit, Sicherheit in der Ausführung und Nachvollziehbarkeit sind in der Praxis aufgrund der Streuung der Scripte, ihrer individuellen Anwendung und Ausführbarkeit sowie den Sicherheits- und Compliance-Richtlinien nicht vollständig umsetzbar
  • Die Ziele Zusammenarbeit, Aufbau und Verteilung von Skills sowie Verantwortlichkeit für Scripte und Abläufe kollidieren mit der fehlenden Teamunterstützung von PowerShell

Mit ScriptRunner können diese Problemzonen aufgelöst und eine intelligente, sichere und einfache Automatisierung und Delegation mit PowerShell erzielt werden. Im Folgenden werden 10 gute Gründe für ScriptRunner dargestellt, die zeigen, warum die Plattform die optimale Lösung ist.

 

1. Die umfassende Lösung für PowerShell

ScriptRunner löst diese und viele weitere Problemstellungen in EINEM Produkt und eignet sich als zentrale Plattform für eine Vielzahl von Anwendungsfällen. ScriptRunner wurde speziell auf die Erfordernisse und Anforderungen von PowerShell ausgerichtet und entwickelt. Mit ScriptRunner können gleichzeitig viele Bedürfnisse abgedeckt werden.

ScriptRunner stellt eine umfassende Lösung für Automatisierung und Delegation mit PowerShell dar und bietet eine sichere und kontrollierte Umgebung. Alle Scripte, Richtlinien und Einstellungen werden an einer zentralen Stelle verwaltet, konfiguriert und regelgesteuert ausgeführt. Administratoren und Anwender können nur gemäß ihrer Rolle Aktionen ausführen. Alle ausgeführten Aktionen und deren Resultate sind transparent nachvollziehbar. Connectoren erlauben die nahtlose, systemübergreifende Integration in automatisierte bzw. automatisierbare Vorgänge und Prozesse.

Dadurch bietet ScriptRunner folgende Vorzüge:

  • schnellster Einstieg in PowerShell
  • sichere Ablaufumgebung für PowerShell
  • hohe Reproduzierbarkeit
  • einfache Automatisierung und Delegation für wiederkehrende Aufgaben
  • schnelles Erstellen und Delegieren von ausführbaren Script-Aktionen über grafische Oberfläche der Delegate App
  • sichere Delegation von Aufgaben durch vollständige Rechte- und Rollen-Entkopplung
  • schnelle  und sichere Automatisierung durch Integration von Drittsystemen wie Monitoring, Helpdesk und Workflows mit Service-Katalogen etc.
  • Transparenz durch zentrale Ausführung und Monitoring
  • lückenlose Nachvollziehbarkeit aller Vorgänge

ScriptRunner deckt viele Bedürfnisse ab

Die Möglichkeiten mit ScriptRunner im Kontext von Automatisierung und Delegation reichen jedoch noch weiter. Vereinfacht lassen sich drei Ebenen unterscheiden:

  1. Interaktionsebene für Administratoren, Service Desk bis zum Endanwender
  2. Prozesssteuerungsebene z.B. durch Workflow- und Orchestrierungssysteme
  3. Ausführungsebene für die tatsächliche Interaktion mit der Infrastruktur

Auf der Ausführungsebene werden Scripte und Aktionen durch ScriptRunner als Automationsplattform kontrolliert und gesteuert ausgeführt, die Ergebnisse bereit- und die Nachvollziehbarkeit sichergestellt. Zusätzlich können auf dieser Ebene durch die ScriptRunner Connectoren andere Systeme, wie z.B. Monitoring-Systeme oder Anwendungen direkt integriert werden.

Die browserbasierte Delegate App sowie die ISE App ermöglichen die direkte und schnelle Interaktion mit der ScriptRunner Plattform. Durch die Delegate App können Scripte über die generische grafische Benutzeroberfläche rollenbasiert ausgeführt werden. Die ISE App unterstützt Administratoren bei der Entwicklung von Scripten. Darüber hinaus können Service Management Anwendungen, Service und User Portale und Workflow-Systeme alle Funktionen der ScriptRunner Plattform ansprechen und steuern. ScriptRunner kommuniziert über eine einfache Schnittstelle mit diesen Systemen. Die Komplexität, die u.a. durch unterschiedliche Zuständigkeiten und Ausrichtungen entsteht, kann so leicht überwunden werden.

10 Gute Gründe für ScriptRunner

 

 

 

2. Schneller Start in die Automatisierung

Für die Automatisierung lässt sich ein Transformations- bzw. Umsetzungsgrad auf verschiedenen Stufen von „Keine Automation“ über „Teilautomation“ bis „Vollautomation“ bestimmen. Eine Studie von IDC aus dem Jahr 2017 zeigt auf, dass nur 20% aller IT-Umgebungen vollautomatisiert und vorrangig bei großen Cloudanbietern arbeiten. Die Analyse zeigt auch auf, welche Möglichkeiten und Potenziale in der Automatisierung des IT-Betriebs erschlossen werden können.

 

Quelle: IDC Infobrief „Optimisation drives digital transformation“ 2017

Doch das reine Wissen darüber reicht noch nicht aus. Die entscheidenden Fragen drehen sich um die passende Strategie, ein praktikables Konzept und eine pragmatische Umsetzung:

  • mit schnellen Ergebnissen und hohem Nutzen für die Brennpunkte im Betrieb
  • bei überschaubaren Investitionen mit einem Return on Invest möglichst unter einem Jahr
  • mit reduzierter Komplexität und überschaubaren Anforderungen an Team und Infrastruktur
  • in einer zukunftsfähigen Lösung

Zwei Strategien, zwei sehr unterschiedliche Ergebnisse

Für die Gestaltung einer Automationsstrategie bieten sich zwei grundverschiedene Ansätze an:

  • Top-Down-Strategien
  • Bottom-Up-Strategien

Beim Top-Down-Ansatz stehen Lösungen und Produkte für die Vollautomation der gesamten IT-Infrastruktur und deren Prozesse im Fokus. Dieser Ansatz wird maßgeblich von Visionen getrieben und lässt operative Erfordernisse und Rahmenbedingen oftmals völlig außen vor. In der Praxis führt das regelmäßig zu sehr großen und komplexen Projekten, deren Diskussionen und Ergebnisse vor allem auf Metaebenen stattfinden. Das lässt sich auch am oben abgebildeten Stufenmodell sehr gut darstellen. Automationsprojekte mit Top-Down-Strategien adressieren nachvollziehbar und viel zu oft die beiden oberen Stufen in der Transformation ohne dabei die vorherigen Stufen bereits bewältigt zu haben.

Top-Down Strategien zeigen regelmäßig:

  • wenige und sehr späte Ergebnisse für die tatsächlichen operativen Belange aus dem Tagesbetrieb
  • sehr hohe Kosten, wegen der hohen Komplexität und des großen Umfangs
  • fehlende Agilität bei i.d.R. schlechten Kosten-/Nutzen-Relationen
  • sehr lange Laufzeiten, aufgrund der umfangreichen, zu schaffenden Voraussetzungen und der ausufernden Teilprojekte
  • Zusätzlich hohe Arbeitsbelastungen der IT-Teams sowie neue, breite Skills und viel Spezialisten-Knowhow
  • hohes Risikopotenzial bei Zielverfehlungen oder beim Scheitern des Projekts

Für eine erfolgreiche Automatisierung der gesamten IT-Infrastruktur ist es unerlässlich, alle Stufen der Transformation im IT-Betrieb in der notwendigen Reihenfolge umzusetzen.

Der Bottom-Up-Ansatz geht grundsätzlich von den operativen Erfordernissen und Brennpunkten im IT-Betrieb aus und stellt dabei schnelle Verbesserungen mit einem agilen Vorgehen in den Fokus. Lösungen und Produkte sollten allerdings nicht in ihrer Zukunftsfähigkeit begrenzt sein. Mit Bottom-Up-Strategien entscheidet man sich für ein pragmatisches Vorgehen, einfachere Plattformen, übersichtliche Projekte sowie auf die Transformation verteilte und deutlich geringere Kosten.

Bottom-Up-Strategien zeichnen sich vorrangig aus durch:

  • schnelle Ergebnisse im Tagesbetrieb
  • verteilte und geringere Kosten, deutlich reduzierte Komplexität und einem überschaubaren Umfang in den einzelnen Stufen der Automatisierung
  • hohe Agilität bei sehr guten Kosten-Nutzen-Relationen
  • kurze Projektlaufzeiten mit wenigen Voraussetzungen in unabhängigen Teilprojekten
  • überschaubare zusätzliche Arbeitsbelastung und schrittweiser Skill- und Erfahrungsaufbau
  • beherrschbares Risiko bei der Einführung und in den Teilprojekten
  • vollautomatisierte IT-Infrastruktur Schritt für Schritt

Schnelle Ergebnisse, niedrige Kosten, geringe Risiken

ScriptRunner wurde als Automationsplattform für PowerShell und Lösung mit Bottom-Up-Ansatz konzipiert und entwickelt. Diese Stärke erlaubt es, ScriptRunner ebenso als integrierten Bestandteil in existierenden Automationsumgebungen einzusetzen, in denen es auf der operativ-technischen Ebene an Agilität, Praxisorientierung und pragmatischen Lösungen für das operative Tagesgeschäft im IT-Betrieb mangelt.

ScriptRunner eignet sich durch diesen Ansatz hervorragend als Fundament für eine schrittweise Automatisierung. (siehe auch Abbildung bei Grund 1). Ausgehend von automatisierbaren Aufgaben und Vorgängen auf der operativ-technischen Ausführungsebene können schrittweise weitere relevante Systeme wie Monitoring, Service-Applikationen, Workflows und Orchestrierungslösungen in die Automatisierung einbezogen bzw. aufgebaut werden. Durch diese agile, schnelle und pragmatische Methode können Kosten eingespart und schnell Ergebnisse im Tagesgeschäft erzielt werden. ScriptRunner leistet also auf jeder Stufe der Automatisierung einen messbaren Nutzen und hohen Wertbeitrag zum Erreichen einer Vollautomation der IT-Infrastruktur.

Die Einführung der ScriptRunner Plattform erfolgt am einfachsten und schnellsten im operativen Betrieb nach unseren bewährten Konzepten und Best Practices. Dazu ist kein gesondertes, zeit- und ressourcenintensives Projekt erforderlich. Die Inbetriebnahme sowie die ersten Automatisierungen können innerhalb von wenigen Stunden umgesetzt werden.

Damit ScriptRunner noch schneller Ergebnisse im Tagesgeschäft liefern und optimal genutzt werden kann, stehen die ScriptRunner Action Packs zu Verfügung. Die produkt- und themenorientierten Pakete decken viele typische Anwendungsfälle und Routinetätigkeiten aus dem Tagesgeschäft ab und sind auf den Einsatz mit ScriptRunner abgestimmt.

Durch die ScriptRunner Action Packs wird die Möglichkeit geboten, PowerShell Scripte für Use Cases und Routinetätigkeiten sofort mit einer grafischen Benutzeroberfläche und Automationsschnittstellen einzusetzen und falls erforderlich selbst anzupassen. Das erleichtert den Einstieg in die Automatisierung mit PowerShell und erzeugt sofort und messbar Mehrwerte. Mit der Möglichkeit zur automatischen Aktualisierung werden die Scripte immer auf dem neusten Stand gehalten.

Für eine reibungslose Einführung von ScriptRunner stehen neben den Action Packs auch unsere Professional Services und Workshops zur Verfügung. Alle Services und Workshops werden von erfahrenen PowerShell Experten und Nutzern geführt und nach Absprache individuell an die Kundenanforderungen angepasst. Neben der Installation, Einrichtung und Integration wird unter anderem auch das Erstellen und Anpassen von Scripten angeboten.

Durch standardisierte Connectoren können viele verschiedene Drittsysteme schnell und einfach mit ScriptRunner zu kompletten Automatisierungslösungen integriert werden:

  • Task und Event Automation
  • Monitoring Automation
  • Service Management und Service Automation
  • Orchestration und Workflow Automation
  • Application Automation

 

 

3. Sichere Delegation von Aufgaben

Viele einfache Routinetätigkeiten werden ausschließlich von Admins durchgeführt, die jedoch auch an andere Mitarbeiter übertragen werden könnten. Das wird aber oft durch die notwendigen Rechtebeschränkungen verhindert, da nicht allen Mitarbeitern der gleiche Zugriff ermöglicht werden kann oder soll. Damit scheidet in sehr vielen Fällen die Benutzung der klassischen Admin-Werkzeuge für Mitarbeiter Service Desk aus.

So ergeben sich eine Reihe von Vorteilen, wenn wiederkehrende und inhaltlich delegierbare Aufgaben in PowerShell Scripten abgebildet und mit einem einfachen Werkzeug durch Servicemitarbeiter und/oder andere Administratoren schnell und unkompliziert angewendet werden können. In diesem Sinne sollen Anwender also nicht mit der Komplexität einer Command Line Shell konfrontiert, sondern möglichst wie gewöhnt mit einer grafischen Benutzeroberfläche arbeiten können.

Vorteile einer einfachen und sicheren Delegation mit PowerShell Scripten und ScriptRunner:

  • Use Case fokussierte Umsetzung einzelner IT-Aufgaben und Themen; atomisierte Administration und Delegation
  • Keine komplexen Administrationswerkzeuge und deren Einrichtung für Service Desk notwendig
  • Keine administrativen Rechte auf den Systemen für Mitarbeiter in Service Desk notwendig
  • Rollenbasierte Delegation von IT Aufgaben
  • Reduktion von Komplexität und sicherheitsrelevanten Problembereichen

 

So funktioniert die Delegation mit ScriptRunner

Delegation mit PowerShell und ScriptRunner

  1. Admins und DevOps entwickeln Scripte im Team, unterstützt durch die integrierte PowerShell ISE-App.
  2. Admins definieren per Admin-App alle Einstellungen, wie z.B. die Konfiguration der Ausführungsrichtlinien und Zuweisungen.
  3. Per Delegate App startet ein Benutzer eine delegierte Aktion in seiner Rolle mittels einer grafischen generischen  Oberfläche. Eine gestaltbare, interaktive Rückmeldung zeigt dem Anwender Status und Ergebnis der Ausführung an.
  4. ScriptRunner führt die Aktion mit den notwendigen administrativen Rechten kontrolliert aus.
  5. ScriptRunner protokolliert die Ergebnisse vollständig und zentral.
  6. Bei der Delegation von Aktionen mit ScriptRunner  werden Rollen und Rechte vollständig entkoppelt,  woraus eine hohe Sicherheit resultiert! Die Nachvollziehbarkeit bei der Delegation mit ScriptRunner wird garantiert, da das Ergebnis vollständig protokolliert wird und somit nicht manipuliert werden kann.

ScriptRunner Delegate App

Die Delegate App gestattet die Ausführung delegierter Aktionen mit Scripten durch Mitarbeiter in Helpdesk und Support. Die Masken für notwendige Eingaben werden automatisch erzeugt und die Eingaben geprüft. Eine gestaltbare, interaktive Rückmeldung zeigt dem Anwender Status und Ergebnis der Ausführung an.

Einfache Delegation von PowerShell Scripten mit der ScriptRunner Delegate AppEinfache Delegation von PowerShell Scripten mit der ScriptRunner Delegate App

Delegation innerhalb eines Teams

Mithilfe von ScriptRunner ist eine Delegation innerhalb eines Teams möglich. So können Scripte für Teamkollegen vorbereitet und an diese delegiert werden. Komplexität und Spezialistentum werden damit verringert und es entstehen neue Möglichkeiten zur Mitarbeitervertretung bei Abwesenheit. Scripte können einfach und sicher über eine grafische Oberfläche ausgeführt werden, ohne über Scripting-Kenntnisse und die nötigen Rechte zu verfügen.

Delegation zwischen Admin-Teams

Neben der Delegation innerhalb eines Teams, können mit ScriptRunner auch Scripte zwischen Admin-Teams delegiert werden. Diese Möglichkeit kommt zum Tragen, wenn teamübergreifende Tätigkeiten voneinander abhängig sind. Stellt ein Team dem anderen entsprechende Aktionen per Delegation bereit, so können Reaktionszeiten verkürzt und die Effektivität zwischen den Teams spürbar gesteigert werden. Darüber hinaus können die Abhängigkeiten zwischen unterschiedlichen Admin-Teams stark verringert oder vollständig aufgelöst werden.

Delegation an Service Desk

Mithilfe von ScriptRunner können Mitarbeiter des Service Desks vielfältige Aufgaben wahrnehmen, die ihnen vorher aufgrund von fehlenden Verwendungsmöglichkeiten von Scripten verwehrt blieben. Denn komplexe administrative Oberflächen werden den Service Desks oft bewusst nicht zur Verfügung gestellt, da sie sehr komplex sind und den Mitarbeitern Knowhow im Umgang mit Scripten fehlt.

Mit der ScriptRunner Delegate App können Service Desk-Mitarbeiter über eine einfache grafische Oberfläche Scripte sicher ausführen, ohne Scripting-Kenntnisse und administrative Zugangsrechte zu den Systemen zu benötigen. Damit werden vor allem Supportprozesse effizienter gestaltet, indem Aktionen wie die Deaktivierung von Benutzern, das Zurücksetzen von Passwörtern und viele weitere alltägliche Aufgaben schnell durch Service Desks durchgeführt werden, ohne dass dabei Kompromisse bei der Sicherheit in Kauf genommen werden müssen.

 

 

4. Einfachheit, Sicherheit und Kontrolle

ScriptRunner ermöglicht eine einfache, sichere und kontrollierte Automatisierung mit PowerShell. Einfach gestaltete Automationsprozesse sind durch die geringen Abhängigkeiten  gleichzeitig auch transparent. Die Automatisierung mit PowerShell lässt sich mit ScriptRunner, gestützt durch den Bottom-Up-Ansatz, sehr übersichtlich gestalten und umsetzen.

Eine hohe Sicherheit wird durch vollständiges entkoppeln von Rollen und Rechten für alle automatisierten Aufgaben und Vorgänge gewährleistet. Weiterhin sind mit ScriptRunner alle Aktionen reproduzierbar und es wird eine hohe Prozesssicherheit geboten. Nur autorisierte und authentifizierte Personen sind berechtigt, Aufgaben auszuführen und die integrierten Systeme authentifizieren sich gegenseitig.

Um eine kontrollierte und transparente Automatisierung zu erreichen, müssen alle ausgeführten Aktionen jederzeit und bis ins kleinste Detail nachvollziehbar sein. ScriptRunner protokolliert die Ergebnisse der Automationsvorgänge daher vollständig mit. Dadurch erhält man eine ganzheitliche Kontrolle über die Automatisierung und eine lückenlose Nachvollziehbarkeit aller Vorgänge. Mit ScriptRunner laufen die Automatisierungsscripte kontrolliert und in dem zugewiesenen Sicherheitskontext ab.

 

Teil- und Vollautomation mit ScriptRunner und PowerShell

Oftmals bietet es sich an, mit einer Teilautomation, bei der der kontrollierte Scriptablauf von einem Mitarbeiter freigegeben werden muss, zu beginnen. Sobald man das Vertrauen in die Automatisierung und an Erfahrung gewonnen hat, kann auf eine Vollautomation aufgerüstet werden. Bei dieser muss kein Mitarbeiter mehr in den Automatisionsprozess mehr eingreifen, alle Vorgänge laufen vollautomatisch ab.

Automatisierung mit ScriptRunner am Beispiel einer Monitoring Event Automation

Monitoring-Systeme überwachen IT-Landschaften mithilfe von Sensoren, registrieren Alarme und Schwellenwertüberschreitungen und melden diese dem Nutzer. Ohne den Einsatz von SR schlägt das Monitoring-System an, so nimmt der Nutzer die erhaltene Meldung wahr, meldet sich an dem System an, sucht nach dem expliziten Problem und behebt es anschließend. Dabei treten häufig Meldungen mit gleicher Ursache auf, die ohne eine Automatisierung manuell durch Admins bearbeitet werden. Für diese reproduzierbaren Fälle bietet sich eine Automatisierung mit ScriptRunner an.

In einem überwachten System agiert das Monitoring-System als Sensor und ScriptRunner stellt den Aktor dar, der auf diesen Sensor einwirkt. Die Aktor-Scripte und Connectoren für ScriptRunner werden mitgeliefert und können sofort verwendet werden.

So funktioniert die Automatisierung mit ScriptRunner

  1. Ein Quellsystem oder ein Workflow generiert ein Event
  2. Das integrierte Drittsystem triggert das Event
  3. Über den Connector ruft das integrierte System eine Aktion auf
  4. ScriptRunner führt die Aktion mit den notwendigen administrativen Rechten kontrolliert aus und protokolliert sie vollständig
  5. Die Ergebnisse der ausgeführten Aktion werden von ScriptRunner an das integrierte Drittsystem geliefert

Große Bandbreite an Automationslösungen mit ScriptRunner

Die Möglichkeiten der Automatisierung mit ScriptRunner sind nicht nur auf Monitoring Systeme beschränkt. Durch die standardisierten Connectoren besteht die Möglichkeit, viele verschiedene Drittsysteme schnell und einfach in die ScriptRunner Umgebung zu integrieren:

  • Monitoring: z.B. PRTG, Server-Eye, Icinga
  • Workflow-Systeme: z.B. Matrix42 Workflows, Automic, Sharepoint u.a.
  • Service Management: z.B. Matrix42 Service Store, ServiceNow u.a.
  • Anwendungen: z.B. Office365, Microsoft Azure, Citrix, VMware, Oracle, und viele Weitere

 

 

5. Kürzere Reaktionszeiten und reduzierte Komplexität

In den Service-Level-Agreements (SLA) werden zugesicherte Leistungseigenschaften wie Reaktionszeiten und Schnelligkeit der Bearbeitung genau beschrieben. Mit langwierigen und komplexen Abläufen ist es jedoch kaum möglich, die Vereinbarungen der SLAs immer einzuhalten. Durch die Vereinfachung von Prozessen und die Verkürzung der Bearbeitungsketten für Tickets und Meldungen kann die Komplexität reduziert und die vorgeschriebene Reaktionszeiten besser eingehalten werden.

Senkung der Reaktionszeit durch Delegation von PowerShell Scripten

Folgendes Szenario stellt eine klassische Situation in einer IT-Abteilung ohne Delegation mit ScriptRunner dar:

Ein Nutzer ruft beim Service Desk an und bittet um Hilfe. Der Service Desk-Mitarbeiter versteht zwar das Problem, kann es allerdings nicht selbst lösen. Denn aufgrund des Rollen- und Rechtekonzepts hat er nicht die Berechtigung, die benötigte Aktion durchzuführen. Deshalb kontaktiert er das  Administratoren-Team, welches über die erforderlichen Rechte verfügt. Bei komplexeren Vorgängen sind weitere Akteure involviert. So meldet sich der Nutzer beim First Level Support, dieser setzt sich mit dem Second Level Support in Verbindung, der schließlich auf die Unterstützung des Third Level Supports angewiesen ist. Diese lange Bearbeitungskette führt zu sehr langen Reaktionszeiten und schlechter Service-Qualität.

Bei der Delegation von PowerShell Scripten mit ScriptRunner erfolgt eine vollständige Entkopplung von Rollen und Rechten, weshalb auch Service Desk-Mitarbeiter mittels grafischer Oberfläche Aktionen ganz einfach ausführen können, ohne über die administrativen Berechtigungen verfügen zu müssen. Dadurch können beispielsweise Aufgaben vom Second Level Support an den First Level Support delegiert werden. Die Arbeitsvorgänge verkürzen sich, wodurch schnelle Reaktionszeiten und hohe Service-Qualität sichergestellt wird.

In einem optimalen Support-Prozess kann die Aktion auch direkt an den Nutzer delegiert werden, die Bearbeitungskette wird demnach auf ein Glied reduziert. Statt langer Wartezeiten kann der Nutzer über eine generische grafische Oberfläche kinderleicht die Aktionen selbst ausführen, ohne jegliche Scripting-Kenntnisse aufweisen zu müssen. Mithilfe von ScriptRunner lässt sich solch ein Support-Prozess umsetzen.

Senkung der Reaktionszeit durch Automatisierung mit PowerShell Scripten

Folgendes Szenario zeigt ein typisches Monitoring der IT-Landschaft ohne Automatisierung mit PowerShell und ScriptRunner auf:

Monitoring-Systeme überwachen mithilfe von Sensoren und registrieren Alarme und Schwellenwertüberschreitungen, die sie dem Administrator anschließend melden. Schlägt das Monitoring-System an, so nimmt der Administrator bzw. das Überwachungsteam die erhaltene Meldung wahr. Anschließend meldet sich ein Administrator am gemeldeten System an. Daraufhin sucht er nach dem expliziten Problem und behebt es anschließend. Die Reaktionszeit hängt demnach von dem jeweiligen Administrator und der Anzahl der eingehenden Meldungen ab. Ein unerfahrener Mitarbeiter, der viele Alarme in kurzer Zeit bearbeiten muss, kann die vorgegebenen Reaktionszeiten nur sehr schwer einhalten.

Zudem zeigt die Erfahrung im IT Betrieb, dass viele Alarme und Schwellwertüberschreitungen immer wieder auf die gleichen Ursachen zurück geführt werden können. Eine automatische Behebung wäre also für diese Fälle sehr vorteilhaft.

Mit ScriptRunner ist sowohl eine Teil- als auch Vollautomation mit PowerShell möglich.

Bei einer Teilautomation wird der an sich automatisierte Ablauf immer noch von einem Mitarbeiter explizit freigegeben. Die einzig notwendige Freigabereaktion durch den Administrator stellt schon eine deutliche Verbesserung für die Effizienz, Reproduzierbarkeit und Sicherheit dar. Im Beispiel der Monitoring Automation hieße das, dass der Administrator einen Alarm erhält und in der Monitoring Console eine passende Aktion in ScriptRunner zur Behebung des Problems starten kann sowie das Ergebnis angezeigt bekommt.

Bei einem vollständig automatisierten Monitoring muss kein Mitarbeiter mehr in den Automationsprozess eingreifen. Das integrierte Monitoring-System ruft über den ScriptRunner Connector eine Aktion auf. ScriptRunner führt diese mit den notwendigen administrativen Rechten kontrolliert aus. In diesem Fall ist die Reaktionszeiten nur noch von der Schnelligkeit der beteiligten Infrastruktur abhängig.

Effizienz und Reaktionszeit

Senkung der Reaktionszeit durch Automatisierung und Delegation mit ScriptRunner

 

 

 

6. Nachhaltige Effizienzsteigerung und Reduktion von Betriebskosten

Die Aufwände für tägliche Administrationsaufgaben und ihr Routinecharakter sind in vielen Unternehmen immer noch sehr hoch. Das zeigen viele Untersuchungen und Studien renommierter Unternehmen (vgl. auch Beginn unserer Serie). Die Daten stimmen mit der gefühlten Realität der meisten Administratoren überein. Teilweise gleicht der IT-Betrieb immer noch den Vorgehensweisen einer gehobenen Manufaktur. Eine nachhaltige Effizienzsteigerung ist nicht nur dringend geboten, sondern auch möglich.

Viele verschiedene Faktoren behindern die effiziente Arbeit in IT-Abteilungen. Einige seien beispielhaft herausgegriffen:

  • Zu viele Routinetätigkeiten werden manuell durch Administratoren erledigt, obwohl sie auch Mitarbeiter im Service Desk erledigen könnten. Aus Gründen der Sicherheit und wegen komplexer Verwaltungs-Oberflächen vermeidet man hier eine Delegation.
  • Eine hohe Komplexität in der Systemlandschaft erfordert Spezialisten, diese stehen jedoch nicht ausreichend zur Verfügung. So müssen Administratoren multifunktionale Allrounder sein, haben aber aufgrund der Routinetätigkeiten zu wenig Zeit sich in spezielle Themen einzuarbeiten.
  • Viele gleichartige manuelle Tätigkeiten werden von unterschiedlichen Administratoren wahrgenommen. Die grafischen Verwaltungswerkzeuge können wegen ihres Grundkonzeptes keine gleichartige Bearbeitung erzwingen. Jeder klickt eben anders, und dann nicht immer richtig. Eine hohe Fehleranfälligkeit bei sehr niedriger Reproduzierbarkeit und noch weniger Nachvollziehbarkeit sind die Folge.
  • Mit der Fehleranfälligkeit steigt notwendigerweise der Nachbearbeitungsaufwand. Wegen der fehlenden Voraussetzungen für eine sichere Reproduzierbarkeit können kleine Bedienfehler fatale Auswirkungen nach sich ziehen, welche nur mit enormen Aufwand beseitigt werden können.
  • Die Organisation des IT-Betriebs in Unternehmen stellt eine große Herausforderung dar. Die Einhaltung von SLAs, IT-Prozess-Standards sowie diverse Regularien haben zu sehr komplexen Abläufen mit zu vielen Schaltstellen geführt. In der Folge führen diese Faktoren zu Ineffizienz und Intransparenz, obwohl man beides eigentlich verbessern wollte.

 

Delegation und Automation von Routinetätigkeiten

Wie viel Expertisé erfordert das immer wiederkehrende Anlegen und Managen von Benutzern, Gruppen, Mailboxen und das Vergeben, Ändern und Löschen von Rechten diverser Daten und Anwendungen im täglichen Betrieb?

Keine!

Diese Routineaufgaben können durch Mitarbeiter im Service Desk und Self-Service erledigt werden. Wenn die Voraussetzungen dafür stimmen!

Das ist ganz einfach. Die genannten Routineaufgaben werden in PowerShell-Scripten abgebildet, z.B. in den ScriptRunner Action Packs. Für die Ausführung der Scripte wird ein Regelwerk konfiguriert. Eine einfache grafische Browser-Anwendung ermöglicht dem Anwender dann die Verwendung des Scripts.

Die Abbildung zeigt die Eingabemaske für eine Benutzeranlage durch einen Service Desk Mitarbeiter in der Praxis mit einem Script aus dem ScriptRunner Action Pack for Active Directory. Erforderlich ist nur die Eingabe von Vor- und Nachnamen sowie der Abteilung. Alle anderen Informationen werden in Abhängigkeit der Regeln automatisch erzeugt und im AD gespeichert. Durch Anpassungen an Konfigurationen oder Scripten lassen sich in kürzester Zeit unternehmensspezifische Anforderungen integrieren.

Das Anlegen eines neuen Benutzers ist somit stark vereinfacht und kann aus der IT-Abteilung auch in andere Unternehmensbereiche, wie z.B. HR, delegiert werden.

Neuen Benutzer anlegen

Anlegen eines neuen Benutzers mit ScriptRunner

Zusätzlich zur teilautomatisierten Delegation können viele Tätigkeiten auch durchgängig digitalisiert und automatisiert werden. So können mit einem Workflow maschinell einzelne Aufgaben angestoßen und überwacht werden. Die eigentliche Durchführung der einzelnen Aufgaben in der IT-Infrastruktur wird mittels PowerShell-Scripten durch ScriptRunner gesteuert. Oder der Aufbau und die Steuerung eines Aktoren-Netzwerks durch ScriptRunner als wirksame Automatisierungslösung für die sensorbasierte Überwachung durch Monitoringsysteme. Alle diese Möglichkeiten und Maßnahmen erlauben sprunghafte Effizienzsteigerungen.

Geteiltes Spezialisten-Knowhow

Oft werden in Unternehmen eine Vielzahl von Systemen eingesetzt, die immer mehr Spezialisten-Know-how erfordern. Allerdings lassen sich weder genügend Spezialisten finden, noch dauerhaft effizient einsetzen. Also sind alle Administratoren gefordert, ihr Wissen ständig zu erneuern und auch zu verbreitern.

In der Praxis findet man dann bei den verschiedenen Administratoren unterschiedliche Knowhow-Domänen und Fokussierungen auf eine Auswahl an Themen. Nur was passiert bei Vorfällen und Eskalationen in Abwesenheit? Wie könnte man auch externes Spezialisten-Knowhow für Tätigkeiten und Aufgaben im IT-Betrieb fest verankern?

Auch hier kann ScriptRunner mit den PowerShell-Scripten seine Vorteile voll ausspielen. Spezialaufgaben und Vorgänge mit Expertenwissen lassen sich in Scripten abbilden. Die gezielte und sichere Ausführung dieser Scripte wird von ScriptRunner gesteuert. Mit den Delegationsfunktionen und der einfachen Web-Oberfläche können daher auch andere Administratoren im Team diese Aufgaben wahrnehmen. Durch die Trennung von Rechten zum Zugang der Aktion und der Ausführung des Scripts lassen sich zudem die administrativen Zugänge wirksam beschränken.

Aufgabenschablonen statt Freestyle

Die grafischen Verwaltungsoberflächen für die IT-Infrastruktur und Anwendungen sind für eine reproduzierbare Ausführung von Aufgaben und Vorgängen eher ungeeignet. Das ergibt sich bereits aus dem Konzept des berühmt-berüchtigten Click, Copy & Paste. Für freie Gestaltung in der Bedienung mit Maus und Tastatur gibt es keine zwingenden Einschränkungen und Vorgaben, wie geklickt werden soll.

Eine wirkliche Alternative für die Sicherstellung einer effizienten Reproduzierbarkeit stellen Scripte dar. In einem Script ist ein ganz bestimmter administrativer Vorgang verankert. Dieser wird auch immer wieder gleich ausgeführt, wenn alle Benutzer das gleiche Script auf die gleiche Art und Weise in Form von Aufgabenschablonen verwenden. Diese Schablonen umfassen nicht nur das PowerShell-Script und die notwendigen Eingabeformulare, sondern auch die Ausführung der gesamten Aufgabe inklusive Reporterstellung selbst. Genau das stellt ScriptRunner jederzeit sicher.

Reduzierte Nacharbeit zur Fehlerbeseitigung

Durch Unachtsamkeiten entstehen schnell Fehler. Vor allem bei wiederkehrenden Routinetätigkeiten schleichen sich diese häufiger ein. Die Beseitigung der Fehler und der damit verbundenen Nebenwirkungen erfordert zusätzlichen manuellen Aufwand. Wertvolle Zeit geht verloren, im schlimmsten Fall drohen Ausfälle an Arbeitszeit beim Endanwender. Oftmals können die Ursachen und der Verlauf nur schwer nachvollzogen werden, was eine Voraussetzung für eine spätere Verbesserung wäre.

Die zentrale und richtlinienbasierte Automatisierung von Routineaufgaben kann in erheblichem Umfang Fehler und damit verbundene Aufwände zu deren Beseitigung vermeiden. Die PowerShell Script Policies in ScriptRunner stellen Funktionen bereit, um die Fehleranfälligkeit zu senken. Auch eine kontrollierte Delegation von Aufgaben trägt dazu bei.

Vereinfachte Abläufe und Zuständigkeiten

Komplexe Abläufe und vielfältige Zuständigkeiten im IT-Betrieb gehören zum Tagesgeschäft. Mit der Delegation und der Einführung von mehr Automation bietet sich die Möglichkeit, die Abläufe zu vereinfachen und zu verschlanken. Der Effizienzgewinn liegt dabei deutlich höher als der Einführungsaufwand. Vor allem dann, wenn eine Bottom-up Strategie verfolgt wird. Diese setzt bewusst an einzelnen Schmerzpunkten und Aufgaben an. PowerShell Scripte in Verbindung mit ScriptRunner folgen genau diesem Ansatz. Schrittweise werden Aufgaben Script für Script umgesetzt. Die ScriptRunner Action Packs liefern bereits eine Vielzahl von Cases out-of-the-box. Das Einrichten und Delegieren von Aufgaben mit diesen Paketen dauert nur wenige Minuten. Jede weitere Aufgabe in ScriptRunner führt sofort zu den gewünschten Effekten an Effzienz, Reproduzierbarkeit, Sicherheit, Nachvollziehbarkeit und Kontrolle.

Effizienzsteigerung mit ScriptRunner

Durch den Einsatz von ScriptRunner kann die Effizienz in IT-Abteilungen deutlich gesteigert werden. Den Mitarbeitern stehen dadurch mehr Stunden für relevante Projekte zur Verfügung. Mithilfe von ScriptRunner kann der Arbeitsaufwand für wiederkehrende Aufgaben durch Automatisierung und Delegation nachvollziehbar verringert werden.

Mithilfe von Automatisierung und Delegation mit ScriptRunner können weitaus mehr Standardvorgänge in kürzerer Zeit ausgeführt werden als zuvor. Die Effizienzsteigerung drückt sich auch darin aus, dass mehr Systeme von dem gleichen Team betreut werden können. Somit sind die IT-Teams im Betrieb für die Einführung weiterer neuer Systeme gewappnet. Sie verschaffen sich wieder erheblich mehr Zeit, um Innovationen vorantreiben zu können.

Reduktion von Betriebskosten mit ScriptRunner

Das Steigern der Effizienz reduziert gleichzeitig auch die Betriebskosten im IT-Betrieb reduziert. Zu deren Berechnung können vor allem Größen zur Bemessung des Arbeitszeitvolumens je Aufgabe und Tätigkeit herangezogen werden:

  • Minuten bzw. Stunden zur Erledigung einer Aufgabe
  • Rüstzeiten für Unterbrechungen und Nacharbeiten
  • Fehlerbehebungszeiten
  • Verlagerung von Aufwand in geringer bezahlte Bereiche

 

Beispielrechnung der Einsparungspotentiale

Nach Erfahrungswerten können mithilfe von ScriptRunner bereits zu Beginn jeweils 2-4 Stunden pro Admin im Monat und weitere 3-5 Stunden durch die Delegation von Aufgaben eingespart werden. Mit immer mehr PowerShell Scripten und den Möglichkeiten zur Automatisierung steigen diese Potenziale noch erheblich an.

Einsparungspotential mit ScriptRunner

Schneller Return bei mehreren Cases

Bei einem IT-Team mit 10 Administratoren und größer 50€ Vollkosten pro Stunde beträgt die potentielle Kostenreduktion von Beginn an zwischen 3.000 bis 5.000€.  Betrachtet man die Lizenzkosten, interne Einführungskosten und die laufenden Kosten für ScriptRunner, so rechnet sich der Einsatz bereits innerhalb von 9 bis spätestens 12 Monaten nach der Einführung.

Mögliche Kostenreduktion mit ScriptRunner

Effizienzgewinne mit ScriptRunner

 

 

7. Hohe Reproduzierbarkeit von wiederkehrenden Aufgaben

Die Reproduzierbarkeit von wiederkehrenden Administrationsaufgaben und ihre Vergleichbarkeit sind leider immer noch auf einem zu niedrigen Niveau. Das kann man sowohl aus Studien, aber noch mehr aus Erfahrungsberichten von Administratoren und aus Gesprächen mit IT- Teams erfahren. Reproduzierbarkeit im IT-Betrieb kommt nicht allein dadurch zustande, dass mit Prozessvorgaben und IT-Verwaltungswerkzeugen gearbeitet wird.

PowerShell und PowerShell Scripte in ihrer ursprünglichen Ausprägung tragen leider in keiner Weise dazu bei, diesen Zustand zu verbessern.

Das hat unter anderem folgende 5 Ursachen:

  1. PowerShell als Kommandosprache und PowerShell Scripte per se erlauben eine extreme Vielfalt an Lösungsmöglichkeiten. Dieser Vorteil der sehr hohen Flexibilität kehrt sich bezüglich der Reproduzierbarkeit dann in einen Nachteil um, wenn keine strenge Kontrolle des Einsatzes von PowerShell gegeben ist.
  2. Die zentrale Ablage von Scripten auf einem gemeinsamen Netzlaufwerk verhindert nicht, dass dann doch jeder Administrator eine persönliche und angepasste Version anlegt und verwendet. Dieses durchaus menschliche Verhalten ist bereits aus Office- und Dokumentvorlagen bekannt.
  3. Die unterschiedliche Ausführung von PowerShell-Scripten durch verschiedene IT-Systeme macht es sehr häufig erforderlich, die Scripte so anzupassen, dass sie auf dem jeweiligen System auch lauffähig sind, obwohl es sich um den gleichen Use Case handelt. Es ist nativ nicht möglich das gleiche PowerShell-Script auf unterschiedlichen Wegen von unterschiedlichen Systemen auf die gleiche Art und Weise nutzen zu können.
  4. Für die Ausführung von PowerShell-Scripten sind entsprechende administrative Rechte auf den jeweiligen Systemen notwendig. Um handlungsfähig zu bleiben, werden vielen Administratoren-Accounts eine ganze Bandbreite von Rechten eingeräumt. Das kann schnell zu einem umfänglichen Sicherheitsproblem heranwachsen, wenn Accounts unbemerkt kompromittiert wurden.
  5. Gleiches gilt für grafische Verwaltungswerkzeuge. Bei diesen kommt noch hinzu, dass deren Verwendung im berühmt berüchtigten Click, Copy & Paste erfolgt. Letzteres ist leider auch keine hinreichende Voraussetzung für Reproduzierbarkeit im engeren Sinne.

Wieso ist die Herstellung von Reproduzierbarkeit schwer und leicht zugleich?

Um ein hohes Maß an Reproduzierbarkeit auch im IT-Betrieb zu schaffen und dauerhaft sicher zu stellen, lohnt ein Blick über den Tellerrand. Schaut man sich dabei die Abläufe zur Herstellung von physikalischen Gütern an, so kann man unter anderem erkennen, dass es dafür folgender Voraussetzungen bedarf:

  • Prozesse, Vorgänge und Aufgaben müssen in (viele) sinnvolle Einzelschritte zerlegbar sein
  • Es ist eine hohe Detailkenntnis für die jeweiligen Einzelschritte und deren Abhängigkeiten notwendig
  • Es kommt auf ein kontinuierliches und schrittweises Vorgehen mit ständiger Verbesserung an
  • Ständige Kontrolle und Transparenz über die Qualität der Einzelschritte und des Gesamtproduktes reduzieren den Ausschuss
  • Abweichungen müssen nachvollziehbar und die Ursachen transparent sichtbar gemacht werden

Beginnend bei den Einzelschritten mit den größten aktuellen Schmerzpunkten, lassen sich wirksame Verbesserungen schnell und ohne überbordende Komplexität erzielen.

Kontrolle des Einsatzes von PowerShell

Für die PowerShell existiert systemseitig lediglich ein interaktives Command Line Interface, in das Kommandos per Hand eingegeben oder Scripte im Kontext des Benutzers der Shell interaktiv ausgeführt werden können. Wird die Shell geschlossen, gehen regelmäßig alle eingegebenen Kommandozeilen und die daraus resultierenden Ergebnisse unwiderruflich verloren. Das einschaltbare Logging ist dabei kaum eine Hilfe, da dessen Auswertung wiederum per Hand erfolgen muss. Die freie Arbeitsweise mit dem Command Line Interface ist also keine Lösung für Reproduzierbarkeit.

Stattdessen sollte die Ausführung von PowerShellScripten an wirksame Script Policies und darüber hinaus an eine oder mehrere zentral überwachte Ausführungsinstanzen gebunden sein. Durch dieses Konzept wird die Ausführung der PowerShell Scripte von der durch den Benutzer zu erledigenden Aufgabe getrennt. Ein Script wird immer im gleichen Kontext, mit den gleichen Sicherheitseinstellungen, mit der gleichen Methode sowie dem gleichen Parameter-Set ausgeführt. Unabhängig davon, ob es manuell, zeit- oder ereignisgesteuert ausgelöst wurde.

Reproduzierbarkeit von PowerShell Aufgaben

 Reproduzierbarkeit durch Zentralität

 

Zentralität ist der Schlüssel

Für den reproduzierbaren Einsatz von PowerShell-Scripten durch unterschiedliche Administratoren und den Service Desk ist es erforderlich, die PowerShell-Scripte inklusive Änderungshistorie zentral zu organisieren und zu verwalten. Ebenso wie die Richtlinien für deren Ausführung. Auf welchem System wird welches Script ausgeführt, mit welchen Voreinstellungen und Rechten? Wer darf die Ausführung anstoßen? Welche Eingaben und Auswahlmöglichkeiten sind erlaubt?

All diese Faktoren und Rahmenparameter werden durch eine zentrale ScriptRunner Plattform zur Verfügung gestellt, gesteuert und überwacht. Mit jedem PowerShell-Script, das über ScriptRunner gesteuert wird, erhöht sich die Reproduzierbarkeit einer Aufgabe, bei gleichzeitiger verringerter Fehleranfälligkeit und Komplexität sowie höherer Sicherheit und Effizienz. Das zentrale Reporting und die einfache Auswertbarkeit der Ergebnisse schaffen die notwendige Transparenz zur Qualität der Scripte und ihrer Verwendung. Abweichungen können über spezifische integrierte Ansichten schnell ermittelt und für kontinuierliche Verbesserungen eingesetzt werden.

 

 

8. Reduzieren von Risiken und Verhindern von Folgearbeiten

Das irrtümliche Ausführen von Scripten auf den falschen Systemen oder mit den falschen Berechtigungen ist eine typische Begleiterscheinung der Verwendung von PowerShell ohne wirksamen Rahmen. Aufwändige Nacharbeiten, Systemausfälle und gebrochene SLAs können die Folge sein. Die Lücken in PowerShell als Ursache für diese Risiken können mit ScriptRunner wirksam geschlossen werden.

Darüber hinaus bestehen bei nativer Nutzung von PowerShell weitere Risiken (ohne Anspruch auf Vollständigkeit):

  • Die interaktive Benutzung auf der Kommandozeile verlangt entsprechende Rechte für den User, der das Script ausführen soll. Deshalb wird PowerShell oft nur von Spezialisten eingesetzt. Das verhindert außerdem eine Delegation von Aufgaben an andere Administratoren und Helpdesk.
  • Administratoren und Anwender der PowerShell nutzen verschiedene, in der Regel eigene, Scripte für die gleiche Aufgabe bzw. den gleichen Use Case. Somit ist eine Reproduzierbarkeit in der Ausführung unmöglich. Ohne ein zentrales Management der Scripte entstehen andere Ergebnisse bei dem gleichen Zielsystem. Daraus folgt eine mitunter mühsame und zeitraubende Nachvollziehbarkeit.
  • Viele der PowerShell Scripte verfügen über eine sehr hohe Funktionalität und damit Komplexität. Der kleinste Fehler in der Anwendung bzw. Ausführung kann zu einem großen Schaden führen. Stillstände, aufwändige Fehlersuchen und -behebungen können die Folge sein.
  • Für die der Scripte können per se mit native PowerShell keine Ausführungsrichtlinien definiert werden. Einer ungebremsten Flexibilität stehen erhebliche Sicherheitsprobleme gegenüber.
  • Die Authentifizierung über Credentials ist die gebräuchlichste Form der Zugangskennung in PowerShell. Da es sich hierbei um sicherheitsrelevante, schützenswerte Zugangsinformationen mit administrativen Rechten handelt, muss deren Sicherheit höchste Priorität genießen. Jedoch weisen die gängigsten Methoden im Umgang mit Credentials erhebliche Lücken auf.

 

Kanalisieren und Ausschließen von Risiken

Zentrales Management und Reporting

Für den reproduzierbaren Einsatz von PowerShell Scripten durch unterschiedliche Administratoren und den Service Desk ist es erforderlich, die PowerShell Scripte inklusive Änderungshistorie zentral zu organisieren und zu verwalten. Das Ausführen von Scripten sollte zentral überwacht und kontrolliert werden, Richtlinien geben den Rahmen dafür vor.

Die zentrale ScriptRunner Plattform stellt dafür die notwendigen Funktionen zur Verfügung, steuert und überwacht den Einsatz aller Scripte. Alle Scripte, Richtlinien und notwendigen Einstellungen werden zentral verwaltet, konfiguriert und regelgesteuert ausgeführt.

Um eine kontrollierte und transparente Automatisierung mit PowerShell zu erreichen, müssen alle ausgeführten Aktionen jederzeit und bis ins kleinste Detail nachvollziehbar sein. ScriptRunner protokolliert die Ergebnisse der Scriptausführung daher vollständig. Dadurch erhält der Administrator eine ganzheitliche Kontrolle und lückenlose Nachvollziehbarkeit über alle delegierten und automatisierten Vorgänge.

Ausführungsrichtlinien mit hoher Funktionalität

Mit ScriptRunner können spezifische Richtlinien für die Ausführung von Aktionen festgelegt werden. Auf welchem System wird welches Script ausgeführt, mit welchen Voreinstellungen und Rechten? Wer darf die Ausführung anstoßen? Welche Eingaben und Auswahlmöglichkeiten sind erlaubt?

Über diese Ausführungsrichtlinien lassen sich viele Risiken deutlich reduzieren, da alle Aktionen immer gleichartig nach definierten Richtlinien ablaufen. Admins konfigurieren mit der Admin-App Richtlinien und Zuweisungen. Mit ScriptRunner laufen daher die PowerShell Scripte immer kontrolliert und in dem zugewiesenen Sicherheitskontext ab. Weiterhin sind alle Aktionen reproduzierbar und es wird eine hohe Prozesssicherheit geboten.

Rollen und Rechte

Durch das vollständige Entkoppeln von Rollen und Rechten für alle Aufgaben und Vorgänge werden Zugriffsrisiken entzerrt und reduziert. Nur autorisierte und authentifizierte Personen sind berechtigt, Aufgaben auszuführen und die integrierten Systeme authentifizieren sich gegenseitig.

ScriptRunner - Trennung von Rechten und Rollen - User / Account und Zielsystem / Privileged Account

Separation of roles and rights

PS Credential-Objekte mit ScriptRunner verwenden

Mithilfe von ScriptRunner können Credentials sicher gespeichert werden. Unter dem Menüpunkt „Benutzerkonten“ werden sämtliche Privileged Accounts verwaltet, die ScriptRunner zur Ausführung von Aktionen auf anderen Systemen verwenden soll. Die Zuweisung kann auf Ebene eines Zielsystems, einer Aktion und eines Bulk-Containers erfolgen.

Werden in einem PowerShell Script zusätzlich Credentials benötigt, um beispielsweise Scripte über über Jumphost (Doppel-Hop-Problem von PowerShell) ausführen zu können, muss im Script ein Credential definiert sein. Wird PowerShell nativ benutzt, sind Informationen zum Privileged Account voll einsehbar. Gerät ein derartiges Script in die falschen Hände, entsteht sofort eine hohe Risiko für Angriffe.

Mit ScriptRunner entfallen diese Risiken, da im Script lediglich Credential-Variable verfügbarsind. Es gibt keinen Bezug auf den verwendeten Nutzernamen oder das Passwort ! Diese Informationen werden erst zur Laufzeit von ScriptRunner in den PowerShell-Prozess eingesteuert. Die Zuweisung, welche Credentials eingesteuert werden sollen, wird in der Ausführungsrichtlinie für die Aktion festgelegt.

ScriptRunner - Konfiguration von zusätzlichen Credentials - PowerShell

Konfiguration von zusätzlichen Credentials

Sicherer Umgang mit Privileged Accounts und Credentials

In allen Fällen ist keine interaktive Eingabe eines Benutzernamens oder Passworts mehr notwendig. Somit gibt es keine Notwendigkeit mehr, Informationen zu administrativen Konten an die Service Desk Anwender weiterzugeben, damit sie eine PowerShell Aktion ausführen zu können.

Die Vorteile von ScriptRunner im Umgang mit Privileged Accounts und PowerShell Credentials im Überblick:

  • Credentials oder Privileged Accounts werden sicher gespeichert
  • Sicheres Delegation von PowerShell Aktionen wird nun überhaupt möglich
  • Es gibt keine Hinweise auf verwendete Nutzernamen, Passwörter oder Credentials im Script
  • Es ist keine interaktive Eingabe für die Ausführung von Scripten notwendig

ScriptRunner schafft damit wichtige Voraussetzungen für eine hohe Sicherheit bei der Automatisierung und Delegation mit PowerShell Scripten.

 

 

9. Mehr Freiräume für Innovationen und Projekte

Laut einer Studie der Dimension Data und IDC, wenden IT-Abteilungen mehr als 30 Prozent ihrer Zeit für die Beantwortung von Serviceanfragen und zur Beseitigung entstandener Probleme auf. Für die Entwicklung digitaler Innovationen stehen ihnen nur noch 15 Prozent ihrer Zeit zur Verfügung, Tendenz sinkend.

Die Gründe dafür sind vielfältiger Natur, es lassen sich jedoch einige Ursachen ermitteln:

  • Immer mehr zu verwaltende Systeme und Anwendungen
  • Damit zusammen hängend das explosive Wachstum an zu verwaltenden Daten
  • Die damit einher gehende Komplexität in der IT Landschaft
  • Immer mehr Spezialistentum und notwendiges Detail-Know-How

Mechanisierung, Teil- oder Vollautomation

Schaut man sich den IT Betrieb in vielen Unternehmen genauer an, lassen sich durchaus Parallelen zur ersten Industrialisierung ausmachen. Viele Tätigkeiten werden zwar mit Hilfe computergestützter Administrationswerkzeuge, jedoch immer noch manuell ausgeführt. Im Kern also eigentlich mehr Ähnlichkeit mit der Mechanisierung.

Die oben genannte Studie zeigt laut den Befragten vor allem in Bezug auf die Automatisierung in der IT  ein sehr großes Potenzial auf:

  • 9 Prozent geben an, dass ihre Infrastruktur überhaupt nicht automatisiert ist
  • Weitere 13 Prozent schätzen ihre Infrastruktur als gering automatisiert ein
  • 32 Prozent sehen aktuell nur eine teilweise Automatisierung umgesetzt

 

Zeit gewinnen durch Automatisierung und Delegation

Dabei zeigt die Praxis: durch Automatisierung administrativer Tätigkeiten werden IT Teams im Tagesbetrieb deutlich entlastet. Gleichzeitig verkürzen sich die Reaktionszeiten im Service-Management und die Prozesse. Letztere werden zusätzlich reproduzierbar und deutlich transparenter.

Daraus resultiert: Mögliche Fehlerquellen werden reduziert und die Qualität des IT-Betriebs gefestigt. Mitarbeiter haben damit merklich mehr Zeit zur Verfügung, um Projekte umzusetzen und Innovationen voranzutreiben. Außerdem können Kapazitäten, die heute für Fehlersuche, Fehlerbehebung, Nacharbeiten, Routinetätigkeiten oder Kontrolle verloren gehen, endlich wieder für Neues genutzt werden.

Der Weg in die Automatisierung führt häufig über die Stationen Delegation und Teilautomation in die Vollautomation. Im ersten Schritt der Delegation wird die Ausführung der IT Aufgabe selbst automatisiert, die Auslösung und Anwendung an Service Desk oder in die Fachbereiche selbst delegiert. In einer Teilautomatisierung werden z.B. die Teilschritte Erkennung (Monitoring mit Sensoren) und Behebung (Aktoren, Scripte) von Fehlern und Zuständen automatisiert. Die Freigabe bzw. der Übergang zwischen beiden Schritten erfolgt noch manuell. Beispielweise durch einen „Jetzt  beheben“ Button. Im letzten Schritt zur Vollautomation wird auf die manuelle Freigabe verzichtet. Die Teilsysteme kommunizieren direkt, ein manueller Eingriff erfolgt nur in Ausnahmenfällen. Zum Erstellen vollautomatisierter Prozesse bietet ScriptRunner zahlreiche Schnittstellen zu Drittsystemen.

Gründe für die Automatisierung

Quelle: EME Research Report – Data Center Automation in the Age of Cloud 

Von der Routine in die Delegation und in die Automation mit Action Packs

Delegation, Teil- und Vollautomation sind die zentralen Einsatzbereiche für ScriptRunner. Viele der wiederkehrenden Routineaufgaben, wie beispielsweise Onboarding Prozesse, überschneiden sich in den meisten IT-Teams. Mit den ScriptRunner Action Packs ist Delegation und Automatisierung für genau diese Tätigkeiten noch schneller und einfacher umsetzbar. Die produkt- und themenorientierten Pakete enthalten PowerShell Scripte, die typische Anwendungsfälle und Routinetätigkeiten im Tagesgeschäft abdecken. Der Nutzer erhält Zugang zu einer Sammlung an Use Cases aus den verschiedensten Themenbereichen wie Active Directory, Office 365 und Exchange u.v.a.m. Alle Scripte sind gemäß der Best Practises von Microsoft für PowerShell Scripting erstellt, stehen öffentlich zur Verfügung und können sofort mit ScriptRunner eingesetzt werden.

Die ScriptRunner Action Packs bieten eine Entlastung für PowerShell Einsteiger, Entwickler und Admins. Neben wertvoller Zeit werden auch Einarbeitungskosten in PowerShell und Scripting gesenkt, da nicht jedes Script komplett neu geschrieben werden muss. Diese Zeit und die Ersparnisse können in Projekte investiert werden, um die Entwicklung digitaler Innovationen voranzutreiben.

Fazit:

Mit ScriptRunner werden Freiräume im IT Betrieb geschaffen, indem Routinetätigkeiten mithilfe von PowerShell Scripten automatisiert und delegiert werden. Dadurch wird die IT-Abteilung erheblich entlastet und kann die gewonnene Zeit in Verbesserungs- und Innovationsprojekte investieren.

 

 

10. Schnelle Einführung im Tagesbetrieb ohne Projekterfordernis

Die Einführung einer neuen Software stellt die Betroffenen im Unternehmen oft vor große Herausforderungen. Eigens initiierte Projekte und freigestellte Mitarbeiter sollen einen reibungslosen Projektablauf ermöglichen. Doch die Realität sieht oft ganz anders aus. Ausbleibende Ergebnisse, andauernde Verzögerungen und gescheiterte Projekte scheinen für viele IT-Teams zum Alltag zu gehören.

Laut einer europaweiten Studie des Wirtschaftsforschungsinstituts Economist Intelligence Unit (EIU) im Auftrag des BTO-Anbieters Mercury gelingen nur 49% aller Technologieprojekte wie geplant. Dies liegt an mehreren Faktoren:

  • Überfrachtete Anforderungen für eine Lösung, ein besonders hohes Risiko bei Top-Down-Ansätzen. Mehr dazu finden steht in Teil 2 (link einbauen) unserer Serie
  • Je komplexer eine geplante Lösung ist, desto komplexer wird das Projekt
  • Durch mangelnde Projekterfahrung werden Ziele falsch gesteckt und Mitarbeiter nicht richtig eingeplant
  • Muss sich ein Mitarbeiter zusätzlich zu seinen alltäglichen Aufgaben noch um die Einführung einer neuen Software kümmern, wird er diese Aufgabe immer niedriger priorisieren und die Einführung damit bestenfalls verzögern. Im schlimmsten Fall scheitert sie bereits an dieser frühen Hürde.

Deswegen haben wir ScriptRunner für einen einfachen und schnell umsetzbaren Bottom-Up-Ansatz ausgebaut. Dadurch werden schnelle Ergebnisse an operativen Brandherden geliefert und zugleich die Möglichkeit geboten, die Lösung täglich Schritt für Schritt auszubauen.

Das Ziel von ScriptRunner besteht darin, die Risiken einer Software-Einführung so zu minimieren, dass gar kein gesondertes Projekt dafür benötigt wird.

Installation, Einrichtung und Integration von ScriptRunner

Die Einführung von ScriptRunner erfolgt im operativen Betrieb nach unserem Best Practice. Das beginnt mit einem in der Kundenumgebung. In einer zweistündigen Remote-Session erfolgt die Installation und Konfiguration der Software. Außerdem werden erste eigene PowerShell Scripte in Betrieb genommen oder fertige Vorlagen aus unseren Action Packs verwendet. Anschließend besteht die Möglichkeit, in einem Testzeitraum weitere Scripte mit ScriptRunner zu testen und individuelle Einsatzszenarien abzubilden.

So kann ScriptRunner direkt mit den bereits umgesetzten Use Cases in den operativen Betrieb überführt werden, ohne dass ein aufwändiges Projekt mit zusätzlichem Aufwand erforderlich wäre.

Gemeinsam ans Ziel mit den ScriptRunner Professional Services

Entscheidet sich ein Unternehmen für den Einsatz von ScriptRunner, so greifen wir gerne bei den ersten Schritten unter die Arme. Gemeinsam installieren, konfigurieren und integrieren wir die ScriptRunner Plattform in die Systemumgebung des Unternehmens und machen sie den Anwendern zugänglich.

Die ScriptRunner Action Packs verkürzen dabei den Einstieg in die PowerShell Automatisierung. Die produkt- und themenorientierten Pakete enthalten PowerShell Scripte, die typische Anwendungsfälle und Routinetätigkeiten im Tagesgeschäft abdecken zu den Bereichen  Active Directory, Exchange, Office 365, Windows Server und Client, VMware, Citrix und viele weitere.

Außerdem unterstützen wir bei der Integration von Drittsystemen mit unseren Connectoren.

 

Fazit:

Die Einführung von ScriptRunner gelingt nachweisbar schnell und ist direkt im operativen Tagesbetrieb möglich, ohne zusätzlichen Projektaufwand. So profitieren Unternehmen von den Potenzialen und Möglichkeiten bereits ab dem ersten Script. Die Action Packs erleichtern außerdem den Einstieg in die Automation mit PowerShell.

Probieren Sie es selbst aus – Sie können ScriptRunner 30 Tage kostenfrei in Ihrer eigenen Ungebung testen.

 

Über den Autor: