Benutzerverwaltung 1×1 für Admins: Benutzer und Rechte zentral verwalten

Unter Benutzerverwaltung, auch Benutzermanagement oder User Management genannt, versteht man verschiedene Tätigkeiten, die die Verwaltung der Benutzer sämtlicher Systeme und Anwendungen in einem Unternehmen oder einer Organisation betreffen. In der Regel ist der Administrator derjenige, der diese Tätigkeiten ausführt und/oder sie koordiniert. Eine effiziente Benutzerverwaltung leistet folgendes:

Es gibt zwei Möglichkeiten, wie der Admin Benutzer verwalten kann: lokal (intern) und extern. Beim lokalen Benutzermanagement legt der Administrator die User direkt im jeweiligen System an. Bei der externen Benutzerverwaltung sind die verschiedenen Systeme und Anwendungen an einen externen Server angebunden, wo die Benutzer zentral verwaltet werden.

Beim internen bzw. lokalen Benutzermanagement werden die Zugriffsdaten (z.B. Benutzername und Passwort) verschlüsselt in der internen Datenbank des Systems oder der Anwendung abgelegt und sind auch ausschließlich dafür gültig.

Arbeitet ein Unternehmen mit interner Benutzerverwaltung, muss der Admin einen neuen Mitarbeiter beispielsweise einzeln im Active Directory, in Exchange und in SAP anlegen. Ändern sich die Stammdaten des Benutzers, muss auch diese Änderung in jedem der Verzeichnisse einzeln durchgeführt werden.

Die interne Benutzerverwaltung verursacht einen hohen administrativen Aufwand. Darüber hinaus kann sie aber auch im Hinblick auf Compliance-Richtlinien problematisch sein, da Windows-Umgebungen standardmäßig kein zentrales Reporting unterstützen. So ist das Auslesen von Berechtigungen in Microsoft Exchange z.B. nur mithilfe eines zusätzlichen Portals, der Exchange Verwaltungskonsole oder der PowerShell, möglich.

Das Reporting mithilfe dieser Boardmittel ist jedoch nicht nur kompliziert und zeitaufwändig, sondern häufig auch nicht umfassend genug. Warum das so ist, erfahren Sie im Artikel Exchange Postfach Berechtigungen auslesen.

Bei der externen Benutzerverwaltung muss der Administrator nicht in jedes System einzeln einsteigen, sondern er kann die Benutzer zentral auf einem externen Verzeichnisserver verwalten. Die Anbindung der einzelnen Systeme und Anwendungen erfolgt häufig über ein Lightweight Directory Access Protocol (LDAP).

Dabei handelt es sich um ein Netzwerkprotokoll zur Durchführung von Abfragen und Änderungen in einem verteilten Verzeichnisdienst. Eine andere Anbindungsmöglichkeit besteht über eine API (Application Programming Interface).

Einer der wichtigsten Aspekte der Benutzerverwaltung ist das Management von Zugriffsberechtigungen. Ein optimales User Management funktioniert nach dem Least-Privilege-Prinzip. Nach diesem Prinzip muss ein Mitarbeiter zu jedem Zeitpunkt seines User Lifecycles exakt über jene Berechtigungen verfügen, die er benötigt, um seine Arbeit zu machen. Überflüssige und/oder veraltete Berechtigungen dürfen nach diesem Prinzip nicht existieren.

Damit der Admin die Berechtigungen für einen neuen Mitarbeiter nicht jeweils individuell zuweisen muss, arbeitet er in der Regel mit einer Gruppenstruktur. Das bedeutet, dass er verschiedene Gruppen mit unterschiedlichen Zugriffsrechten anlegt und die einzelnen Benutzer dann diesen Gruppen zuordnet. Das spart zwar Zeit, kann aber relativ schnell in einer unübersichtlichen Berechtigungsstruktur enden.

Benutzerverwaltung mithilfe von Gruppen kann gut funktionieren. Microsoft macht im Active Directory beispielsweise vor, wie man die Struktur eines Netzwerks mit sämtlichen angeschlossenen Geräten mithilfe von Gruppen und Rollen der Struktur des Unternehmens nachbilden kann. Das Best Practice, von dem wir hier sprechen, ist das AGDLP-Prinzip.

Lassen Sie uns dies am Beispiel von NTFS-Berechtigungen verdeutlichen. NTFS Berechtigungen steuern den Zugriff auf Verzeichnisse in Microsoft-Umgebungen. Um einem Mitarbeiter Ressourcen freizugeben, macht der Admin ihn zum Mitglied einer bestimmten Berechtigungsgruppe. Sofern alles korrekt läuft, wird dieser Berechtigungseintrag anschließend im Benutzerkonto des Mitarbeiters im Active Directory angezeigt.

An diesem Punkt können aber schon erste Fehler passieren. Der Admin könnte den User z.B. nicht über eine Gruppenmitgliedschaft, sondern direkt auf dem Verzeichnis berechtigen, wodurch der Eintrag anschließend nicht im AD-Benutzerkonto aufscheint. Andere häufige Fehler sind die Verwendung einer Organisationsgruppe als Berechtigungsgruppe und die mehrfache Verwendung einer Berechtigungsgruppe. Fehler wie diese wirken sich nicht nur negativ auf die Transparenz, sondern auch auf die Active Directory Sicherheit aus.

Das Management von Berechtigungen ist ohne die Hilfe durch eine entsprechende Software selbst für sehr disziplinierte IT-Administratoren eine echte Herausforderung. Fragen, auf die es in jedem Unternehmen eine eindeutige Antwort geben muss, sind etwa:

Bleiben Fragen wie diese unbeantwortet, entstehen Sicherheitslücken. Und diese öffnen nicht nur Tür und Tor für Datenlecks, Datenpannen und Datendiebstahl, sondern machen Ihr Unternehmen auch verwundbar für Angriffe mit Mal- und Ransomware. Darüber hinaus ist ein Compliance-gerechtes Reporting bei manueller Benutzerverwaltung nur mit enormem zeitlichem und personellem Aufwand zu bewerkstelligen.

Für den Administrator besteht die Benutzerverwaltung aus einer Vielzahl von sich wiederholenden Tätigkeiten. Und wie wir gesehen haben, müssen diese Tätigkeiten jedes Mal auf die exakt gleiche Art und Weise ausgeführt werden, damit die Prozesse optimal funktionieren. Darin liegt einerseits die Herausforderung dieser Aufgabe, zugleich aber auch der Schlüssel zu ihrer Bewältigung.

tenfold ist eine Software, die ein systemübergreifendes Benutzermanagement inkl. Rechteverwaltung ermöglicht und perfekt an die Erfordernisse in Microsoft-Umgebungen angepasst ist. Die Software unterstützt die Anbindung von mehr als 60 Drittanbieter-Systemen, darunter Exchange, HCL Notes, Sharepoint, Dynamics NAV und HR-Systeme.

Mit tenfold können Sie den kompletten Lebenszyklus eines Mitarbeiters abbilden: vom Einstieg über den Abteilungswechsel bis hin zum Austritt. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehören. Anschließend teilt die Software die Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.

Ändert sich der Status eines Mitarbeiters (z.B. aufgrund eines Abteilungswechsels), passt die Software die Rechte und Rollen automatisch an. Tritt ein Mitarbeiter aus dem Unternehmen aus, löscht tenfold sämtliche Konten und Zugangsrechte.

Sämtliche Vorgänge im tenfold Benutzermanagement werden automatisch dokumentiert und revisionssicher abgelegt. Dies gilt sowohl für die Zuteilung der Standardrechte als auch für sämtliche Vorgänge im integrierten Self-Service. Hier können die Mitarbeiter über eine anwenderfreundliche Oberfläche selbst Zugriffsberechtigung anfordern.

Die Kontrolle der Zugriffe erfolgt über Genehmigungsworkflows und die automatische Provisionierung entlastet die IT. Darüber hinaus sorgt ein geregelter Rezertifizierungs-Prozess dafür, dass die Data Owner der jeweiligen Fachabteilung sämtliche Berechtigungen, für die sie verantwortlich sind, in fix definierten Abständen überprüfen und entweder bestätigen oder entfernen müssen.