Um die Verwaltung der Postfächer (insbesondere von Funktions­post­fächern) zu verein­fachen, kann man Berech­tigungen an AD-Gruppen vergeben. Das funktioniert aber nicht so ohne weiteres, weil sich nicht alle Typen von Gruppen dafür eignen und sie zudem in bestimmten Fällen E-Mail-aktiviert sein müssen.

Diverse Tools für das Active Directory erlauben eine strin­gente Verwaltung von Be­nutzern und Gruppen. Lau­fende Änderungen bei den Zu­ständig­keiten der Mit­arbeiter nagen aber beständig an der ur­sprüng­lich er­zielten Ord­nung. BAYOOSOFT Access Manager bietet mehrere Mecha­nismen, um das zu ver­hindern.

Der FolderSecurityViewer ist ein Reporting-Tool, mit dem Admins die Berech­tigungen in Ver­zeich­nis­strukturen und Datei­freigaben anhand von 5 vorge­gebenen Berichten ana­lysieren können. Die Version 2.0 bringt eine von Grund auf über­arbeitete Bediener­führung. Das Tool ist auch in einer Free Edition verfügbar.

Der Absender einer E-Mail hat in Outlook die Möglich­keit, eine Nachricht als ver­traulich bzw. privat zu dekla­rieren. Bei freige­gebenen Post­fächern hat dies den un­schönen Effekt, dass die darauf berech­tigten Benutzer die Mail nicht sehen können. Dafür gibt es eine GUI- und eine aufwän­digere PowerShell-Lösung.

In der Praxis ist es gang und gäbe, Berech­tigungen auf frei­ge­gebene Post­fächer pro User zu er­teilen. Zur Aus­wahl stehen Voll­zugriff, Senden als und Senden im Auftrag von. Eine bessere Lösung ist es, die Berech­tigung per Gruppe zu setzen. Das erledigt man mit Power­Shell, weil die Web-Konsole das nicht kann.

Die aktuelle Version 1.15 von Folder­Security­Viewer er­hielt einige neue Funk­tionen, die das Analy­sieren von Ver­zeichnis- und Freigabe­rechten be­schleunigen bzw. auto­ma­tisieren sollen. Dazu gehören ein neuer Report­typ, Schablonen für wieder­kehrende Berichte sowie ein Tool für die Kom­man­dozeile.

Wesent­licher Zweck von Access Manager (AM) ist die Ver­gabe von Ver­zeichnis­berech­tigungen über einen Geneh­migungs-Workflow. Mit­arbeiter können dabei Anträge aus einem Self-Service-Portal stellen. Das 3rd-Party-Modul erweitert dieses Ver­fahren auf alle Res­sourcen, die sich über das AD ver­walten lassen.

Egal, ob man sich in der Planungs­phase befindet oder bereits NTFS-Berech­tigungen imple­mentiert hat, die fol­genden Vor­gehens­weisen werden helfen, die Ver­waltung von Datei­rechten effizienter und sicherer zu machen. Sie verein­fachen auch das Trouble­shooting, etwa wenn Admins Zugriffs­probleme analysieren müssen.

Mit Just Enough Administration (JEA) kön­nen Benutzer ohne admini­strative Berech­tigungen Manage­ment-Aufgaben über­nehmen. Die Grund­lage für JEA bilden Session-Konfi­gurationen, die bestim­men, wer Zugriff bekommt. Role Capabilities definieren dann die Mittel, welche in PowerShell zur Ver­fügung stehen.

Das Blockieren von unauto­risierten Pro­grammen zählt zu den effektivsten Maß­nahmen zur Abwehr von Malware. Windows enthält dafür mittler­weile drei Mecha­nismen, jeder mit seinen eigenen Stärken und Schwächen. Die größte Hürde für ihren Einsatz ist das Pflegen von Regeln, wobei hier freie Tools helfen.