Rechteverwaltung

    Managed Service Accounts: Windows-Dienste mit eigenen Konten anmelden

    Windows ServicesMit Windows Server 2008 R2 führte Microsoft Managed Service Accounts ein. Es handelt sich da­bei um spezielle AD-Konten für Windows-Dien­ste. Sie sind eine Alternative zu System- oder normalen AD-Accounts, die in dieser Funktion eini­ge Nachteile haben. In Server 2012 kamen Group Managed Service Accounts hinzu.

    Sicherheitsfilterung: User und Computer von GPOs ausnehmen

    Delegierung der GPO-AdministrationStandardmäßig werden Gruppenrichtlinien auf alle User und Computer in einer Domäne, Site oder OU angewandt, mit der das GPO verknüpft ist. Wenn es aufgrund dieser Zuordnung eine große Zahl von AD-Objekten anspricht, dann kann es sein, dass man bestimmte Benutzer oder Computer ausnehmen möchte. Die Sicherheitsfilterung dient diesem Zweck.

    Group Manager: Verwaltung von AD-Gruppen an Benutzer delegieren

    Management von AD-Gruppen delegierenDas Active Directory sieht die Möglichkeit vor, das Management von Gruppen an Standard-Benutzer zu übertragen. Sie können auch Mitglieder hinzufügen oder entfernen, wenn ihnen dieses Recht zusätzlich eingeräumt wurde. Allerdings gibt es unter den Bordmitteln von Windows kein geeignetes Frontend, mit dem normale User dieser Aufgabe nachgehen können.

    Idera veröffentlicht kostenlose Tools für Microsoft SQL Server

    Die texanische Firma Idera stellte zwei weitere kostenlose Produkte vor, dieses Mal für das Management von Microsofts SQL Server. Der Fragmentation Analyzer gibt Auskunft über die Fragmentierung von Tabellen oder ganzen Datenbanken. Der Permissions Extractor erlaubt den Export von Berechtigungen, in erster Linie um sie auf andere Server zu übertragen.

    Zugriffsrechte im Active Directory analysieren mit dem AD ACL Scanner

    Ein komplexer Dienst wie Active Directory wird bei größeren Installationen nicht nur von einem Admin verwaltet. Daher bietet es die Möglichkeit, bestimmte Aufgaben an verschiedene Benutzer oder Gruppen zu delegieren. Das kann über einen längeren Zeitraum zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen führen. Der kostenlose AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.

    Verzeichnisrechte anzeigen mit dem NTFS Permissions Reporter

    Das Privilegien-Management auf Windows-Shares ist kompliziert, weil NTFS und Freigaben eine Vielzahl von Rechten kennen und diese über Verzeichnis­struk­turen vererbt werden können. Wenn mehrere Administratoren über einen längeren Zeitraum die Verzeichnis­rechte auf einem File-Server pflegen, dann sind daher Inkonsistenzen und zu großzügige Rechte für bestimmte User eine häufige Folge. Der kostenlose NTFS Permissions Reporter hilft dabei, den Überblick zu behalten.

    migRaven: NTFS-Berechtigungen auswerten und aufräumen

    Die Berliner aikux.com development GmbH kündigte ein neues Tool namens migRaven an. Es dient dazu, die effektiven Berechtigungen auf Windows-Freigaben zu analysieren und anschließend neu zu ordnen. Die Neuvergabe der Rechte erfolgt auf Basis der Best Practices von Microsoft.

    8MAN 5: AD-Berechtigungen anzeigen, AD-Änderungen überwachen

    Die Berliner protected-networks.com GmbH veröffentlichte die Version 5.0 von 8MAN, ihrer Software für das Berechtigungs-Management. Neben neuen Features im Kernprodukt, beispielsweise dem Anzeigen von Rechten für AD-Objekte, erweiterte der Hersteller den Funktionsumfang über eine zusätzliche Plugins.

    icacls, Get-ACL: Dateirechte anzeigen auf der Kommandozeile und in PowerShell

    Lässt sich beispielsweise eine Datei nicht löschen oder anlegen, dann liegt dies meist an fehlenden Rechten. Befindet man sich auf der Kommandozeile, dann ist unter cmd.exe das Dienstprogramm icacls das Mittel der Wahl, um die Dateirechte zu überprüfen. Unter PowerShell ist dafür das Cmdlet Get-Acl zuständig.

    Administration von Gruppenrichtlinien an Benutzer delegieren

    Delegierung der GPO-AdministrationIn größeren Netz­werken mit vielen Clients und Servern sind Gruppen­richt­linien ein unab­kömm­liches Instru­ment für das System-Manage­ment. Gleich­zeitig besteht gerade dort häufig der Wunsch, dass die Ver­waltung von GPOs nicht nur Adminis­tratoren vorbe­halten bleibt, sondern an andere Benutzer über­tragen werden kann. Über die Gruppen­richtl­inienv­erwaltung (GPMC) lassen sich die nötigen Rechte delegieren.

    Seiten