In einem Wettbewerbsprodukt existiert eine Funktion mit dem Namen „Komfort-Feature“. Diese sorgt dafür, dass Fileserver-Berechtigungen, zusätzlich zur Vergabe über Gruppen, für den Benutzer direkt vergeben werden. Beworben wird die Funktion dabei mit dem Vorteil, dass der Benutzer die neuen Berechtigungen sofort nutzen kann, ohne sich neu anmelden zu müssen.

Diese Funktionalität ist grundsätzlich technisch nicht anspruchsvoll. Es stellt sich daher die Frage, wieso tenfold diese nicht auch anbietet. Das liegt ganz einfach daran, dass die Vorteile einer konstanten Vergabe über Gruppen überwiegen:

Listberechtigungen

Das Komfort-Feature berücksichtigt keine Listberechtigungen und ebnet dem Benutzer damit nicht die Möglichkeit bis zum Verzeichnis zu browsen. Das bedeutet, dass der Benutzer den exakten und vollständigen Pfad zum Ordner kennen muss. Das ist unrealistisch und das exakte Gegenteil der Benutzerfreundlichkeit, die man auf dem Fileserver eigentlich mit ABE (Access Based Enumeration) erreichen möchte.

Performance

Das Setzen der direkten Berechtigung für den Benutzer kann zu deutlichen Performanceeinbußen führen. Wenn der unter dem Verzeichnis liegende Baum sehr groß ist, kann das Setzen der direkten Berechtigung mitunter Stunden oder sogar Tage in Anspruch nehmen. Damit ist dem Benutzer am Ende überhaupt nicht geholfen. Es ist für den Benutzer dann besser, sich ab- und wieder anzumelden, um die Berechtigung über die bereits gesetzte Gruppe zu erhalten. Damit ist es für den Benutzer unvorhersehbar, wann es besser ist, zu warten, und wann es besser ist, sich neu anzumelden.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Fehler

Kommt es in der Verarbeitung der Direktberechtigung zu Fehlern, oder wird etwa der Ordner in der Zeit zwischen dem Setzen der temporären Direktberechtigung und dem geplanten Entfernen verschoben, so bleibt die Direktberechtigung auf dem Ordner zurück. Man erreicht das Gegenteil von dem, wofür man eine Berechtigungsmanagement-Software angeschafft hat.

Workflows

IT-Berechtigungen sollten grundsätzlich nicht „per Zuruf“ vom Administrator vergeben werden, sondern vom verantwortlichen Data Owner freigegeben werden. Durch diesen Freigabeprozess, der absolut notwendig ist, kommt es klarerweise zu Wartezeiten. Die Wartezeit für das zusätzliche Ab- und neu Anmelden fällt daher nicht drastisch ins Gewicht.

Lösung

In tenfold werden alle Fileserver-Berechtigungen sauber über AGDLP vergeben. Das führt dazu, dass Benutzer sich nach Vergabe der notwendigen Gruppe ab- und neu anmelden müssen. Sobald in tenfold eine neue Berechtigung für einen Benutzer verfügbar ist, wird dieser aktiv per E-Mail darauf hingewiesen. In diesem Mail wird der Benutzer auch auf die erforderlich Neuanmeldung hingewiesen. Damit ist der Prozess letztlich ordnungsgemäß und sauber abgebildet. Abkürzungen, die letztlich die Benutzerfreundlichkeit, die Integrität der Prozesse und damit die Sicherheit der Daten in Frage stellen, gilt es zu vermeiden – deshalb ist das Komfort-Feature in tenfold nicht umgesetzt.