Warum Sie sich bei Active Directory® Berechtigungen nicht mit den falschen Tools herumärgern sollten

Active Directory® Berechtigungen – Soweit die Theorie

Welcher Administrator kennt es nicht? Das allgegenwärtige Problem mit den Berechtigungen auf NTFS-Freigaben / Active Directory® Berechtigungen? IT Security bekommt einen immer höheren Stellenwert. Damit wächst auch die Bedeutung für das Berechtigungsmanagement auf den File Servern. Microsoft® hat ein grundlegendes Konzept entwickelt, nachdem man das Management der File Server organisieren sollte – das AGDLP-Prinzip (Wikipedia). Dieses schreibt im Wesentlichen vor, dass je Verzeichnis und Berechtigung eine lokale Sicherheitsgruppe anzulegen ist. Diese soll den Zugriff auf das Verzeichnis steuern. Um einer Person oder einer globalen (organisatorischen) Gruppe Zugriff auf das Verzeichnis zu ermöglichen, werden diese in die entsprechende Gruppe aufgenommen, statt direkt auf dem Verzeichnis berechtigt zu werden.Active Directory® Berechtigungen tenfold

Rein oberflächlich betrachtet…

löst diese von Microsoft® vorgeschriebene Vorgehensweise für das Berechtigungsmanagement gleich zwei Probleme: Wenn ein Benutzer gelöscht wird, bleiben keine verwaisten SIDs auf dem Verzeichnis zurück. Und wenn man herausfinden möchte, wo der Benutzer überall berechtigt ist, sollte ein entsprechender Blick in die „Active Directory® Berechtigungen des Benutzers und Computer“ genügen. Dies deshalb, weil die zugeordneten Gruppen entsprechende Rückschlüsse auf berechtigte Verzeichnisse zulassen sollten.

Verwaltungskonsole, wo bist Du?

Die Realität stellt sich leider anders dar. Die manuelle Verwaltung der Strukturen für das Berechtigungsmanagement ist, wenn man es im Alltag betrachtet, ganz einfach viel zu sperrig. Viel zu viel manueller Aufwand, großes Fehlerpotential und eine sehr realistische Gefahr, dass das Prinzip nicht einheitlich durchgesetzt wird. Das gilt insbesonders dann, wenn mehrere Administratoren oder gar mehrere Standorte am Werk sind. Eine Verwaltungskonsole mit der man – state of the art – den gewünschte Zugriff für einen User einfach per Drag & Drop vergeben kann, sucht man vergebens.

Reporting gibt’s eigentlich nicht. Klingt komisch, ist aber so.

Mit der administrativen Verwaltung nicht genug, stellt das Berechtigungsmanagement auf den File Servern den Administrator auch im Bereich Reporting vor große Herausforderungen. Erschreckend mager ist der Leistungsumfang der mitgelieferten Tools, so viel steht fest. Die Auflösung der effektiven Berechtigungen auf einem Ordner ist machbar, sofern man entsprechend viel Zeit dafür vorsieht. Darüber hinaus muss man sich selbst um eine übersichtliche Darstellung bemühen. Umgekehrt ist die Auflösung der effektiven Berechtigungen eines Benutzers oder einer Gruppe realistisch nicht machbar. Es fehlt an einer Instanz, die über die Berechtigungen (ACL im NTFS) auf den File Servern und die Zusammenhänge im Active Directory® Bescheid weiß. Somit gibt es auch keine Möglichkeit, diese Daten zu verknüpfen und verständlich darzustellen.

Active Directory® Berechtigungen – Das muss doch auch einfacher gehen, oder?

Diese Frage haben sich auch unsere Kunden gestellt. Das hat dazu geführt, dass sich unsere Produktentwicklung intensiv damit beschäftigt hat, wie man das Berechtigungsmanagement im Active Directory® und speziell für File Server im Rahmen von tenfold vereinfachen kann. Das Resultat waren revolutionäre Funktionen für tenfold. Sowohl die administrative Komponente (automatisches Gruppenmanagement, Berechtigungsvergabe per Drag & Drop, Workflows und Dateneigentümer) als auch das Reporting (effektive Berechtigungsanzeige für Ordner und Benutzer, Anzeige der Berechtigungspfade und vieles mehr) werden damit auf ein neues Level gehoben.
Auf unserer Website www.tenfold-security.com erfahren Sie, wie Sie mit unserer IT Security Lösung tenfold unkompliziert zu sauberen Strukturen und einfacheren Abläufen im Berechtigungsmanagement finden. Darüber hinaus bietet tenfold Funktionen für die Verwaltung des gesamten User Life Cycle (Identity & Access Management).

Interessiert?

Wenn auch Sie vor ähnlichen Problemen im Management Ihrer File Server, Active Directory® Berechtigungen oder im Berechtigungsmanagement für Ihre Anwendungen stehen, und wenn Ihnen die IT-Security Ihres Unternehmens am Herzen liegt, dann kontaktieren Sie uns. Ein Mitarbeiter aus dem Vertrieb wird Sie umgehend und unverbindlich beraten.

By |2018-04-23T12:24:50+00:0006 / 05 / 2016|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist Senior Manager Channel Sales beim Software-Hersteller tenfold. Er gilt als Visionär im Bereich Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Unzählige Kundenprojekte und entsprechende Marktkenntnis in der IT-Security zeichnen den diplomierten IT-Profi aus. Er war maßgebend an der Entstehung des Standard-Software-Produkts tenfold beteiligt. // Helmut Semmelmayer is Senior Channel Sales Manager at tenfold. He is considered a visionary in the fields of user and permission management and identity and access management. The certified IT expert looks back at countless client projects and has extensive knowledge of the IT security market. He was significantly involved in the development of the standard software product tenfold.