Benutzerverwaltung, User Management

Wer ist wer im Unternehmen und wer hat auf welche Ressourcen Zugriff? Zwei Fragen, die ein Administrator beantworten können muss. Der Admin ist in Sachen Benutzerverwaltung der zentrale Dreh- und Angelpunkt: Er richtet Benutzerkonten und Benutzerkennung ein.

Außerdem sorgt er dafür, dass alle Mitarbeiter die korrekten Zugriffsberechtigungen für benötigte Systeme und Anwendungen haben. Wir schauen uns an, was alles zur Benutzerverwaltung gehört, und welche Schwierigkeiten durch händische Administration entstehen können.

Inhalte (verbergen)

Benutzerverwaltung – was ist das?

Unter Benutzerverwaltung, auch Benutzermanagement oder User Management genannt, versteht man verschiedene Tätigkeiten, die die Verwaltung der Benutzer sämtlicher Systeme und Anwendungen in einem Unternehmen oder einer Organisation betreffen. In der Regel ist der Administrator derjenige, der diese Tätigkeiten ausführt und/oder sie koordiniert. Eine effiziente Benutzerverwaltung leistet folgendes:

  • Schutz von IT-Systemen und Daten vor unbefugten Zugriffen (sowohl intern als auch extern)

  • eindeutige Identifizierung jedes Benutzers (z.B. über eine Kombination von Benutzernamen und Passwort)

  • Zurücksetzen des Passworts bei Bedarf

  • Vergabe von Zugriffsberechtigungen auf Systeme, Services und Anwendungen

  • Rechtzeitiges Sperren oder Löschen von Konten und Berechtigungen, wenn diese nicht mehr benötigt werden (z.B. bei Austritt aus dem Unternehmen)

Lokale und externe Benutzerverwaltung

Es gibt zwei Möglichkeiten, wie der Admin Benutzer verwalten kann: lokal (intern) und extern. Beim lokalen Benutzermanagement legt der Administrator die User direkt im jeweiligen System an.  Bei der externen Benutzerverwaltung sind die verschiedenen Systeme und Anwendungen an einen externen Server angebunden, wo die Benutzer zentral verwaltet werden.

Interne Benutzerverwaltung

Beim internen bzw. lokalen Benutzermanagement werden die Zugriffsdaten (z.B. Benutzername und Passwort) verschlüsselt in der internen Datenbank des Systems oder der Anwendung abgelegt und sind auch ausschließlich dafür gültig.

Arbeitet ein Unternehmen mit interner Benutzerverwaltung, muss der Admin einen neuen Mitarbeiter beispielsweise einzeln im Active Directory, in Exchange und in SAP anlegen. Ändern sich  die Stammdaten des Benutzers, muss auch diese Änderung in jedem der Verzeichnisse einzeln durchgeführt werden.

Benutzerverwaltung für das Onboarding

Erschwerte Dokumentation

Die interne Benutzerverwaltung verursacht einen hohen administrativen Aufwand. Darüber hinaus kann sie aber auch im Hinblick auf Compliance-Richtlinien problematisch sein, da sie kein zentrales Reporting unterstützt. So ist das Auslesen von Berechtigungen in Microsoft Exchange z.B. nur mithilfe eines zusätzlichen Portals, der Exchange Verwaltungskonsole oder der PowerShell, möglich.

Das Reporting mithilfe dieser Boardmittel ist jedoch nicht nur kompliziert und zeitaufwändig, sondern häufig auch nicht umfassend genug. Warum das so ist, erfahren Sie im Artikel Exchange Postfach Berechtigungen auslesen.

Externe Benutzerverwaltung

Bei der externen Benutzerverwaltung muss der Administrator nicht in jedes System einzeln einsteigen, sondern er kann die Benutzer zentral auf einem externen Verzeichnisserver verwalten. Die Anbindung der einzelnen Systeme und Anwendungen erfolgt häufig über ein Lightweight Directory Access Protocol (LDAP). Dabei handelt es sich um ein Netzwerkprotokoll zur Durchführung von Abfragen und Änderungen in einem verteilten Verzeichnisdienst. Eine andere Anbindungsmöglichkeit besteht über eine API (Application Programming Interface).

Benutzerverwaltung über Gruppen

Einer der wichtigsten Aspekte der Benutzerverwaltung ist das Management von Zugriffsberechtigungen. Ein optimales User Management funktioniert nach dem Least-Privilege-Prinzip. Nach diesem Prinzip muss ein Mitarbeiter zu jedem Zeitpunkt seines User Lifecycles exakt über jene Berechtigungen verfügen, die er benötigt, um seine Arbeit zu machen. Überflüssige und/oder veraltete Berechtigungen dürfen nach diesem Prinzip nicht existieren.

Damit der Admin die Berechtigungen für einen neuen Mitarbeiter nicht jeweils individuell zuweisen muss, arbeitet er in der Regel mit einer Gruppenstruktur. Das bedeutet, dass er verschiedene Gruppen mit unterschiedlichen Zugriffsrechten anlegt und die einzelnen Benutzer dann diesen Gruppen zuordnet. Das spart zwar Zeit, kann aber relativ schnell in einer unübersichtlichen Berechtigungsstruktur enden.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Vorsicht bei der Verwendung von Gruppen

Benutzerverwaltung mithilfe von Gruppen kann gut funktionieren. Microsoft macht im Active Directory beispielsweise vor, wie man die Struktur eines Netzwerks mit sämtlichen angeschlossenen Geräten mithilfe von Gruppen und Rollen der Struktur des Unternehmens nachbilden kann. Das Best Practice, von dem wir hier sprechen, ist das AGDLP-Prinzip.

Das Problem ist nur, dass dieses Prinzip an allen relevanten Stellen und konsequent immer auf die gleiche Weise angewendet muss. Anderenfalls funktioniert es nicht.


Lassen Sie uns dies am Beispiel von NTFS-Berechtigungen verdeutlichen. NTFS Berechtigungen steuern den Zugriff auf Verzeichnisse in Microsoft-Umgebungen. Um einem Mitarbeiter Ressourcen freizugeben, macht der Admin ihn zum Mitglied einer bestimmten Berechtigungsgruppe. Sofern alles korrekt läuft, wird dieser Berechtigungseintrag anschließend im Benutzerkonto des Mitarbeiters im Active Directory angezeigt.

An diesem Punkt können aber schon erste Fehler passieren. Der Admin könnte den User z.B. nicht über eine Gruppenmitgliedschaft, sondern direkt auf dem Verzeichnis berechtigen, wodurch der Eintrag anschließend nicht im AD-Benutzerkonto aufscheint. Andere häufige Fehler sind die Verwendung einer Organisationsgruppe als Berechtigungsgruppe und die mehrfache Verwendung einer Berechtigungsgruppe.

Manuelle Benutzerverwaltung gefährdet Datenschutz

Das Management von Berechtigungen ist ohne entsprechende Software selbst für sehr disziplinierte IT-Administratoren eine echte Herausforderung. Fragen, auf die es in jedem Unternehmen eine eindeutige Antwort geben muss, sind etwa:

  • Welcher Benutzer hat zu welchem Zeitpunkt auf welche Daten Zugriff?

  • Was passiert mit Rechten, wenn ein Mitarbeiter die Abteilung wechselt oder das Unternehmen verlässt?

  • Wer trägt die Verantwortung über die Rollen- und Rechtevergabe?

  • Werden Veränderungen im Mitarbeiterstand rechtzeitig kommuniziert, um die Sicherheit der Daten zu gewährleisten?


Bleiben Fragen wie diese unbeantwortet, entstehen Sicherheitslücken. Und diese öffnen nicht nur Tür und Tor für internen Datenmissbrauch, sondern machen Ihr Unternehmen auch verwundbar für Angriffe mit Mal- und Ransomware. Darüber hinaus ist ein Compliance-gerechtes Reporting bei manueller Benutzerverwaltung nur mit enormem zeitlichem und personellem Aufwand zu bewerkstelligen.

Benutzerverwaltung automatisieren

Für den Administrator besteht die Benutzerverwaltung aus einer Vielzahl von sich wiederholenden Tätigkeiten. Und wie wir gesehen haben, müssen diese Tätigkeiten jedes Mal auf die exakt gleiche Art und Weise ausgeführt werden, damit die Prozesse optimal funktionieren. Darin liegt einerseits die Herausforderung dieser Aufgabe, zugleich aber auch der Schlüssel zu ihrer Bewältigung.

Da die Vorgänge innerhalb der Benutzerverwaltung sich gut standardisieren lassen, ist es auch möglich, sie zu automatisieren. Und das ist es, was eine Software für Berechtigungsmanagement bzw. eine IAM-Software leistet.

Automatisierte Benutzerverwaltung mit tenfold

tenfold ist eine Software, die ein systemübergreifendes Benutzermanagement inkl. Rechteverwaltung ermöglicht und perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst ist. Die Software unterstützt die Anbindung von mehr als 60 Drittanbieter-Systemen, darunter Exchange, IBM Notes, Sharepoint, Dynamics NAV und HR-Systeme.

Mit tenfold können Sie den kompletten Lebenszyklus eines Mitarbeiters abbilden: vom Einstieg über den Abteilungswechsel bis hin zum Austritt. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehören. Anschließend teilt die Software die Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.

Ändert sich der Status eines Mitarbeiters (z.B. aufgrund eines Abteilungswechsels), passt die Software die Rechte und Rollen automatisch an. Tritt ein Mitarbeiter aus dem Unternehmen aus, löscht tenfold sämtliche Konten und Zugangsrechte.

Automatische Dokumentation

Sämtliche Vorgänge im tenfold Benutzermanagement werden automatisch dokumentiert und revisionssicher abgelegt. Dies gilt sowohl für die Zuteilung der Standardrechte als auch für sämtliche Vorgänge im integrierten Self-Service. Hier können die Mitarbeiter über eine anwenderfreundliche Oberfläche selbst Zugriffsberechtigung anfordern.

Die Kontrolle der Zugriffe erfolgt über Genehmigungsworkflows und die automatische Provisionierung entlastet die IT. Darüber hinaus sorgt ein geregelter Rezertifizierungs-Prozess dafür, dass die Data Owner der jeweiligen Fachabteilung sämtliche Berechtigungen, für die sie verantwortlich sind, in fix definierten Abständen überprüfen und entweder bestätigen oder entfernen müssen.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
Webinar Anmeldung Icon

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden