Benutzerverwaltung 1ร1 fรผr Admins: Benutzer und Rechte zentral verwalten
Wer ist werย im Unternehmen und wer hat aufย welche Ressourcenย Zugriff? Zwei Fragen, die einย Administratorย beantworten kรถnnen muss. Der Admin ist in Sachen Benutzerverwaltung der zentrale Dreh- und Angelpunkt: Er richtet Benutzerkonten und Benutzerkennungย ein. Auรerdem sorgt er dafรผr, dass alle Mitarbeiter dieย korrekten Zugriffsberechtigungenย fรผr benรถtigte Systeme und Anwendungen haben.ย Wir schauen uns an, was alles zur Benutzerverwaltung gehรถrt, undย welche Schwierigkeitenย durchย hรคndische Administration entstehen kรถnnen.
Benutzerverwaltung โ was ist das?
Unter Benutzerverwaltung, auch Benutzermanagement oder User Management genannt, versteht man verschiedene Tรคtigkeiten, die die Verwaltung der Benutzer sรคmtlicher Systeme und Anwendungen in einem Unternehmen oder einer Organisation betreffen. In der Regel ist der Administrator derjenige, der diese Tรคtigkeiten ausfรผhrt und/oder sie koordiniert. Eine effiziente Benutzerverwaltung leistet folgendes:
Schutz von IT-Systemen und Daten vor unbefugten Zugriffen (sowohl intern als auch extern)
eindeutige Identifizierung jedes Benutzers (z.B. รผber eine Kombination von Benutzernamen und Passwort)
Zurรผcksetzen des Passworts bei Bedarf
Vergabe von Zugriffsberechtigungen auf Systeme, Services und Anwendungen
Rechtzeitiges Sperren oder Lรถschen von Konten und Berechtigungen, wenn diese nicht mehr benรถtigt werden (z.B. bei Austritt aus dem Unternehmen)
Lokale und externe Benutzerverwaltung
Es gibt zwei Mรถglichkeiten, wie der Admin Benutzer verwalten kann: lokal (intern) und extern. Beim lokalen Benutzermanagement legt der Administrator die User direkt im jeweiligen System an. Bei der externen Benutzerverwaltung sind die verschiedenen Systeme und Anwendungen an einen externen Server angebunden, wo die Benutzer zentral verwaltet werden.
Interne Benutzerverwaltung
Beim internen bzw. lokalen Benutzermanagement werden die Zugriffsdaten (z.B. Benutzername und Passwort) verschlรผsselt in der internen Datenbank des Systems oder der Anwendung abgelegt und sind auch ausschlieรlich dafรผr gรผltig.
Arbeitet ein Unternehmen mit interner Benutzerverwaltung, muss der Admin einen neuen Mitarbeiter beispielsweise einzeln im Active Directory, in Exchange und in SAP anlegen. รndern sich die Stammdaten des Benutzers, muss auch diese รnderung in jedem der Verzeichnisse einzeln durchgefรผhrt werden.
Erschwerte Dokumentation
Die interne Benutzerverwaltung verursacht einen hohen administrativen Aufwand. Darรผber hinaus kann sie aber auch im Hinblick auf Compliance-Richtlinien problematisch sein, da Windows-Umgebungen standardmรครig kein zentrales Reporting unterstรผtzen. So ist das Auslesen von Berechtigungen in Microsoft Exchange z.B. nur mithilfe eines zusรคtzlichen Portals, der Exchange Verwaltungskonsole oder der PowerShell, mรถglich.
Das Reporting mithilfe dieser Boardmittel ist jedoch nicht nur kompliziert und zeitaufwรคndig, sondern hรคufig auch nicht umfassend genug. Warum das so ist, erfahren Sie im Artikel Exchange Postfach Berechtigungen auslesen.
Externe Benutzerverwaltung
Bei der externen Benutzerverwaltung muss der Administrator nicht in jedes System einzeln einsteigen, sondern er kann die Benutzer zentral auf einem externen Verzeichnisserver verwalten. Die Anbindung der einzelnen Systeme und Anwendungen erfolgt hรคufig รผber ein Lightweight Directory Access Protocol (LDAP).
Dabei handelt es sich um ein Netzwerkprotokoll zur Durchfรผhrung von Abfragen und รnderungen in einem verteilten Verzeichnisdienst. Eine andere Anbindungsmรถglichkeit besteht รผber eine API (Application Programming Interface).
Benutzerverwaltung รผber Gruppen
Einer der wichtigsten Aspekte der Benutzerverwaltung ist das Management von Zugriffsberechtigungen. Ein optimales User Management funktioniert nach dem Least-Privilege-Prinzip. Nach diesem Prinzip muss ein Mitarbeiter zu jedem Zeitpunkt seines User Lifecycles exakt รผber jene Berechtigungen verfรผgen, die er benรถtigt, um seine Arbeit zu machen. รberflรผssige und/oder veraltete Berechtigungen dรผrfen nach diesem Prinzip nicht existieren.
Damit der Admin die Berechtigungen fรผr einen neuen Mitarbeiter nicht jeweils individuell zuweisen muss, arbeitet er in der Regel mit einer Gruppenstruktur. Das bedeutet, dass er verschiedene Gruppen mit unterschiedlichen Zugriffsrechten anlegt und die einzelnen Benutzer dann diesen Gruppen zuordnet. Das spart zwar Zeit, kann aber relativ schnell in einer unรผbersichtlichen Berechtigungsstruktur enden.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Vorsicht bei der Verwendung von Gruppen
Benutzerverwaltung mithilfe von Gruppen kann gut funktionieren. Microsoft macht im Active Directory beispielsweise vor, wie man die Struktur eines Netzwerks mit sรคmtlichen angeschlossenen Gerรคten mithilfe von Gruppen und Rollen der Struktur des Unternehmens nachbilden kann. Das Best Practice, von dem wir hier sprechen, ist das AGDLP-Prinzip.
Das Problem ist nur, dass dieses Prinzip an allen relevanten Stellen und konsequent immer auf die gleiche Weise angewendet muss. Anderenfalls funktioniert es nicht.
Lassen Sie uns dies am Beispiel von NTFS-Berechtigungen verdeutlichen. NTFS Berechtigungen steuern den Zugriff auf Verzeichnisse in Microsoft-Umgebungen. Um einem Mitarbeiter Ressourcen freizugeben, macht der Admin ihn zum Mitglied einer bestimmten Berechtigungsgruppe. Sofern alles korrekt lรคuft, wird dieser Berechtigungseintrag anschlieรend im Benutzerkonto des Mitarbeiters im Active Directory angezeigt.
An diesem Punkt kรถnnen aber schon erste Fehler passieren. Der Admin kรถnnte den User z.B. nicht รผber eine Gruppenmitgliedschaft, sondern direkt auf dem Verzeichnis berechtigen, wodurch der Eintrag anschlieรend nicht im AD-Benutzerkonto aufscheint. Andere hรคufige Fehler sind die Verwendung einer Organisationsgruppe als Berechtigungsgruppe und die mehrfache Verwendung einer Berechtigungsgruppe. Fehler wie diese wirken sich nicht nur negativ auf die Transparenz, sondern auch auf die Active Directory Sicherheit aus.
Manuelle Benutzerverwaltung gefรคhrdet Datenschutz
Das Management von Berechtigungen ist ohne die Hilfe durch eine entsprechende Software selbst fรผr sehr disziplinierte IT-Administratoren eine echte Herausforderung. Fragen, auf die es in jedem Unternehmen eine eindeutige Antwort geben muss, sind etwa:
Welcherย Benutzerย hat zu welchemย Zeitpunktย auf welcheย Datenย Zugriff?
Was passiert mit Rechten, wenn ein Mitarbeiter dieย Abteilung wechseltย oder dasย Unternehmen verlรคsst?
Wer trรคgt dieย Verantwortungย รผber die Rollen- und Rechtevergabe?
Werdenย Verรคnderungen im Mitarbeiterstandย rechtzeitig kommuniziert, um dieย Sicherheit der Datenย zu gewรคhrleisten?
Bleiben Fragen wie diese unbeantwortet, entstehen Sicherheitslรผcken. Und diese รถffnen nicht nur Tรผr und Tor fรผr Datenlecks, Datenpannen und Datendiebstahl, sondern machen Ihr Unternehmen auch verwundbar fรผr Angriffe mit Mal- und Ransomware. Darรผber hinaus ist ein Compliance-gerechtes Reporting bei manueller Benutzerverwaltung nur mit enormem zeitlichem und personellem Aufwand zu bewerkstelligen.
Benutzerverwaltung automatisieren
Fรผr den Administrator besteht die Benutzerverwaltung aus einer Vielzahl von sich wiederholenden Tรคtigkeiten. Und wie wir gesehen haben, mรผssen diese Tรคtigkeiten jedes Mal auf die exakt gleiche Art und Weise ausgefรผhrt werden, damit die Prozesse optimal funktionieren. Darin liegt einerseits die Herausforderung dieser Aufgabe, zugleich aber auch der Schlรผssel zu ihrer Bewรคltigung.
Da die Vorgรคnge innerhalb der Benutzerverwaltung sich gut standardisieren lassen, ist es auch mรถglich, sie zu automatisieren. Und das ist es, was eine Software fรผr Berechtigungsmanagement bzw. eine IAM-Software leistet.
Automatisierte Benutzerverwaltung mitย tenfold
tenfold ist eine Software, die ein systemรผbergreifendes Benutzermanagement inkl. Rechteverwaltung ermรถglicht und perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst ist. Die Software unterstรผtzt die Anbindung von mehr als 60 Drittanbieter-Systemen, darunter Exchange, HCL Notes, Sharepoint, Dynamics NAV und HR-Systeme.
Mit tenfold kรถnnen Sie den kompletten Lebenszyklus eines Mitarbeiters abbilden: vom Einstieg รผber den Abteilungswechsel bis hin zum Austritt. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehรถren. Anschlieรend teilt die Software die Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.
รndert sich der Status eines Mitarbeiters (z.B. aufgrund eines Abteilungswechsels), passt die Software die Rechte und Rollen automatisch an. Tritt ein Mitarbeiter aus dem Unternehmen aus, lรถscht tenfold sรคmtliche Konten und Zugangsrechte.
Automatische Dokumentation
Sรคmtliche Vorgรคnge im tenfold Benutzermanagement werden automatisch dokumentiert und revisionssicher abgelegt. Dies gilt sowohl fรผr die Zuteilung der Standardrechte als auch fรผr sรคmtliche Vorgรคnge im integrierten Self-Service. Hier kรถnnen die Mitarbeiter รผber eine anwenderfreundliche Oberflรคche selbst Zugriffsberechtigung anfordern.
Die Kontrolle der Zugriffe erfolgt รผber Genehmigungsworkflows und die automatische Provisionierung entlastet die IT. Darรผber hinaus sorgt ein geregelter Rezertifizierungs-Prozess dafรผr, dass die Data Owner der jeweiligen Fachabteilung sรคmtliche Berechtigungen, fรผr die sie verantwortlich sind, in fix definierten Abstรคnden รผberprรผfen und entweder bestรคtigen oder entfernen mรผssen.
Die TOP 5 Grรผnde fรผr Identity & Access Management