BAYOOSOFT Access Manager: Zugriff auf Drucker, Verteilergruppen, VPNs etc. über Workflows genehmigen

    Fileserver Management SuiteWesent­licher Zweck von Access Manager (AM) ist die Ver­gabe von Ver­zeichnis­berech­tigungen über einen Geneh­migungs-Workflow. Mit­arbeiter können dabei Anträge aus einem Self-Service-Portal stellen. Das 3rd-Party-Modul erweitert dieses Ver­fahren auf alle Res­sourcen, die sich über das AD ver­walten lassen.

    Das Basismodul von Access Manager (ehemals Fileserver Management Suite) besteht im Prinzip aus zwei Komponenten: einem Workflow- und Dokumentations­system für das Beantragen und Genehmigen von Berech­tigungen sowie einem Agent auf den File-Servern, der die Benutzer­rechte anschließend im Datei­system zuweist bzw. entzieht und bei Abweichungen wieder auf den Soll-Zustand zurücksetzt.

    Kontrollierte Vergabe von Zugriffsrechten

    Der größte Nutzen der Software entspringt dem ausgefeilten Mechanismus für die Rechte­vergabe. Er kann sicher­stellen, dass Mitarbeiter nicht mehr und nicht länger Berechtigungen erhalten, als sie benötigen.

    Dabei beantragen die Anwender selbst oder ein Mitarbeiter an ihrer Stelle (Rolle "Assistenz") Zugriffs­rechte über ein Self-Service-Portal. Das Einräumen von Rechten lässt sich durch das integrierte Rollen­konzept an die Fach­abteilungen delegieren (für Details siehe meine Besprechung des AM).

    Die vorgegebenen Rollen für den Workflow der Fileserver Management Suite

    Gegenstand der Geneh­migungen sind aber nicht unmittelbar die NTFS-Zugriffsrechte, vielmehr zieht der Access Manager davor eine Verwaltungs­ebene ein. Sie reduziert beispiels­weise die viel­fältigen Zugriffsrechte auf "Lesen" und "Schreiben". Außerdem kann sie Ressourcen in Profilen zusammenfassen, die Benutzern unter­schiedliche Rechte auf mehrere Verzeich­nisse in einem Durchgang einräumen.

    In letzter Instanz geht es aber immer um die Mit­gliedschaft von Benutzern in Gruppen des Active Directory. Ausschließlich darüber erfolgt die Autorisierung auf Seiten der Ressourcen.

    Mitglieder zeitlich befristet zu einem Profil hinzufügen

    Dabei erlaubt die Software auch eine zeitlich begrenzte Aufnahme von Accounts in AD-Gruppen. Das Ablauf­datum lässt sich entweder bei der direkten Zuteilung von Rechten an einen Benutzer oder über Profile festlegen, denen User angehören.

    Anträge müssen in der Regel durch den Mitarbeiter begründet werden. Diese Information sowie die gesamte Änderungs­historie zeichnet das Programm auf und erlaubt so die Einhaltung von Daten­schutz­richtlinien.

    Rechte-Management für zusätzliche Ressourcen

    Nachdem im Zentrum der AM die Kontrolle über die Mitglied­schaften in AD-Gruppen steht, und zwar vermittelt über Workflows und Templates, lag es für die Darmstädter BAYOONET AG nahe, ihr Produkt auf das Berechtigungs-Management anderer Ressourcen auszudehnen. Zu diesem Zweck gibt es ein Modul für SharePoint, das dort die Zugriffs­rechte nach dem gleichen Muster umsetzt wie für NTFS.

    Darüber hinaus bietet der Hersteller ein generisches Add-on für prinzipiell alle Ressourcen, die sich über das Active Directory verwalten lassen. Dazu zählen zum Beispiel Netzwerk­drucker, VPNs, Daten­banken oder auch elektronische Zugangs­systeme für Server-Räume. Ein weiterer Anwendungs­fall sind Verteiler­gruppen in Exchange, für die Mitarbeiter eine Mitglied­schaft ebenfalls über das Self-Service-Portal beantragen können.

    Elementesammlungen gruppieren zusammengehörige Ressourcen

    Diese Ressourcen lassen sich logisch in so genannten Elemente­sammlungen gruppieren, die der Administrator in der Konsole anlegt und sinnvollerweise so benennt, dass erkennbar ist, welche Geräte oder Anwendungen darin enthalten sind.

    Außerdem verknüpft er die Sammlung mit einer OU, unter der dann die Sicherheits- und/oder Verteiler­gruppen für den Zugriff auf die jeweiligen Ressourcen angesiedelt sind.

    Neue Ressource innerhalb einer Elementesammlung erstellen

    Anschließend können separat benannte 3rd-Party-Administratoren innerhalb dieser Container neue Elemente erzeugen, also etwa Drucker, Anwendungen oder andere dorthin gehörende Ressourcen.

    Berechtigungen für Drucker vergeben. Im Hintergrund erfolgt dies durch Hinzufügen der User zu AD-Gruppen.

    Das 3rd-Party-Modul nutzt dabei alle Funktionen, die Anwender von der NTFS-Rechteverwaltung kennen. Dazu zählt das zeitliche Befristen der Gruppen­zugehörigkeit ebenso wie die Aufnahme von Ressourcen in Profile.

    Verschiedene Berechtigungen über ein Profil

    Auf diese Weise lassen sich Berechtigungen für unterschiedliche Ressourcen bündeln und auf einen Schlag zum Beispiel an die Mitarbeiter einer bestimmten Abteilung zuweisen. Sie erhalten dadurch gleichzeitig Zugriff etwa auf File-Shares, die vorge­sehenen Drucker oder auf Mail-Verteiler.

    Ein Profil kann die Berechtigungen auf verschiedene Ressourcen zusammenfassen.

    Als praktisch erweist sich dies beim Bereitstellen einer Arbeits­umgebung für neues Personal oder aufgrund der zeitlichen Befristung der Rechte auch für externe Projektteams.

    Über das Entfernen aus einem Profil können die Verant­wortlichen umgekehrt einem Mitarbeiter, der das Unternehmen verlässt, alle darin enthaltenen Rechte entziehen.

    Explizite Autorisierung auf der Ressourcenseite

    Das Basis- und das SharePoint-Modul schreiben, wenn nötig, nach Erteilung einer Berechtigung die entsprechenden ACL-Einträge auf den Ziel­systemen. Dagegen endet der Auftrag des 3rd-Party-Moduls mit dem Management der Gruppen­mit­glied­schaften.

    Admins müssen dann an der Ressource selbst dafür sorgen, dass bestimmte AD-Gruppen dort die vorge­sehenen Rechte erhalten, also zum Beispiel auf einem Drucker ausdrucken dürfen.

    Während das Basismodul die NTFS-Berechtigungen konfiguriert, beschränkt sich das 3rd-Party-Modul auf Mitgliedschaften in Gruppen

    AM übernimmt diese Aufgabe nicht, weil es sonst Agents für alle erdenklichen Ressourcen mitbringen müsste, die sich über das Active Directory verwalten lassen.

    Die eben erschienene Version 7.4 erlaubt es aber, im Anschluss an die Vergabe einer Berechtigung externe Scripts auszuführen. Damit könnten Admins beispiels­weise eine Anwendung veranlassen, AD-Gruppen für bestimmte Funktionen zu autorisieren.

    Fazit

    Spätestens mit dem Einsatz des 3rd-Party-Modul zeigt sich, dass die alte Bezeichnung "Fileserver Management Suite" zu kurz griff und der neue Name "Access Manager" die Fähigkeiten des Produkts besser abbildet. Es handelt sich im Kern um ein Workflow-basiertes System zur Verwaltung von Gruppen­zugehörig­keiten im Active Directory, das auch in der Lage ist, NTFS-Berechtigungen zu implementieren. Theoretisch könnte man damit aber auch Rechte auf AD-Objekte selbst (zum Beispiel OUs) verwalten.

    Verfügbarkeit

    Weitergehende Informationen zur Fileserver Management Suite finden sich auf der Website des Herstellers. Dort können Interessenten auch eine Testversion der Software anfordern.

    Die Lizenzierung des Basismoduls erfolgt pro Berechtigungs­benutzer, wobei die Lizenzen in 100er-Schritten verfügbar sind. Das 3rd-Party-Modul muss extra erworben werden, und zwar immer für die gleiche Benutzerzahl wie das Basismodul.

    Keine Kommentare