Active Directory Berechtigungen: Auslesen leicht gemacht!

In Zeiten immer neuer Ransomware-Angriffe und wachsender Insider Threats steigen auch die Anforderungen an die IT-Security. Je nach Branche fordern verschiedene Regularien wie der BSI-IT-Grundschutz, die KRITIS-Verordnung, MaRisk und BAIT (Finanzbranche) oder TISAX (Automobilbranche) zum Beispiel, dass jederzeit transparent nachvollziehbar sein muss, welche Mitarbeiter auf welchen Ressourcen berechtigt sind.

Microsoft^® hat für das Management der Berechtigungen am File Server ein Konzept entwickelt, das sich AGDLP-Prinzip nennt. Dieses Konzept ist die von Microsoft empfohlene Vorgehensweise, um eine rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Das Prinzip schreibt vor, dass

(A) Computer- und Benutzer-Accounts

(G) Mitglieder von globalen Gruppen sind, welche Geschäftsrollen darstellen.

(DL) Diese globalen Rollengruppen sind Mitglied von domänenlokalen Gruppen, welche zur Zugriffssteuerung verwaltet werden, und

(P) Berechtigungen auf einer bestimmten Ressource haben.

Will der Admin einer Person oder einer globalen (organisatorischen) Gruppe Zugriff auf das Verzeichnis ermöglichen, nimmt er diese also in die entsprechende Gruppe auf, anstatt sie direkt auf dem Verzeichnis zu berechtigen.

Die rollenbasierten Berechtigungsvergabe oder Role-Based Access Control dient als Kontrollmechanismus für den Zugriff auf sämtliche Ressourcen in einem Unternehmen bzw. einer Organisation. Die RBAC stellt sicher, dass die Vergabe der Zugriffsrechte nach dem Least-Privilege-Prinzip erfolgt: Jeder Mitarbeiter erhält ausschließlich jene Berechtigungen, die er für die Ausführung seiner Tätigkeit auch wirklich benötigt.

Auf den ersten Blick löst das AGDLP-Prinzip für das Berechtigungsmanagement am File Server gleich zwei Probleme:

(1) Wenn ein Benutzer gelöscht wird, bleiben keine verwaisten SIDs in der Access Control List (ACL) zurück.

(2) Um herauszufinden, wo ein Benutzer überall berechtigt ist, muss der Admin (theoretisch) nur in den “Active Directory^® Berechtigungen des Benutzers und Computer” nachsehen, weil die zugeordneten Gruppen (wie gesagt: theoretisch) Rückschlüsse auf berechtigte Verzeichnisse zulassen sollten.

In der Theorie kann das AGDLP-Prinzip als Active Directory Berechtigungskonzept funktionieren. Im IT-Admin-Alltag sieht das leider ganz anders aus. Das Problem liegt darin, dass der Admin das AGDLP-Prinzip manuell umsetzen und sicherstellen muss, dass es an allen relevanten Stellen konsequent und einheitlich angewendet wird. In Unternehmen mit wenigen Mitarbeitern mag dies machbar sein, sofern der Administrator gewissenhaft arbeitet.

In Unternehmen und Organisationen, in denen die Zugriffsrechte von hundert, mehreren Hundert oder noch mehr Benutzern am File Server verwaltet werden müssen, ist die händische Umsetzung jedoch nicht nur zeitaufwändig, sondern auch extrem fehleranfällig.

Das Fehlerpotenzial ist umso größer, je mehr Administratoren am Werk sind, und je mehr Standorte verwaltet werden müssen. Die Gefahr, dass nicht jeder Admin mit den exakt gleichen Benennungen arbeitet, ist in einem solchen Szenario extrem groß.

Das Reporting für Active Directory Berechtigungen und Zugriffsrechte am File Server ist ein weiteres Problem, das sich mit den von Microsoft^® bereitgestellten Tools nur sehr umständlich lösen lässt. Die Auflösung der effektiven Active Directory Ordner Berechtigungen ist zwar machbar, aber sehr zeitaufwändig. Um eine übersichtliche Darstellungsweise müssen Sie sich außerdem selbst bemühen, denn der Hersteller sieht hier kein Dashboard oder ähnliches vor.

Um Ordner-Berechtigungen auszulesen können Sie z.B. einen Befehl über Powershell verwenden (mehr Informationen über das Ordner-Berechtigungen auslesen via Powershell). Eine andere Möglichkeit bietet ein Microsoft-Tool namens AccessEnum, mit dem Sie die Berechtigungen eines Benutzers/einer Gruppe für Ordner oder Teile der Registry überprüfen können.

Das Tool zeigt nicht nur die aktuellen Rechte an, sondern listet auch auf, welche Rechte dem Benutzer verweigert wurden.

Die Informationen, die Sie mittels AccessEnum ausgespielt bekommen, sind deutlich detaillierter als die Einträge in der Access Control List. Allerdings ersetzt das Tool nicht die fehlende Verbindung zwischen den Berechtigungen auf den File Servern und jenen im Active Directory.

Während das Auslesen der Active Directory Ordner Berechtigungen zeitaufwändig, aber machbar ist, ist es NICHT möglich, die effektiven Berechtigungen eines Benutzers herauszufinden. Gleiches gilt für das Auslesen von Active Directory Gruppen Berechtigungen.

Viele Admins geben NTFS-Berechtigungen den Vorzug gegenüber Freigabeberechtigungen, weil sich die Zugriffe bei NTFS-Berechtigungen deutlich detaillierter einstellen lassen. Außerdem gelten sie sowohl bei lokalem Zugriff über den Rechner als auch bei nicht-lokalem Zugriff über das Netzwerk. (Mehr Informationen über die Unterschiede zwischen NTFS- und Freigabeberechtigungen.)

So praktisch NTFS-Berechtigungen auch sind, um die Zugriffe der Benutzer am File Server zu verwalten, so schwierig gestaltet sich das Auslesen beziehungsweise die Dokumentation von NTFS-Berechtigungen. Es existiert nämlich keine Vermittlungsinstanz zwischen dem File Server und dem Active Directory, die dem AD zum Beispiel “melden” würde, wenn ein Benutzer auf einem Ordner am File Server berechtigt wurde.

Die fehlende Verbindung zwischen AD und File Server ist der Grund dafür, dass Benutzer grundsätzlich nicht direkt, sondern immer über die Aufnahme in AD-Gruppen auf Objekten am File Server berechtigt werden sollten.

Wird ein Benutzer nämlich nicht über eine Gruppe, sondern direkt auf einem Verzeichnis berechtigt, erscheint diese Berechtigung NICHT im Active Directory. Löschen Sie den Benutzer mitsamt seiner Gruppenmitgliedschaften zu einem späteren Zeitpunkt aus dem AD, bleibt aufgrund der direkten Berechtigung am Verzeichnis also eine verwaiste SID zurück.

Als Admin können Sie viel Zeit und Nerven sparen, indem Sie NTFS-Berechtigungen von Anfang an korrekt setzen. Wir haben die 5 häufigsten Fehler und die Best Practices für das Setzen von NFTS-Berechtigungen in unserem Ratgeber für Sie zusammengefasst.

Sie wünschen sich eine ausführliche Anleitung für den Umgang mit Berechtigungen in Microsoft^® Umgebungen? Dann laden Sie unser kostenloses Best-Practices-Whitepaper herunter und stellen Sie sicher, dass das das AGDLP-Prinzip in Ihrem Unternehmen lückenlos angewendet wird. Falls Sie es mit sehr vielen Benutzern und/oder sehr komplexen internen Abläufen und Prozessen zu tun haben, sollten Sie jedoch darüber nachdenken, Ihre Berechtigungsverwaltung für AD und die File Server zu automatisieren.

Wir von tenfold sind der Meinung, dass Berechtigungsmanagement einfach sein muss. Deshalb haben wir eine Software für Identity und Access Management entwickelt, die ein unkompliziertes und voll automatisiertes Berechtigungsmanagement im Active Directory^® und am File Server ermöglicht.

Unsere Software ist tiefgreifend in die Microsoft-Infrastruktur integriert und garantiert eine automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen sowohl in Ihrem Unternehmensnetzwerk als auch in der Cloud (Microsoft 365).

Die Schnittstelle zu Active Directory ist ein integraler Bestandteil von tenfold. Sie können alle Attribute und Einstellungen im AD über eine intuitive Benutzeroberfläche ansprechen. Für die Umsetzung des AGDLP-Prinzips müssen der IT-Admin und die Benutzer aus den Geschäftsbereichen lediglich die gewünschte Berechtigungsstufe einstellen und tenfold realisiert die AGDLP-konforme Zugriffssteuerung in der Domain zu 100 Prozent automatisiert.

tenfold ermöglicht nicht nur die zentrale Verwaltung der Berechtigungen, sondern auch das Reporting ist in tenfold zentralisiert. Das bedeutet z.B., dass Sie mit nur einem Klick auf Ihrer Benutzeroberfläche sämtliche Active Directory Berechtigungen (inklusive AD Gruppen Berechtigungen und AD Ordner Berechtigungen) auslesen können. Die Software

tenfold stellt die fehlende Verbindung zwischen den Berechtigungen am File Server mit den Strukturen im AD her. Das bedeutet, dass die tenfold Benutzeroberfläche Ihnen nicht nur auf Knopfdruck sämtliche Berechtigungen im Active Directory anzeigt, sondern auch die Zugriffsrechte am Fileserver, sowie jene für Exchange und Sharepoint.

tenfold dokumentiert jede Änderung, die an Benutzern und/oder Berechtigungen vorgenommen wird, zuverlässig und absolut transparent. Das bedeutet, dass Sie kein zusätzliches Tool benötigen, das Ihnen einen Report über die NTFS Berechtigungen zusammenstellt, sondern sich die aktuelle Berechtigungssituation im NTFS auf Knopfdruck anschauen und als übersichtlichen Report ausgeben lassen können.

tenfold unterstützt Sie nicht nur im Berechtigungsmanagement für AD und Fileserver. Die tenfold Anwendungsintegration versetzt Sie in die Lage, Berechtigungen vollautomatisch und quer durch alle Systeme (u.a. SAP, Exchange (Online) und Azure AD) zu erteilen. Der Schlüssel zum Erfolg ist die Berechtigungsvergabe über Rollen.

Bei der Role-Based Access Control werden die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft. Aus dieser Verknüpfung entstehen verschiedene Rollen (allgemein als Geschäftsrollen bezeichnet) mit ihren jeweiligen Standardberechtigungen.

Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch sicher, weil sie es der Software ermöglicht, Standardrechte automatisch zuzuteilen, aber auch automatisch zu entfernen, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern. Wir sprechen in diesem Zusammenhang von User Lifeycycle Management.

Die Integration von tenfold ist auch ein zuverlässiger Weg, um die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherzustellen. Hierzu zählen neben der EU-DSGVO, KRITIS, ISO 27001 und PCI DSS auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk und TISAX in Deutschland oder HIPAA in den USA). Besonders wichtig ist die Compliance in Bezug auf die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Vorschriften des BSI-IT-Grundschutzes.

tenfold ist Next Generation Access Management. Wir verfolgen einen pragmatischen Ansatz, der Komplexität in Benutzerfreundlichkeit übersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.