Frage:
Wie viele administrative Accounts darf ich im Rechenzentrum haben und welche Rechte darf ich meinem Kunden geben?

Antwort:
Bezüglich der Anzahl an administrativen Accounts könnte ich es an dieser Stelle kurz machen und einfach „20“ sagen, aber so einfach, bzw. simpel ist es am Ende dann doch nicht.
Im aktuellen SPLA-Vertrag können wir folgende Passage finden:

Server administration and maintenance.  Customer may authorize up to twenty (20) individuals per data center (including employees of any Outsourcing Company performing services for Customer) to access and use the Products for the sole purpose of testing, maintenance and administration of the Products.

Dies beschränkt uns zunächst auf eine Anzahl von 20 administrativen, real existierenden, Personen pro Rechenzentrum. Zusätzlich gibt es aber zu den Produkten Windows Server einen Absatz in der SPUR, welcher wie folgt lautet:

Testing, maintenance, and administration access. For each instance running in an operating system environment (or OSE), you may permit up to two (2) users, in addition to those permitted under the general allowance of administrative users within your data center as set forth in the “Server administration and maintenance” section of your Service Provider License Agreement, to use or access the server software to directly or indirectly host a graphical user interface (using the Windows Server 2012 R2 Remote Desktop Services functionality or other technology). This use is for the sole purpose of testing, maintenance, and administration of products licensed under your Services Provider License Agreement. These users do not need Windows Server 2012 R2 Remote Desktop Services SALs.

Bedeutet im Klartext, dass ich zu den allgemeingültigen 20 administrative Usern auch jedes aktive OSE mit 2 zusätzlichen Administratoren verwalten kann, ohne dabei die nötige RDS-SAL aktiv (monetär) zu lizenzieren.

Die Rechteverteilung ist da schon ein etwas schwierigeres Thema. Im Kern besteht Microsoft darauf, dass die administrative Hoheit beim Serviceprovider liegt. Dies hat vor Allem den rechtlichen Hintergrund, dass Sie als Serviceprovider auch immer der Verantwortliche für die Lizenzen und deren Verwendung sind.

Einem Endkunden einen Account, bzw. User zur Verfügung zu stellen, welche über erweiterte Rechtestrukturen verfügt ist aber nicht verboten. Es ist allerdings wichtig, an dieser Stelle sich über die Ausmaße bewusst zu sein und diese durch Vorkehrungen zu unterbinden, oder vertraglich zu regeln. Etwa durch softwareseitige Beschränkungen, welche ein Auslesen der Produktschlüssel unterbindet und einem Vertragswerk, welches die Installation von bestimmten Komponenten untersagt. Letztendlich ist der Serviceprovider bei einem Audit die erste Instanz welche bei fehlerhafter Lizenzierung zur Verantwortung gezogen wird. Daher gilt es sich für diesen Fall ausreichend abzusichern.

Quellen:
SPLA – Service Provider License Agreement Vertragswerk | Januar 2015
SPUR – Service Provider Use Rights | Januar 2015