Beitragsbild eines Artikels darüber, wie man Active Directory Berechtigungen auslesen kann.

Microsoft® Windows ist aus keiner IT-Abteilung wegzudenken. Das ist umso erstaunlicher, weil die Berechtigungsverwaltung im Active Directory, auf Fileservern und NTFS-Freigaben mit Microsoft-Mitteln nicht nur sehr aufwändig, sondern auch fehleranfällig ist. Wie schauen uns an, wie das AGDLP-Prinzip für Active Directory Berechtigungen funktioniert, und mit welchem Tool das Ganze deutlich einfacher, schneller und vor allem sicherer gelingt.

Inhalte (verbergen)

Active Directory Berechtigungen verwalten

In Zeiten brillanter Hacker und wachsender Insider Threats steigen auch die Anforderungen an die IT-Security. Je nach Branche fordern verschiedene Regularien wie der BSI-IT-Grundschutz, die KRITIS-Verordnung MaRisk/BAIT (Finanzbranche) oder TISAX (Automobilbranche) zum Beispiel, dass jederzeit transparent nachvollziehbar sein muss, welche Mitarbeiter auf welchen Ressourcen berechtigt sind.

Das Problem: Microsoft stellt kein Reporting-Tool zur Verfügung, um die Berechtigungsstrukturen übersichtlich darzustellen. Es ist also nicht möglich, auf einen Blick zu sehen, wer im Unternehmen Zugang zu kritischen Daten hat.

AD Berechtigungen aufbauen nach AGDLP

Microsoft® hat für das Management der Berechtigungen am File Server ein Konzept entwickelt, das sich AGDLP-Prinzip nennt. Dieses Konzept ist die von Microsoft empfohlene Vorgehensweise, um eine rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Das Prinzip schreibt vor, dass

(A) Computer- und Benutzer-Accounts

(G) Mitglieder von globalen Gruppen sind, welche Geschäftsrollen darstellen.

(DL) Diese globalen Rollengruppen sind Mitglied von domänenlokalen Gruppen, welche zur Zugriffssteuerung verwaltet werden, und

(P) Berechtigungen auf einer bestimmten Ressource haben.

Will der Admin einer Person oder einer globalen (organisatorischen) Gruppe Zugriff auf das Verzeichnis ermöglichen, nimmt er diese also in die entsprechende Gruppe auf, anstatt sie direkt auf dem Verzeichnis zu berechtigen.

Was ist rollenbasierte Zugriffssteuerung (RBAC)?

Die  rollenbasierten Berechtigungsvergabe oder Role-Based Access Control dient als Kontrollmechanismus für den Zugriff auf sämtliche Ressourcen in einem Unternehmen bzw. einer Organisation. Die RBAC stellt sicher, dass die Vergabe der Zugriffsrechte nach dem Least-Privilege-Prinzip erfolgt: Jeder Mitarbeiter erhält ausschließlich jene Berechtigungen, die er für die Ausführung seiner Tätigkeit auch wirklich benötigt.

Funktioniert AGDLP als AD Berechtigungskonzept?

Auf den ersten Blick löst das AGDLP-Prinzip für das Berechtigungsmanagement am File Server gleich zwei Probleme:

(1) Wenn ein Benutzer gelöscht wird, bleiben keine verwaisten SIDs auf dem Verzeichnis zurück.

(2) Um herauszufinden, wo ein Benutzer überall berechtigt ist, muss der Admin (theoretisch) nur in den “Active Directory® Berechtigungen des Benutzers und Computer” nachsehen, weil die zugeordneten Gruppen (wie gesagt: theoretisch) Rückschlüsse auf berechtigte Verzeichnisse zulassen sollten.

Zu viel Aufwand, zu hohes Fehlerpotenzial

In der Theorie kann das AGDLP-Prinzip als Active Directory Berechtigungskonzept funktionieren. Im IT-Admin-Alltag sieht das leider ganz anders aus. Das Problem liegt darin, dass der Admin das AGDLP-Prinzip manuell umsetzen und sicherstellen muss, dass es an allen relevanten Stellen konsequent und einheitlich angewendet wird. In Unternehmen mit wenigen Mitarbeitern mag dies machbar sein, sofern der Administrator gewissenhaft arbeitet.

In Unternehmen und Organisationen, in denen die Zugriffsrechte von hundert, mehreren Hundert oder noch mehr Benutzern am File Server verwaltet werden müssen, ist die händische Umsetzung jedoch nicht nur zeitaufwändig, sondern auch extrem fehleranfällig.

Das Fehlerpotenzial ist umso größer, je mehr Administratoren am Werk sind, und je mehr Standorte verwaltet werden müssen. Die Gefahr, dass nicht jeder Admin mit den exakt gleichen Benennungen arbeitet, ist in einem solchen Szenario extrem groß.

Eine State-of-the-art Verwaltungskonsole, mit der man den gewünschte Zugriff für einen User einfach per Drag & Drop vergeben kann, suchen Sie bei Microsoft® bislang leider vergebens.

Active Directory Berechtigungen auslesen

Das Reporting für Active Directory Berechtigungen und Zugriffsrechte am File Server ist ein weiteres Problem, das sich mit den von Microsoft® bereitgestellten Tools kaum lösen lässt. Die Auflösung der effektiven Active Directory Ordner Berechtigungen ist zwar machbar, aber sehr zeitaufwändig. Um eine übersichtliche Darstellungsweise müssen Sie sich außerdem selbst bemühen, denn der Hersteller sieht hier kein Dashboard oder ähnliches vor.

Während das Auslesen der Active Directory Ordner Berechtigungen zeitaufwändig, aber machbar ist, ist es NICHT möglich, die effektiven Berechtigungen eines Benutzers herauszufinden. Gleiches gilt für das Auslesen von Active Directory Gruppen Berechtigungen.

Was fehlt, ist eine Instanz, die eine Verbindung herstellt zwischen den Berechtigungen (Access Control List im NTFS) auf den File Servern und jenen im Active Directory. Es gibt keine Möglichkeit, diese Daten zu verknüpfen und verständlich darzustellen.

NTFS Berechtigungen auslesen und dokumentieren

Viele Admins geben NTFS-Berechtigungen den Vorzug gegenüber Freigabeberechtigungen, weil sich die Zugriffe bei NTFS-Berechtigungen deutlich detaillierter einstellen lassen. Außerdem gelten sie sowohl bei lokalem Zugriff über den Rechner als auch bei nicht-lokalem Zugriff über das Netzwerk. (Mehr Informationen über die Unterschiede zwischen NTFS- und Freigabeberechtigungen.)

So praktisch NTFS-Berechtigungen auch sind, um die Zugriffe der Benutzer am File Server zu verwalten, so schwierig gestaltet sich Auslesen beziehungsweise die Dokumentation von NTFS-Berechtigungen. Es existiert nämlich keine Vermittlungsinstanz zwischen dem File Server und dem Active Directory, die dem AD zum Beispiel “melden” würde, wenn ein Benutzer auf einem Ordner am File Server berechtigt wurde.

Fehlende Verbindung zwischen AD und File Server

Die fehlende Verbindung zwischen AD und File Server ist der Grund dafür, dass Benutzer grundsätzlich nicht direkt, sondern immer über die Aufnahme in AD- Gruppen auf Objekten am File Server berechtigt werden sollten.

Wird ein Benutzer nämlich nicht über eine Gruppe, sondern direkt auf einem Verzeichnis berechtigt, erscheint diese Berechtigung NICHT im Active Directory. Löschen Sie den Benutzer mitsamt seiner Gruppenmitgliedschaften zu einem späteren Zeitpunkt aus dem AD, bleibt aufgrund der direkten Berechtigung am Verzeichnis also eine verwaiste SID zurück.

NTFS Rechte richtig setzen und leichter auslesen

Als Admin können Sie viel Zeit und Nerven sparen, indem Sie NTFS-Berechtigungen von Anfang an korrekt setzen. Wir haben die 5 häufigsten Fehler und die Best Practices für das Setzen von NFTS-Berechtigungen in unserem Ratgeber für Sie zusammengefasst.

AGDLP Microsoft Best Practice

Sie wünschen sich eine ausführliche Anleitung für den Umgang mit Berechtigungen in Microsoft® Umgebungen? Dann laden Sie unser kostenloses Best-Practices-Whitepaper herunter und stellen Sie sicher, dass das das AGDLP-Prinzip in Ihrem Unternehmen lückenlos angewendet wird. Falls Sie es mit sehr vielen Benutzern und/oder sehr komplexen internen Abläufen und Prozessen zu tun haben, sollten Sie jedoch darüber nachdenken, Ihre Berechtigungsverwaltung für AD und die File Server zu automatisieren.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Active Directory Berechtigungen managen mit tenfold

Wir von tenfold sind der Meinung, dass Berechtigungsmanagement einfach sein muss. Deshalb haben wir eine Software für Identity und Access Management entwickelt, die ein unkompliziertes und voll automatisiertes Berechtigungsmanagement im Active Directory® und am File Server ermöglicht.

Unsere Software ist tiefgreifend in die Microsoft-Infrastruktur integriert und garantiert eine automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen sowohl in Ihrem Unternehmensnetzwerk als auch in der Cloud (Microsoft 365).

tenfold setzt AGDLP-Prinzip um

Die Schnittstelle zu Active Directory ist ein integraler Bestandteil von tenfold. Sie können alle Attribute und Einstellungen im AD über eine intuitive Benutzeroberfläche ansprechen. Für die Umsetzung des AGDLP-Prinzips müssen der IT-Admin und die Benutzer aus den Geschäftsbereichen lediglich die gewünschte Berechtigungsstufe einstellen und tenfold realisiert die AGDLP-konforme Zugriffssteuerung in der Domain zu 100 Prozent automatisiert.

Beitragsbild eines Artikels darüber, wie man Active Directory Berechtigungen auslesen kann.

Active Directory Berechtigungen auslesen leicht gemacht

tenfold ermöglicht nicht nur die zentrale Verwaltung der Berechtigungen, sondern auch das Reporting ist in tenfold zentralisiert. Das bedeutet z.B., dass Sie mit nur einem Klick auf Ihrer Benutzeroberfläche sämtliche Active Directory Berechtigungen (inklusive AD Gruppen Berechtigungen und AD Ordner Berechtigungen) auslesen können. Die Software

  • extrahiert die Daten vom Fileserver und dem Active Directory,

  • löst verschachtelte Strukturen eigenständig auf,

  • filtert irrelevante Informationen heraus und

  • erstellt eine Übersicht über die effektiven Berechtigungen (auf Wunsch inkl. historischer Daten).

NTFS Berechtigungen dokumentieren

tenfold stellt die fehlende Verbindung zwischen den Berechtigungen am File Server mit den Strukturen im AD her. Das bedeutet, dass die tenfold Benutzeroberfläche Ihnen nicht nur auf Knopfdruck sämtliche Berechtigungen im Active Directory anzeigt, sondern auch die Zugriffsrechte am Fileserver, sowie jene für Exchange und Sharepoint. Darüber hinaus dokumentiert die Software jede Änderung, die an Benutzern und/oder Berechtigungen vorgenommen wird, zuverlässig und absolut transparent.

Mehr Effizienz durch Automatisierung

tenfold unterstützt Sie nicht nur im Berechtigungsmanagement für AD und Fileserver. Die tenfold Anwendungsintegration versetzt Sie in die Lage, Berechtigungen vollautomatisch und quer durch alle Systeme (u.a. SAP, Exchange (Online) und Azure AD) zu erteilen. Der Schlüssel zum Erfolg ist die Berechtigungsvergabe über Rollen.

Bei der Role-Based Access Control werden die Ressourcen und Berechtigungen aus unterschiedlichen Zielsystemen gruppiert und mit der jeweiligen Organisationseinheit verknüpft. Aus dieser Verknüpfung entstehen verschiedene Rollen (allgemein als Geschäftsrollen bezeichnet) mit ihren jeweiligen Standardberechtigungen.

Diese Art der Benutzerverwaltung ist sowohl zeitsparend als auch sicher, weil sie es der Software ermöglicht, Standardrechte automatisch zuzuteilen, aber auch automatisch zu entfernen, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern. Wir sprechen in diesem Zusammenhang von User Lifeycycle Management.

Beitragsbild eines Artikels darüber, wie man Active Directory Berechtigungen auslesen kann.

Compliance garantieren

Die Integration von tenfold ist auch ein zuverlässiger Weg, um die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherzustellen. Hierzu zählen neben der EU-DSGVO, KRITISISO 27001 und PCI-DSS auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk und TISAX in Deutschland und HIPAA in den USA). Besonders wichtig ist die Compliance in Bezug auf die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Vorschriften des BSI-IT-Grundschutzes.

Warum tenfold?

tenfold ist Next Generation Access Management. Wir verfolgen einen pragmatischen Ansatz, der Komplexität in Benutzerfreundlichkeit übersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!