Wesentlicher Zweck von Access Manager (AM) ist die Vergabe von Verzeichnisberechtigungen über einen Genehmigungs-Workflow. Mitarbeiter können dabei Anträge aus einem Self-Service-Portal stellen. Das 3rd-Party-Modul erweitert dieses Verfahren auf alle Ressourcen, die sich über das AD verwalten lassen.
Egal, ob man sich in der Planungsphase befindet oder bereits NTFS-Berechtigungen implementiert hat, die folgenden Vorgehensweisen werden helfen, die Verwaltung von Dateirechten effizienter und sicherer zu machen. Sie vereinfachen auch das Troubleshooting, etwa wenn Admins Zugriffsprobleme analysieren müssen.
Mit Just Enough Administration (JEA) können Benutzer ohne administrative Berechtigungen Management-Aufgaben übernehmen. Die Grundlage für JEA bilden Session-Konfigurationen, die bestimmen, wer Zugriff bekommt. Role Capabilities definieren dann die Mittel, welche in PowerShell zur Verfügung stehen.
Das Blockieren von unautorisierten Programmen zählt zu den effektivsten Maßnahmen zur Abwehr von Malware. Windows enthält dafür mittlerweile drei Mechanismen, jeder mit seinen eigenen Stärken und Schwächen. Die größte Hürde für ihren Einsatz ist das Pflegen von Regeln, wobei hier freie Tools helfen.
Möchten sich User ohne administrative Privilegien mit einem Remote-PC verbinden, dann scheitert das an mangelnden Rechten. Diese Limitierung lässt sich mit Hilfe von Session-Konfigurationen beseitigen. Dabei muss man einem Standardbenutzer nicht Zugriff auf alle Funktionen von PowerShell gewähren.
Microsoft veröffentlichte die für März geplanten kumulativen Updates für Exchange 2012 bis 2019 bereits jetzt, um damit zwei Sicherheitsprobleme (CVE-2019-0686 und CVE-2019-0724) zu beheben. Es geht dabei um Push-Benachrichtigungen und AD-Berechtigungen für Exchange-Server, wenn Shared Permissions verwendet werden.
Web-basierte Tools wie das Admin Center (WAC) eignen sich besonders, um Aufgaben an Standardbenutzer zu delegieren. In diesem Fall ist es wichtig, deren Rechte auf das Nötigste zu beschränken. Das WAC verfügt dafür über ein Rollenkonzept auf Basis von JEA, das Nicht-Admins die erforderlichen Rechte einräumt.
Mit PowerShell lassen sich die Berechtigungen für Ordner in den Postfächern zentral verwalten. Die Namen vieler Ordner sind vom System vorgegeben, so dass man diese aus dem Gedächtnis an ein Cmdlet übergeben kann. Kennt man die Ordnernamen aber nicht, dann kann PowerShell diese anzeigen.
Zu den Neuerungen von Exchange 2019 gehört ein erweitertes Kalender-Management. Diesem Zweck dient das PowerShell-Cmdlet Remove-CalendarEvents, mit dem Admins Besprechungen absagen können. Neu sind auch die Verknüpfung von Out-of-Office mit Kalender-Aktionen. Das Sperren der Weiterleitung fehlt jedoch.
Benutzer sollten nur die Zugriffsrechte auf Ordner erhalten, die sie unbedingt benötigen. Ohne geeignete Tools lässt sich dieses Prinzip aber kaum realisieren. Der Access Manager (AM) sperrt Verzeichnisse gegen einen Rechtewildwuchs und erlaubt Mitarbeitern, Zugriff in einem Workflow zu beantragen.