Tags: NTFS, Rechteverwaltung, Compliance
Benutzer sollten nur die Zugriffsrechte auf Ordner erhalten, die sie unbedingt benötigen. Ohne geeignete Tools lässt sich dieses Prinzip aber kaum realisieren. Der Access Manager (AM) sperrt Verzeichnisse gegen einen Rechtewildwuchs und erlaubt Mitarbeitern, Zugriff in einem Workflow zu beantragen.
Die Praxis in vielen Unternehmen sieht so aus, dass Mitarbeiter auf (telefonische) Anfrage in der IT-Abteilung Lese- und Schreibrechte auf freigegebene Ordner erhalten. Diese Berechtigungen bleiben ihnen dann meist dauerhaft erhalten, selbst wenn sie die Abteilung wechseln und diese gar nicht mehr benötigen. Über die Zeit akkumulieren die User so mehr und mehr Zugriffsrechte.
Dauerhaftes Rechte-Management erforderlich
Ein zusätzliches Problem stellt häufig eine über Jahre gewachsene Struktur von AD-Gruppen dar, wenn diese tief verschachtelt sind oder gar zirkulär voneinander abhängen. In dieser Situation greifen Admins häufig zu Reporting-Tools, um die effektiven Rechte von Benutzern zu ermitteln.
Selbst wenn eine solche Bestandsaufnahme zu einer Aufräumaktion führt, so löst diese das eigentliche Problem nicht. Ohne klar definierte Prozesse für das Berechtigungs-Management beginnt der Wildwuchs der Rechte nämlich sofort wieder zu wuchern.
Die in Darmstadt ansässige BAYOONET AG verfolgt daher mit Access Manager (ehemals Fileserver Management Suite) einen mehrstufigen Ansatz. Die Einführung der Software beginnt mit einer Untersuchung des Status Quo, dieser Aufgabe dient das Tool NTFS Permission Analyzer (es ist als kostenloser Download verfügbar).
Soll-Zustand definieren
Im Anschluss daran definieren Anwender einen Soll-Zustand, zu dem auch eine entsprechende Gruppenstruktur im Active Directory gehört. Zu diesem Zweck richtet die Software die benötigten Sicherheitsgruppen in dedizierten OUs ein, so dass die vorhandene AD-Struktur erhalten bleibt und und die Berechtigungen für File-Server getrennt von anderen technischen Ressourcen verwaltet werden.
Die Berechtigungen, die künftig gelten sollen, werden dann über den AM definiert und zugewiesen. Dies kann ganz konventionell durch Zuordnen von AD-Gruppen oder einzelnen Benutzerkonten zu Verzeichnissen erfolgen.
Dabei muss man keine Bedenken haben, gegen die Regel zu verstoßen, wonach Benutzer einen Zugriff nicht direkt erhalten sollten. AM verwaltet nämlich die Berechtigungen im Hintergrund immer auf Basis von Gruppen, auch wenn man nur einzelne Benutzerkonten zuweist.
Rechtevergabe über Profile
Zusätzlich bietet BAYOONET ein alternatives Konzept über Benutzerprofile. Wenn man so möchte, kann man darunter eine Schablone verstehen, welche mehrere Ordner und die damit verbundenen Berechtigungen enthalten.
Indem man zu solchen Profilen Mitglieder hinzufügt, und zwar wieder in Form von AD-Gruppen oder einzelnen Konten, erhalten diese auf einen Schlag die im Profil definierten Rechte auf alle dort enthaltenen Ordner.
Auf diese Weise lassen sich die Berechtigungen an User, die über mehrere Gruppen verteilt sind, wesentlich einfacher zuordnen. Mehrere dieser Benutzerprofile kann man darüber hinaus zu Organisationsprofilen kombinieren.
Automatische Wiederherstellung des Soll-Zustands
Nach dieser anfänglichen Vergabe von Berechtigungen geht es nun darum, in Zukunft unerwünschte Änderungen zu unterbinden. Diese können etwa von Admins stammen, die dafür auf die Bordmittel von Windows zurückgreifen. Der AM stellt in diesem Fall mit Hilfe periodisch laufender Jobs den Soll-Zustand wieder her.
Die Vergabe von Zugriffsrechten erfolgt für die von Access Manager verwalteten Ordner somit ausschließlich über dieses Tool. Dabei können Benutzer, die über entsprechende Privilegien verfügen, auch weiterhin von sich aus Berechtigungen für User einräumen.
In der Regel werden aber Mitarbeiter selbst die Zugriffsrechte einfordern, die sie für ihre Arbeit benötigen. Allerdings passiert dies beim AM nicht über unkoordinierte und womöglich "inoffizielle" Anfragen an die IT, sondern über einen Workflow, der aus einem Web-basierten Self-Service-Portal angestoßen wird.
Rollen für den Genehmigungs-Workflow
Um alle möglichen organisatorischen Besonderheiten und Zuständigkeiten in Unternehmen abbilden zu können, kennt der AM-Workflow eine ganze Reihe von Rollen. Die wichtigsten sind dabei der Besitzer (der hat nichts mit dem Owner im Dateisystem zu tun) und der Verantwortliche.
Ersterer steht in der Hierarchie üblicherweise über dem Verantwortlichen und ist in das tägliche Management der Zugriffsrechte nicht involviert. Diese Aufgabe übernimmt der Verantwortliche, der vom Besitzer hinzugefügt wird und dem die Genehmigung oder Zurückweisung von Anfragen obliegt. Für Verantwortliche lässt sich bei Abwesenheit ein Vertreter festlegen.
Erst nach der Definition eines Besitzers und eines Verantwortlichen übernimmt AM die Verwaltung des betreffenden Ordners. Dies erkennt man im Web-Portal und in der Management-Konsole an dem Ordner-Icon mit einem orangenen Vorhängeschloss.
Der AM erhebt somit keinen exklusiven Anspruch auf alle Ordner eines File-Servers. Vielmehr kann man etwa die Zugriffsrechte für öffentliche und unkritische Freigaben weiterhin mit den Bordmitteln ohne Workflow verwalten.
In kleineren Abteilungen oder Firmen können der Besitzer und der Verantwortliche die gleiche Person sein. Während nur ein User der Besitzer sein darf, können mehrere Verantwortliche für einen Ordner definiert werden. In diesem Fall gilt dann die Genehmigung oder Ablehnung desjenigen, der zuerst auf die Anfrage reagiert.
Eine Position zwischen Anwender und Verantwortlichen nimmt die Assistenz ein. Sie kommt etwa dort zum Zug, wo der Anwender selbst keine Anfragen stellen soll. In diesem Fall würde die Assistenz an ihrer Stelle zum Beispiel in Absprache mit einem Teamleiter die Zugriffsrechte beantragen.
Um die oben erwähnten Benutzerprofile anzulegen, existiert die Rolle des Profil-Administrators. Hingegen besteht die Aufgabe des Profilverantwortlichen darin, die Profile zu pflegen, also Mitglieder hinzuzufügen oder daraus zu entfernen. Schließlich gibt es noch zwei administrative Rollen, die im Rahmen des Workflows aber keine besondere Bedeutung haben.
Anfrage über das Web-Portal starten
Der konkrete Ablauf einer Anfrage für den Erhalt von Berechtigungen würde damit beginnen, dass der Anwender im Self-Service-Portal den Ordner im Verzeichnisbaum eines File-Servers aussucht, für den er Zugriff benötigt. Es steht dem Besitzer allerdings frei, Ordner mit sensiblen Daten hier erst gar nicht anzuzeigen und so User-initiierte Anträge zu unterbinden.
Unter Zugriffsberechtigungen beantragen wählt er dann entweder Lesen oder Schreiben. AM reduziert die umfangreichen NTFS-Berechtigungen auf diese zwei Grundmuster, weil die vollständige Liste nach Einschätzung des Herstellers für nicht-technische Benutzer zu schwer verständlich wäre. Schreiben umfasst damit auch das Recht auf Erstellen, Bearbeiten und Löschen von Dateien.
Außerdem müssen Anwender auch eine Begründung für ihren Antrag eingeben, weil das betreffende Eingabefeld standardmäßig ein Pflichtfeld ist. Diese lässt sich dann später im Audit-Log einsehen, falls es erforderlich sein sollte. Dort werden sämtliche Änderungen bei den Verzeichnisrechten protokolliert.
Zeitliche Befristung von Berechtigungen
Ein interessantes Feature in diesem Zusammenhang besteht darin, dass der Antragsteller ein Ablaufdatum für die Berechtigung angeben kann, an dem ihm diese wieder automatisch entzogen wird. Bei der Genehmigung kann der Verantwortliche diesen Zeitraum aber bei Bedarf verändern oder überhaupt erst festlegen, wenn der User das nicht selbst getan hat.
Zeitlich befristete Berechtigungen lassen sich auch in den Benutzerprofilen hinterlegen, und zwar für jedes einzelne Mitglied. Weist man nachher über Profile Zugriffsrechte zu, dann verfallen diese zum jeweils festgelegten Ablaufdatum, weil AM die Benutzer und Gruppen dann aus dem Profil entfernt.
Für kritische Ordner können Admins zudem eine maximale Dauer für Berechtigungen vorgeben, damit diese nach dem jeweiligen Zeitraum grundsätzlich explizit erneuert werden müssen. Diese Fristen lassen sich nicht durch ein Datum in der Anfrage überschreiten.
Klassifizierung von Ordnern
Zu den weiteren Features von AM gehört eine Klassifizierung der Ordner abhängig von ihrem Inhalt. Besondere Bedeutung erlangt diese Möglichkeit in Zusammenhang mit Compliance, etwa mit der DSGVO. Auf diese Weise lassen sich Ordner vom Besitzer als solche markieren, die persönliche Daten enthalten und daher besonders geschützt werden müssen.
Aktuell blendet die Software ein entsprechendes Symbol auf der Formularseite ein, um Verantwortliche zu warnen, wenn sie Berechtigungen vergeben.
Künftig soll sich auf Basis der Klassifizierung eine Rezertifizierung von Berechtigungen nach einem gewissen Zeitraum erzwingen lassen.
Erweiterung des Funktionsumfangs
Neben den Berechtigungen für Datei-Server bietet Bayoonet ein Modul für das Berechtigungs-Management von SharePoint an (On-Prem und Office 365). Dieses funktioniert nach dem gleichen Muster wie für freigegebene Ordner. Ein Unterschied besteht darin, dass neben den Rechten für Lesen und Schreiben auch jenes für Gestalten vergeben werden kann.
Darüber hinaus gibt es eine weitere Komponente für die Anbindung von Anwendungen anderer Anbieter. Grundsätzlich kommen dafür solche in Frage, bei denen sich die Berechtigungen über die Mitgliedschaft in AD-Gruppen steuern lassen. Dies könnte beispielsweise eine VPN-Software sein, für die man den Zugriff auf diesem Weg regeln will.
Schließlich ist der Access Manager noch in der Lage, über ein zusätzliches Modul den Ressourcenverbrauch nach Abteilung oder Organisationseinheit abzurechnen. Damit entsteht für die jeweiligen Kostenstellen ein Anreiz, nicht mehr benötigte Daten vom File-Server zu entfernen und so ein notorisches Problem bei zentralen Datenablagen zu entschärfen.
Verfügbarkeit
Informationen des Herstellers zu Access Manager finden sich auf dessen Website. Dort können Interessenten auch eine Trial-Version der Software anfordern.
Die Lizenzierung erfolgt pro Berechtigungsbenutzer, wobei die Lizenzen in 100er-Schritten verfügbar sind. Die Module für SharePoint, Anwendungen von Drittanbietern sowie das Accounting müssen separat erworben werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Access Manager: Wiedervorlage für Mitgliedschaften in AD-Gruppen und für NTFS-Rechte
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- FolderSecurityViewer 2.0: Reports für Verzeichnis- und Freigaberechte, Owner und User-Berechtigungen
- FolderSecurityViewer 1.15: Report pro User, Berichtschablonen, CLI-Programm
- Best Practices zur Verwaltung von NTFS-Berechtigungen
Weitere Links