Was passiert also allzu oft in der Praxis: Der Administrator kopiert die Gruppenmitgliedschaften des Referenz-Nutzer und überträgt sie so, mehr oder minder vollständig, auf den neuen Anwender. Dies geht zwar schnell, widerspricht aber den Sicherheits-Anforderungen, denn zumeist kommt es dadurch zur Übertragung vieler historisch gewachsener und schon lange nicht mehr überprüfter Berechtigungen.
Hilfe für den Administrator
Was der Administrator benötigt, ist ein Werkzeug, das eben diese Infrastruktur-Analyse für ihn übernimmt, die Daten entsprechend abfragt und übersichtlich zur Verfügung stellt. Die grundsätzlichen Fragen hinter einem Change-Request im Bereich Zugangsberechtigungen lauten doch einfach: "Welche Berechtigungen hat der Referenz-Nutzer innerhalb meiner Windows-Infrastruktur? Welche dieser Berechtigungen muss der Antragsteller bekommen?". Die Antwort per Mausklick zu erhalten, käme einer ungeheuren Zeitersparnis gleich.
Bild 2: Eine Software zum Access Management –hier der Access Manager von Quest Software – listet sämtliche Berechtigungen des Anwenders in einer übersichtlichen Baumstruktur auf
Bei dem Betriebssystem Novell Netware ist der Verzeichnisdienst eDirectory – früher bekannt unter dem Namen Novell Directory Services (NDS) – vollständig mit dem File-System integriert. So ist es möglich, direkt aus der administrativen Konsole heraus solche Abfragen zu machen. Für eine Windows-Infrastruktur kann der Administrator auf nützliche Werkzeuge von Drittanbietern, wie zum Beispiel den Access Manager von Quest Software, zurückgreifen.
Solche zusätzlichen Werkzeuge sind eine große Hilfe, wenn sie die Rechte-Struktur übersichtlich darstellen, ähnlich der Ordner- und Unterordner-Auflistung des Windows Explorers. Das Tool analysiert im Hintergrund die Infrastruktur samt eingerichteten Gruppen, Gruppenverschachtelungen und vergebenden Rechten. Von lokalen Administrationsrechten auf dem Desktop über Vollzugriff auf bestimmte Ordner bis hin zu Leserechten auf einzelne Dateien wird alles detailliert aufgelistet. Zusätzlich können die kausalen Zusammenhänge eingesehen werden: Warum – sprich über welche Gruppenmitgliedschaft – hat der Nutzer letztendlich Zugriff auf eine bestimmte Ressource?
Damit die Antwortzeiten in umfangreichen Umgebungen akzeptabel bleiben, empfiehlt es sich, solche Hilfswerkzeuge für das Access Management dauerhaft im Hintergrund zu betreiben. So kann, nachdem die Infrastruktur einmal grundsätzlich analysiert wurde, der Status mittels Delta-Abfragen aktuell gehalten werden. Startet der Administrator eine Abfrage, müssen nur alle Rechte-Änderungen seit der letzten Abfrage geprüft werden. Und diese Werkzeuge leisten mehr als nur Reporting: Der Administrator erhält eine Konsole, mit der er auch gleich Berechtigungen ändern kann. Access-Control-Listen lassen sich ebenso editieren, wie Benutzer aus Gruppen entfernen. Entspricht ein Nutzerprofil nicht dem hinterlegten Standard, empfiehlt die Konsole korrigierende Maßnahmen.
Sicherheit erhöhen und Zeit sparen
Bei der Auswahl einer Lösung eines Drittanbieters sollten IT-Verantwortliche darauf achten, dass sie sich hundertprozentig ins Active Directory integrieren lässt. Denn dann wird gleichzeitig die Verwaltung angebundener Subsysteme, wie zum Beispiel Storage Area Networks (SAN) oder ähnliches, vereinfacht. Alle Systeme, die in Active Directory sichtbar sind, sind es dann auch in der Konsole des aufgesetzten Access-Management-Werkzeugs.
Mithilfe von Drittanbieter-Lösungen lässt sich die Lücke im Access Management von Windows-Infrastrukturen komfortabel schließen. Mit der übersichtlichen Darstellung aller Ressourcen inklusive ihrer kausalen Zusammenhänge und Berechtigungen helfen sie dem Administrator, bei der Bearbeitung von Change-Requests Zeit einzusparen. Nach Erfahrungen aus der Praxis können diese sogar beträchtlich sein und etwa zwei Drittel der vorher benötigten Zeit ausmachen. Und nicht nur das: Erst mit dieser Art der Datenanalyse kann sichergestellt werden, dass Sicherheits-Richtlinien nicht verletzt werden.
<<Vorherige Seite Seite 2 von 2
