PowerShell vs. Admin Portal

Ewig lange Diskussionen, was denn nun besser oder sinnvoller ist? Darauf gibt es meiner Meinung nach keine klare Aussage. Beide Varianten haben ihre Daseinsberechtigung. Aber: das Admin Portal ist durchaus mit Vorsicht zu genießen — diese Erfahrung habe ich schon selber machen müssen.

Oberflächlich lässt sich über das Admin Portal alles bewerkstelligen, was der typische O365-Admin jeden Tag macht. Er kann die Userverwaltung vornehmen, Lizenzen prüfen, Statistiken auswerten. Soweit so gut. Wer jedoch schon mal 50 Benutzer anlegen musste, der weiß, wie lange das mit dem Admin Portal dauert…

Außerdem ist das Portal manchmal etwas langsam — nicht in Bezug auf die Ladezeiten der Website, sondern in Bezug auf die Verarbeitungsdauer. Technisch gesehen setzt das Portal die getätigten Eingaben im Hintergrund in PowerShell-Befehle um. Gemäß Cap-Theorem dauert es dann schon mal eine Weile, bis eine Änderung tatsächlich ersichtlich, sprich umgesetzt ist.

Beispiel: bei der Löschung eines Benutzers wird der Benutzer gelöscht. Wirklich? Ja, das stimmt wirklich, denn der Befehl zur Löschung des Users und somit die Ablage in den Papierkorb geschieht recht flott. Aber das Portal sieht davon noch nichts. Bedeutet also: ich lösche einen Benutzer über das Portal, sehe in der Liste der aktiven Nutzer aber immer noch den vor wenigen Sekunden gelöschten Benutzer. Im Papierkorb taucht er erst gar nicht auf. Gewissheit bringt nur die Kontrolle via PowerShell: Benutzer ist gelöscht.

Es gibt auch einige Dinge, die über PowerShell möglich sind, aber vom Admin Portal nicht unterstützt sind. Bleiben wir mal bei dem Beispiel der Benutzerlöschung: nach der Eliminierung eines Benutzers wandert dieser in den Papierkorb, in dem er 30 Tage liegen bleibt. Erst nach dieser Frist werden sämtliche Daten gelöscht. Was aber, wenn ich den Nutzer direkt ganz löschen möchte? Ein Anwendungsfall wäre, wenn ich den Benutzer mit einem „frischen“ O365-Profil starten lassen möchte und z.B. einen AAD Connect mit meinem lokalen Active Directory aktiv habe. Dann bleibt mir ein Zeitfenster von 30 Minuten bis zum nächsten Synchronisationsintervall — dieser wird dann aber fehlschlagen, weil im Papierkorb noch ein Nutzer mit gleichem User Principal Name liegt. Blöd, was?

Dies lässt sich tatsächlich nur via PowerShell realisieren, da ich nur dort auch den Benutzer-Papierkorb leeren kann — also ohne 30 Tage warten zu müssen. Die Befehle dazu sind denkbar einfach (um mal jemandem die Angst vor der PowerShell zu nehmen):

  • Verbinden mit der Microsoft Online PowerShell
  • Get-MsolUser -All (Anzeigen der aktuell aktiven Benutzer)
  • Remove-MsolUser -UserPrincipalName „This email address is being protected from spambots. You need JavaScript enabled to view it.“ -Force (Benutzer wird ohne Rückfrage gelöscht)
  • Get-MsolUser -ReturnDeletedUsers (Anzeigen des Benutzer-Papierkorbs)
  • Remove-MsolUser -UserPrincipalName „This email address is being protected from spambots. You need JavaScript enabled to view it.“ -RemoveFromRecycleBin (Benutzer wird ohne Rückfrage aus dem Papierkorb gelöscht)

Diese Befehle lassen sich locker innerhalb von 5 Minuten ausführen und tada! — der AAD Connect kann erfolgreich eine neue Entität synchronisieren und der Benutzer startet mit einem „frischen“ Profil.

Als Fazit kann man also festhalten: das Admin Portal ist nicht schlecht und Microsoft arbeitet fortlaufend daran, die Oberfläche komfortabler und intuitiver zu gestalten. Für die schnelle Administration zwischendurch sicherlich nicht schlecht, aber sobald es an Massenänderungen oder Spezialaufgaben geht, kommt man um die PowerShell nicht drumherum.


Print