Tags: Rechteverwaltung, Active Directory
Wesentlicher Zweck von Access Manager (AM) ist die Vergabe von Verzeichnisberechtigungen über einen Genehmigungs-Workflow. Mitarbeiter können dabei Anträge aus einem Self-Service-Portal stellen. Das 3rd-Party-Modul erweitert dieses Verfahren auf alle Ressourcen, die sich über das AD verwalten lassen.
Das Basismodul von Access Manager (ehemals Fileserver Management Suite) besteht im Prinzip aus zwei Komponenten: einem Workflow- und Dokumentationssystem für das Beantragen und Genehmigen von Berechtigungen sowie einem Agent auf den File-Servern, der die Benutzerrechte anschließend im Dateisystem zuweist bzw. entzieht und bei Abweichungen wieder auf den Soll-Zustand zurücksetzt.
Kontrollierte Vergabe von Zugriffsrechten
Der größte Nutzen der Software entspringt dem ausgefeilten Mechanismus für die Rechtevergabe. Er kann sicherstellen, dass Mitarbeiter nicht mehr und nicht länger Berechtigungen erhalten, als sie benötigen.
Dabei beantragen die Anwender selbst oder ein Mitarbeiter an ihrer Stelle (Rolle "Assistenz") Zugriffsrechte über ein Self-Service-Portal. Das Einräumen von Rechten lässt sich durch das integrierte Rollenkonzept an die Fachabteilungen delegieren (für Details siehe meine Besprechung des AM).
Gegenstand der Genehmigungen sind aber nicht unmittelbar die NTFS-Zugriffsrechte, vielmehr zieht der Access Manager davor eine Verwaltungsebene ein. Sie reduziert beispielsweise die vielfältigen Zugriffsrechte auf "Lesen" und "Schreiben". Außerdem kann sie Ressourcen in Profilen zusammenfassen, die Benutzern unterschiedliche Rechte auf mehrere Verzeichnisse in einem Durchgang einräumen.
In letzter Instanz geht es aber immer um die Mitgliedschaft von Benutzern in Gruppen des Active Directory. Ausschließlich darüber erfolgt die Autorisierung auf Seiten der Ressourcen.
Dabei erlaubt die Software auch eine zeitlich begrenzte Aufnahme von Accounts in AD-Gruppen. Das Ablaufdatum lässt sich entweder bei der direkten Zuteilung von Rechten an einen Benutzer oder über Profile festlegen, denen User angehören.
Anträge müssen in der Regel durch den Mitarbeiter begründet werden. Diese Information sowie die gesamte Änderungshistorie zeichnet das Programm auf und erlaubt so die Einhaltung von Datenschutzrichtlinien.
Rechte-Management für zusätzliche Ressourcen
Nachdem im Zentrum der AM die Kontrolle über die Mitgliedschaften in AD-Gruppen steht, und zwar vermittelt über Workflows und Templates, lag es für die Darmstädter BAYOONET AG nahe, ihr Produkt auf das Berechtigungs-Management anderer Ressourcen auszudehnen. Zu diesem Zweck gibt es ein Modul für SharePoint, das dort die Zugriffsrechte nach dem gleichen Muster umsetzt wie für NTFS.
Darüber hinaus bietet der Hersteller ein generisches Add-on für prinzipiell alle Ressourcen, die sich über das Active Directory verwalten lassen. Dazu zählen zum Beispiel Netzwerkdrucker, VPNs, Datenbanken oder auch elektronische Zugangssysteme für Server-Räume. Ein weiterer Anwendungsfall sind Verteilergruppen in Exchange, für die Mitarbeiter eine Mitgliedschaft ebenfalls über das Self-Service-Portal beantragen können.
Diese Ressourcen lassen sich logisch in so genannten Elementesammlungen gruppieren, die der Administrator in der Konsole anlegt und sinnvollerweise so benennt, dass erkennbar ist, welche Geräte oder Anwendungen darin enthalten sind.
Außerdem verknüpft er die Sammlung mit einer OU, unter der dann die Sicherheits- und/oder Verteilergruppen für den Zugriff auf die jeweiligen Ressourcen angesiedelt sind.
Anschließend können separat benannte 3rd-Party-Administratoren innerhalb dieser Container neue Elemente erzeugen, also etwa Drucker, Anwendungen oder andere dorthin gehörende Ressourcen.
Das 3rd-Party-Modul nutzt dabei alle Funktionen, die Anwender von der NTFS-Rechteverwaltung kennen. Dazu zählt das zeitliche Befristen der Gruppenzugehörigkeit ebenso wie die Aufnahme von Ressourcen in Profile.
Verschiedene Berechtigungen über ein Profil
Auf diese Weise lassen sich Berechtigungen für unterschiedliche Ressourcen bündeln und auf einen Schlag zum Beispiel an die Mitarbeiter einer bestimmten Abteilung zuweisen. Sie erhalten dadurch gleichzeitig Zugriff etwa auf File-Shares, die vorgesehenen Drucker oder auf Mail-Verteiler.
Als praktisch erweist sich dies beim Bereitstellen einer Arbeitsumgebung für neues Personal oder aufgrund der zeitlichen Befristung der Rechte auch für externe Projektteams.
Über das Entfernen aus einem Profil können die Verantwortlichen umgekehrt einem Mitarbeiter, der das Unternehmen verlässt, alle darin enthaltenen Rechte entziehen.
Explizite Autorisierung auf der Ressourcenseite
Das Basis- und das SharePoint-Modul schreiben, wenn nötig, nach Erteilung einer Berechtigung die entsprechenden ACL-Einträge auf den Zielsystemen. Dagegen endet der Auftrag des 3rd-Party-Moduls mit dem Management der Gruppenmitgliedschaften.
Admins müssen dann an der Ressource selbst dafür sorgen, dass bestimmte AD-Gruppen dort die vorgesehenen Rechte erhalten, also zum Beispiel auf einem Drucker ausdrucken dürfen.
AM übernimmt diese Aufgabe nicht, weil es sonst Agents für alle erdenklichen Ressourcen mitbringen müsste, die sich über das Active Directory verwalten lassen.
Die eben erschienene Version 7.4 erlaubt es aber, im Anschluss an die Vergabe einer Berechtigung externe Scripts auszuführen. Damit könnten Admins beispielsweise eine Anwendung veranlassen, AD-Gruppen für bestimmte Funktionen zu autorisieren.
Fazit
Spätestens mit dem Einsatz des 3rd-Party-Modul zeigt sich, dass die alte Bezeichnung "Fileserver Management Suite" zu kurz griff und der neue Name "Access Manager" die Fähigkeiten des Produkts besser abbildet. Es handelt sich im Kern um ein Workflow-basiertes System zur Verwaltung von Gruppenzugehörigkeiten im Active Directory, das auch in der Lage ist, NTFS-Berechtigungen zu implementieren. Theoretisch könnte man damit aber auch Rechte auf AD-Objekte selbst (zum Beispiel OUs) verwalten.
Verfügbarkeit
Weitergehende Informationen zur Fileserver Management Suite finden sich auf der Website des Herstellers. Dort können Interessenten auch eine Testversion der Software anfordern.
Die Lizenzierung des Basismoduls erfolgt pro Berechtigungsbenutzer, wobei die Lizenzen in 100er-Schritten verfügbar sind. Das 3rd-Party-Modul muss extra erworben werden, und zwar immer für die gleiche Benutzerzahl wie das Basismodul.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Besitzer von Computer-Objekten im Active Directory anzeigen und ändern
- Berechtigungen für Domain Join delegieren
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Gruppen in Azure AD: Security vs. Microsoft 365, dynamische vs. statische
- Rollen in Azure und Azure Active Directory
Weitere Links