Rechteverwaltung

    Group Manager: Verwaltung von AD-Gruppen an Benutzer delegieren

    Management von AD-Gruppen delegierenDas Active Directory sieht die Möglichkeit vor, das Management von Gruppen an Standard-Benutzer zu übertragen. Sie können auch Mitglieder hinzufügen oder entfernen, wenn ihnen dieses Recht zusätzlich eingeräumt wurde. Allerdings gibt es unter den Bordmitteln von Windows kein geeignetes Frontend, mit dem normale User dieser Aufgabe nachgehen können.

    Idera veröffentlicht kostenlose Tools für Microsoft SQL Server

    Die texanische Firma Idera stellte zwei weitere kostenlose Produkte vor, dieses Mal für das Management von Microsofts SQL Server. Der Fragmentation Analyzer gibt Auskunft über die Fragmentierung von Tabellen oder ganzen Datenbanken. Der Permissions Extractor erlaubt den Export von Berechtigungen, in erster Linie um sie auf andere Server zu übertragen.

    Zugriffsrechte im Active Directory analysieren mit dem AD ACL Scanner

    Ein komplexer Dienst wie Active Directory wird bei größeren Installationen nicht nur von einem Admin verwaltet. Daher bietet es die Möglichkeit, bestimmte Aufgaben an verschiedene Benutzer oder Gruppen zu delegieren. Das kann über einen längeren Zeitraum zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen führen. Der kostenlose AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.

    Verzeichnisrechte anzeigen mit dem NTFS Permissions Reporter

    Das Privilegien-Management auf Windows-Shares ist kompliziert, weil NTFS und Freigaben eine Vielzahl von Rechten kennen und diese über Verzeichnis­struk­turen vererbt werden können. Wenn mehrere Administratoren über einen längeren Zeitraum die Verzeichnis­rechte auf einem File-Server pflegen, dann sind daher Inkonsistenzen und zu großzügige Rechte für bestimmte User eine häufige Folge. Der kostenlose NTFS Permissions Reporter hilft dabei, den Überblick zu behalten.

    migRaven: NTFS-Berechtigungen auswerten und aufräumen

    Die Berliner aikux.com development GmbH kündigte ein neues Tool namens migRaven an. Es dient dazu, die effektiven Berechtigungen auf Windows-Freigaben zu analysieren und anschließend neu zu ordnen. Die Neuvergabe der Rechte erfolgt auf Basis der Best Practices von Microsoft.

    8MAN 5: AD-Berechtigungen anzeigen, AD-Änderungen überwachen

    Die Berliner protected-networks.com GmbH veröffentlichte die Version 5.0 von 8MAN, ihrer Software für das Berechtigungs-Management. Neben neuen Features im Kernprodukt, beispielsweise dem Anzeigen von Rechten für AD-Objekte, erweiterte der Hersteller den Funktionsumfang über eine zusätzliche Plugins.

    icacls, Get-ACL: Dateirechte anzeigen auf der Kommandozeile und in PowerShell

    Lässt sich beispielsweise eine Datei nicht löschen oder anlegen, dann liegt dies meist an fehlenden Rechten. Befindet man sich auf der Kommandozeile, dann ist unter cmd.exe das Dienstprogramm icacls das Mittel der Wahl, um die Dateirechte zu überprüfen. Unter PowerShell ist dafür das Cmdlet Get-Acl zuständig.

    Administration von Gruppenrichtlinien an Benutzer delegieren

    Delegierung der GPO-AdministrationIn größeren Netz­werken mit vielen Clients und Servern sind Gruppen­richt­linien ein unab­kömm­liches Instru­ment für das System-Manage­ment. Gleich­zeitig besteht gerade dort häufig der Wunsch, dass die Ver­waltung von GPOs nicht nur Adminis­tratoren vorbe­halten bleibt, sondern an andere Benutzer über­tragen werden kann. Über die Gruppen­richtl­inienv­erwaltung (GPMC) lassen sich die nötigen Rechte delegieren.

    Häufige Missverständnisse zu Gruppenrichtlinien

    Group Policies sind eine etablierte Technik für das zentrale Management von Clients und Servern unter Windows. Obwohl die meisten Administratoren regelmäßig damit arbeiten, halten sich einige irrige Auffassungen. Das zumindest behauptet Derek Melber, der 5 nach seiner Meinung gängige Missverständnisse zusammengestellt hat.

    UAC-Prompt über GPO für Administratoren und User konfigurieren

    UAC PromptDie Benutzerkontensteuerung (User Account Control, UAC) irritierte bei ihrer Einführung mit Vista viele Admins, weil sie die ausdrückliche Genehmigung von allen möglichen Aktionen erzwang. Windows 7 reduzierte die Zahl der als störend empfundenen Prompts und bot feinere Einstellungsmöglichkeiten. Noch genauer als über die Systemsteuerung lässt sich die UAC über Gruppenrichtlinien konfigurieren.

    Seiten