BAYOOSOFT Access Manager: Ordner-Berechtigungen über Workflows vergeben

    , 14.11.2018, zuletzt aktualisiert am 14.04.2020
    Tags: , ,

    Fileserver Management SuiteBenutzer sollten nur die Zugriffs­rechte auf Ordner erhalten, die sie unbe­dingt benö­tigen. Ohne geeig­nete Tools lässt sich dieses Prin­zip aber kaum reali­sieren. Der Access Manager (AM) sperrt Ver­zeich­nisse gegen einen Rechte­wild­wuchs und erlaubt Mit­arbeitern, Zugriff in einem Workflow zu beantragen.

    Die Praxis in vielen Unter­nehmen sieht so aus, dass Mitarbeiter auf (telefonische) Anfrage in der IT-Abteilung Lese- und Schreibrechte auf frei­gegebene Ordner erhalten. Diese Berech­tigungen bleiben ihnen dann meist dauerhaft erhalten, selbst wenn sie die Abteilung wechseln und diese gar nicht mehr benötigen. Über die Zeit akkumulieren die User so mehr und mehr Zugriffsrechte.

    Dauerhaftes Rechte-Management erforderlich

    Ein zusätzliches Problem stellt häufig eine über Jahre gewachsene Struktur von AD-Gruppen dar, wenn diese tief verschachtelt sind oder gar zirkulär voneinander abhängen. In dieser Situation greifen Admins häufig zu Reporting-Tools, um die effektiven Rechte von Benutzern zu ermitteln.

    Selbst wenn eine solche Bestands­aufnahme zu einer Aufräum­aktion führt, so löst diese das eigentliche Problem nicht. Ohne klar definierte Prozesse für das Berechtigungs-Management beginnt der Wildwuchs der Rechte nämlich sofort wieder zu wuchern.

    Die in Darmstadt ansässige BAYOONET AG verfolgt daher mit Access Manager (ehemals Fileserver Management Suite) einen mehrstufigen Ansatz. Die Einführung der Software beginnt mit einer Untersuchung des Status Quo, dieser Aufgabe dient das Tool NTFS Permission Analyzer (es ist als kostenloser Download verfügbar).

    Soll-Zustand definieren

    Im Anschluss daran definieren Anwender einen Soll-Zustand, zu dem auch eine entsprechende Gruppen­struktur im Active Directory gehört. Zu diesem Zweck richtet die Software die benötigten Sicherheits­gruppen in dedizierten OUs ein, so dass die vorhandene AD-Struktur erhalten bleibt und und die Berechtigungen für File-Server getrennt von anderen technischen Ressourcen verwaltet werden.

    Die Berechtigungen, die künftig gelten sollen, werden dann über den AM definiert und zugewiesen. Dies kann ganz konven­tionell durch Zuordnen von AD-Gruppen oder einzelnen Benutzerkonten zu Verzeichnissen erfolgen.

    Dabei muss man keine Bedenken haben, gegen die Regel zu verstoßen, wonach Benutzer einen Zugriff nicht direkt erhalten sollten. AM verwaltet nämlich die Berechtigungen im Hintergrund immer auf Basis von Gruppen, auch wenn man nur einzelne Benutzerkonten zuweist.

    Rechtevergabe über Profile

    Zusätzlich bietet BAYOONET ein alternatives Konzept über Benutzerprofile. Wenn man so möchte, kann man darunter eine Schablone verstehen, welche mehrere Ordner und die damit verbundenen Berechtigungen enthalten.

    Benutzerprofile enthalten eine Liste von Verzeichnissen mit den dazugehörigen Rechten.

    Indem man zu solchen Profilen Mitglieder hinzufügt, und zwar wieder in Form von AD-Gruppen oder einzelnen Konten, erhalten diese auf einen Schlag die im Profil definierten Rechte auf alle dort enthaltenen Ordner.

    Mitglieder zu einem Profil hinzufügen

    Auf diese Weise lassen sich die Berechtigungen an User, die über mehrere Gruppen verteilt sind, wesentlich einfacher zuordnen. Mehrere dieser Benutzer­profile kann man darüber hinaus zu Organisations­profilen kombinieren.

    Automatische Wiederherstellung des Soll-Zustands

    Nach dieser anfänglichen Vergabe von Berechtigungen geht es nun darum, in Zukunft unerwünschte Änderungen zu unterbinden. Diese können etwa von Admins stammen, die dafür auf die Bordmittel von Windows zurückgreifen. Der AM stellt in diesem Fall mit Hilfe periodisch laufender Jobs den Soll-Zustand wieder her.

    Die Vergabe von Zugriffs­rechten erfolgt für die von Access Manager verwalteten Ordner somit ausschließlich über dieses Tool. Dabei können Benutzer, die über entsprechende Privilegien verfügen, auch weiterhin von sich aus Berechtigungen für User einräumen.

    In der Regel werden aber Mitarbeiter selbst die Zugriffs­rechte einfordern, die sie für ihre Arbeit benötigen. Allerdings passiert dies beim AM nicht über unkoordinierte und womöglich "inoffizielle" Anfragen an die IT, sondern über einen Workflow, der aus einem Web-basierten Self-Service-Portal angestoßen wird.

    Rollen für den Genehmigungs-Workflow

    Um alle möglichen organisatorischen Besonderheiten und Zuständig­keiten in Unternehmen abbilden zu können, kennt der AM-Workflow eine ganze Reihe von Rollen. Die wichtigsten sind dabei der Besitzer (der hat nichts mit dem Owner im Dateisystem zu tun) und der Verantwortliche.

    Die vorgegebenen Rollen für den Workflow der Fileserver Management Suite

    Ersterer steht in der Hierarchie üblicher­weise über dem Verant­wortlichen und ist in das tägliche Management der Zugriffs­rechte nicht involviert. Diese Aufgabe übernimmt der Verantwortliche, der vom Besitzer hinzugefügt wird und dem die Genehmigung oder Zurückweisung von Anfragen obliegt. Für Verantwortliche lässt sich bei Abwesenheit ein Vertreter festlegen.

    Vertretung für einen Verantwortlichen definieren

    Erst nach der Definition eines Besitzers und eines Verant­wortlichen übernimmt AM die Verwaltung des betreffenden Ordners. Dies erkennt man im Web-Portal und in der Management-Konsole an dem Ordner-Icon mit einem orangenen Vorhänge­schloss.

    FMS übernimmt die Kontrolle über Ordner erst nach Zuweisung eines Besitzers und eines Verantwortlichen.

    Der AM erhebt somit keinen exklusiven Anspruch auf alle Ordner eines File-Servers. Vielmehr kann man etwa die Zugriffs­rechte für öffentliche und unkritische Freigaben weiterhin mit den Bordmitteln ohne Workflow verwalten.

    In kleineren Abteilungen oder Firmen können der Besitzer und der Verantwortliche die gleiche Person sein. Während nur ein User der Besitzer sein darf, können mehrere Verantwortliche für einen Ordner definiert werden. In diesem Fall gilt dann die Genehmigung oder Ablehnung desjenigen, der zuerst auf die Anfrage reagiert.

    Eine Position zwischen Anwender und Verantwortlichen nimmt die Assistenz ein. Sie kommt etwa dort zum Zug, wo der Anwender selbst keine Anfragen stellen soll. In diesem Fall würde die Assistenz an ihrer Stelle zum Beispiel in Absprache mit einem Teamleiter die Zugriffsrechte beantragen.

    Um die oben erwähnten Benutzer­profile anzulegen, existiert die Rolle des Profil-Administrators. Hingegen besteht die Aufgabe des Profilverantwortlichen darin, die Profile zu pflegen, also Mitglieder hinzuzufügen oder daraus zu entfernen. Schließlich gibt es noch zwei administrative Rollen, die im Rahmen des Workflows aber keine besondere Bedeutung haben.

    Anfrage über das Web-Portal starten

    Der konkrete Ablauf einer Anfrage für den Erhalt von Berechtigungen würde damit beginnen, dass der Anwender im Self-Service-Portal den Ordner im Verzeichnis­baum eines File-Servers aussucht, für den er Zugriff benötigt. Es steht dem Besitzer allerdings frei, Ordner mit sensiblen Daten hier erst gar nicht anzuzeigen und so User-initiierte Anträge zu unter­binden.

    Ordner lassen sich auf Wunsch im Self-Service-Portal verbergen.

    Unter Zugriffsberechtigungen beantragen wählt er dann entweder Lesen oder Schreiben. AM reduziert die umfangreichen NTFS-Berechtigungen auf diese zwei Grundmuster, weil die vollständige Liste nach Einschätzung des Herstellers für nicht-technische Benutzer zu schwer verständlich wäre. Schreiben umfasst damit auch das Recht auf Erstellen, Bearbeiten und Löschen von Dateien.

    Antrag für Zugriffsrechte über das Self-Service-Portal: Hier lässt sich auch ein Ablaufdatum eingeben.

    Außerdem müssen Anwender auch eine Begründung für ihren Antrag eingeben, weil das betreffende Eingabefeld standardmäßig ein Pflichtfeld ist. Diese lässt sich dann später im Audit-Log einsehen, falls es erforderlich sein sollte. Dort werden sämtliche Änderungen bei den Verzeichnis­rechten proto­kolliert.

    Zeitliche Befristung von Berechtigungen

    Ein interessantes Feature in diesem Zusammen­hang besteht darin, dass der Antragsteller ein Ablaufdatum für die Berechtigung angeben kann, an dem ihm diese wieder automatisch entzogen wird. Bei der Genehmigung kann der Verantwortliche diesen Zeitraum aber bei Bedarf verändern oder überhaupt erst festlegen, wenn der User das nicht selbst getan hat.

    Zeitlich befristete Berechtigungen lassen sich auch in den Benutzer­profilen hinterlegen, und zwar für jedes einzelne Mitglied. Weist man nachher über Profile Zugriffsrechte zu, dann verfallen diese zum jeweils festgelegten Ablaufdatum, weil AM die Benutzer und Gruppen dann aus dem Profil entfernt.

    Für Ordner lassen sich Zeiträume vorgeben, für die Berechtigungen maximal gültig sind.

    Für kritische Ordner können Admins zudem eine maximale Dauer für Berechtigungen vorgeben, damit diese nach dem jeweiligen Zeitraum grund­sätzlich explizit erneuert werden müssen. Diese Fristen lassen sich nicht durch ein Datum in der Anfrage überschreiten.

    Klassifizierung von Ordnern

    Zu den weiteren Features von AM gehört eine Klassifizierung der Ordner abhängig von ihrem Inhalt. Besondere Bedeutung erlangt diese Möglichkeit in Zusammen­hang mit Compliance, etwa mit der DSGVO. Auf diese Weise lassen sich Ordner vom Besitzer als solche markieren, die persönliche Daten enthalten und daher besonders geschützt werden müssen.

    Anwender können die vorgegebenen Klassifizierungen um ihre eigenen ergänzen.

    Aktuell blendet die Software ein entsprechendes Symbol auf der Formular­seite ein, um Verantwortliche zu warnen, wenn sie Berechtigungen vergeben.

    Auf der Seite für die Vergabe von Rechten ist die Klassifizierung des Ordners erkennbar.

    Künftig soll sich auf Basis der Klassifizierung eine Rezertifizierung von Berechtigungen nach einem gewissen Zeitraum erzwingen lassen.

    Erweiterung des Funktionsumfangs

    Neben den Berechtigungen für Datei-Server bietet Bayoonet ein Modul für das Berechtigungs-Management von SharePoint an (On-Prem und Office 365). Dieses funktioniert nach dem gleichen Muster wie für freigegebene Ordner. Ein Unterschied besteht darin, dass neben den Rechten für Lesen und Schreiben auch jenes für Gestalten vergeben werden kann.

    Darüber hinaus gibt es eine weitere Komponente für die Anbindung von Anwendungen anderer Anbieter. Grundsätzlich kommen dafür solche in Frage, bei denen sich die Berech­tigungen über die Mitgliedschaft in AD-Gruppen steuern lassen. Dies könnte beispiels­weise eine VPN-Software sein, für die man den Zugriff auf diesem Weg regeln will.

    Schließlich ist der Access Manager noch in der Lage, über ein zusätzliches Modul den Ressourcen­verbrauch nach Abteilung oder Organisations­einheit abzurechnen. Damit entsteht für die jeweiligen Kosten­stellen ein Anreiz, nicht mehr benötigte Daten vom File-Server zu entfernen und so ein notorisches Problem bei zentralen Datenablagen zu entschärfen.

    Verfügbarkeit

    Informationen des Herstellers zu Access Manager finden sich auf dessen Website. Dort können Interessenten auch eine Trial-Version der Software anfordern.

    Die Lizenzierung erfolgt pro Berechtigungs­benutzer, wobei die Lizenzen in 100er-Schritten verfügbar sind. Die Module für SharePoint, Anwendungen von Drittanbietern sowie das Accounting müssen separat erworben werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links