[English]Wie haltet ihr es eigentlich mit der Zertifizierung von Zugriffsrechten für die Benutzer? Zugriffs-Zertifizierung beschreibt die unabhängige Prüfung der Zugriffsrechte durch einen Auditor. Dieser untersucht, ob die den Benutzern gewährten Rechte wirklich notwendig sind. Ein gründlicher Prozess zur Zertifizierung des Benutzerzugriffs stellt sicher, dass die digitale Identität jedes Mitarbeiters nur die Berechtigungen hat, welche für die Erfüllung seiner Aufgaben nötig sind. So wird auch die Sicherheit der internen Daten gewährleistet. Mir ist kürzlich ein Text von Omada zugegangen, der sich mit dieser Fragestellung befasst. Ich stelle die Informationen mal hier im Blog ein.
Anzeige
Wenn die Belegschaft wächst und sich immer weiter ausdehnt, können sich die Zugriffsanforderungen im Handumdrehen ändern. Unternehmen sollten darauf achten, dass sie ihren Mitarbeitern, externen Auftragnehmern, Prüfern oder Saisonarbeitern nicht überhastet zu viele Zugriffsrechte für die Erfüllung ihrer Aufgaben einräumen, die gar nicht erforderlich sind. Meint jedenfalls Stephen Lowing, VP Marketing bei Omada.
Um ernsthafte Sicherheitsrisiken und versäumte Audits zu vermeiden, sollte jedes Unternehmen regelmäßige Zugriffs-Zertifizierungen durchführen. Dieser Artikel klärt, welche Bereiche im Unternehmen man hierbei besonders priorisieren sollte und welche Vorteile Zugriffs-Zertifizierungen IT-Sicherheitsverantwortlichen bieten können.
Wichtige Bereiche für die Zugriffskontrolle
Eine Liste über aktive Zugriffs-Berechtigungen und ein Plan zum Entfernen von Zugangsrechten, die nicht mehr benötigt werden, sind das Herzstück eines erfolgreichen IGA-Programms (Identity Governance and Administration). Dabei gibt es eine große Anzahl von Variablen, die bestimmen, welche Zugangsrechte und Berechtigungen gewährt werden sollten:
1. Geschäftsressourcen
Anzeige
Verschiedene Personen benötigen Zugang zu verschiedenen Arten von Anwendungen, sei es Infrastruktur wie Azure oder AWS, Datenbanken, Kommunikationsanwendungen wie Teams und Slack, CRMs wie Salesforce oder ITSM-Tools wie ServiceNow.
Ebenfalls gilt es zu beachten: Bestimmte Anwendungen sind nur für bestimmte Gruppen der Belegschaft erforderlich, während einige von ihnen von allen benötigt werden. Ein Beispiel für einen solchen gemeinsamen Nenner: Höchstwahrscheinlich benötigen alle Mitarbeiter in einer Organisation Zugang zu einem E-Mail-System.
2. Arbeitsorte
Je nachdem, wo die Mitarbeiter arbeiten, benötigen sie Zugang zu verschiedenen Dingen, beispielsweise zu physischen Standorten wie Büros. Ebenfalls denkbar ist, dass sie sich über verschiedene VPN-Standorte, geografische Untergruppen von Anwendungen oder bestimmte Kundendaten anmelden müssen, um die lokalen Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) einzuhalten.
3. Funktion oder Status des Arbeitsplatzes
Die Arbeitsplatzfunktion ist meist an die Rolle im Unternehmen gebunden. Eine Person, die an einem Fließband arbeitet, hat beispielsweise Zugriff auf fertigungsbezogene Systeme, während ein Back-Office-Mitarbeiter ganz andere Berechtigungen für die Finanz- und Buchhaltungsanwendungen des Unternehmens hat.
Eine weitere Variable könnte die Art des Beschäftigungsverhältnisses sein: Vollzeitbeschäftigte sollten andere Zugriffsrechte erhalten als Zeitarbeitskräfte und Zugang zu Ressourcen wie betrieblichen Leistungen haben. Es ist immer wichtig, Rollen und Kontexte als kritische Komponente für die kontinuierliche Verwaltung und Regelung von Zugriffsrechten zu identifizieren.
Diese Variablen, die oft kontextabhängig sind, können auch auf der Grundlage von Ereignissen gewährt werden: entweder regelmäßig auftretende und geplante oder solche, die kurzfristig eintreten. Beispiele dafür sind:
- Audits: Wenn eine Prüfung ansteht, müssen Unternehmen nachweisen können, dass nur bestimmte Personen Zugang zu bestimmten Systemen haben. Möglicherweise müssen sie auch zusätzliche Personen mit Zugriff auf Datenbanken und verschiedene Anwendungen beauftragen, um die für ein bestimmtes Audit benötigten Daten zu sammeln.
- Hochsaison: Vor allem im Einzelhandel herrscht um die Feiertage herum oft Hochsaison. Allerdings findet diese in verschiedenen Branchen zu unterschiedlichen Zeiten statt und kann mit der Einstellung zusätzlicher Mitarbeiter zur kurzfristigen Unterstützung zusammenfallen, was zu einem Anstieg der Zahl der Zeitarbeiter führt.
In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird. Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.
Vorteile einer regelmäßigen Zertifizierung des Zugriffsmanagements
Mit einer regelmäßigen Zertifizierung der Zugriffsverwaltung können Unternehmen überprüfen, ob die richtigen Personen weiterhin Zugriff auf die richtigen Ressourcen haben, um ihre Aufgaben zu erledigen – und gleichzeitig inaktive und stillgelegte Konten identifizieren.
Es ist unverzichtbar, die korrekte Zugriffszuweisung für die verschiedenen Geschäftsrollen zu validieren, damit die Sicherheits- und Compliance-Risiken im Unternehmen minimiert werden können.
Kampagnen zur Zugriffs-Zertifizierung
Unternehmen brauchen die Möglichkeiten, kontinuierlich zu zertifizieren. Nur so können Zugriffsrechte sicher verwaltet werden und sichergestellt werden, ob diese überhaupt weiterhin benötigt werden.
Bei der Erstellung von Zertifizierungskampagnen sollten Organisationen Folgendes anstreben:
- Daten darüber sammeln, wer auf was, wann, warum, wie oft usw. zugreift
- Umfragen einrichten, die für Geschäftsanwender schnell zu beantworten und für Administratoren schnell einzurichten sind
- Detaillierte Daten sammeln, um intelligentere Geschäftsentscheidungen treffen zu können
- Interpretation der Ergebnisse auf eine Art und Weise, die für Sicherheits- und Risikomanagement-Teams leicht umsetzbar ist, sodass die geringsten Rechte gewahrt bleiben
- Nachweis der Konformität gegenüber Prüfern
- Automatisierung von Prozessen, die zuvor manuell durchgeführt wurden
Zugriffs-Zertifizierungskampagnen sind eine Möglichkeit für Unternehmen, Berechtigungen zu prüfen und formell zu bestätigen, dass die Zugriffsrechte von Einzelpersonen angemessen sind. Konzeptionell gesehen zielen diese Kampagnen darauf ab, nicht mehr benötigten Zugang zu entfernen, oder den Zugang zu Ressourcen dauerhaft zu genehmigen, die zuvor ad hoc gewährt wurden.
Wer Zertifizierungskampagnen ernst nimmt und regelmäßig durchführt, stellt nicht nur die Compliance-Treue und Einhaltung gesetzlicher Regularien sicher, sondern schützt auch wertvolle Kunden- und Unternehmensdaten. Selbst wenn Cyberkriminelle im schlechtesten Falle Login-Daten erlangen und korrumpieren, werden ihnen so durch zuvor geringstmöglich vergebene Zugriffsrechte frühzeitig die Wege abgeschnitten.
Anzeige
>>> Wie haltet ihr es eigentlich mit der Zertifizierung von Zugriffsrechten für die Benutzer? <<<
Easy; der Praktikant arbeitet aus (1) die Tabellen von PDF-S. 51 bis 694 ab, dann lassen wir den Prüfer kommen. Frau von Witzleben kocht ihm immer lecker Kaffee.
Im Ernst: Ich würde einen Besen fressen wenn im Betrieb irgendeines Foristen sowas nur ansatzweise geschweige denn vollständig und seriös praktiziert würde. Diese ganzen Prüfkataloge sind letzten Endes Hirnwichserei und wurden geschaffen, um den Konsorten von Accenture, PwC, EY etc. im Auditiergeschäft Umsätze zu bescheren.
(1) nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar5.pdf
Dem kann ich nur zustimmen. Wer so arbeitet, schafft sich einen gigantischen Overhead und jede Menge Bullshit-Jobs.
Dabei ist die Alternative ziemlich einfach: Die Prozesse so auslegen, dass aus Aufgabenwechseln und Aushilfeberechtigungen erst gar keine Rechteexzesse hervor gehen.
Jede Rolle, die ein Mitarbeiter einnehmen kann, als Rechtegruppe einrichten. Dann bekommen die festen Mitarbeiter alle die Rollen, die Ihnen arbeitgeberseitig fest zugewiesen sind. Dafür kommen alle zugehörigen Rollengruppe in die Stellengruppe des Mitarbeiters.
Jetzt weist man in den Teams einzelnen Stellen die Möglichkeit zu, vorübergehend Rollen direkt an die Mitarbeiter zu verteilen, also der Person Rollengruppen zuzweisen. Nicht den Stellengruppen, dem Mitarbeiter direkt. Machen sie das, lässt man über das Ereignis ein Ticket öffnen, in dem der Grund einzutragen ist.
Aus den vorübergehenden Rollengruppen wird der Mitarbeiter nach Zeit X (z.B. einfach jede Nacht) automatisiert wieder rausgeworfen, so dass der Mitarbeiter wieder nur seine Stellengruppe hat.
Soll der Mitarbeiter dauerhaft eine Aufgabe zusätzlich übernehmen, dann kann das entgeltrelevant sein und sollte eh über die Personalabteilung gehen. Dort wird die Stelle angepasst, dann die Stellengruppe und dann ist das permanent.
Soll der Mitarbeiter Aufgaben nicht mehr übernehmen, dann gilt das Gleiche.
Wenn Du jetzt trotzdem noch ein Rechteaudit machen willst, dann lässt Du Dir alle Mitarbeiter mit den Rollengruppen in ihren Stellengruppen per Skript auswerfen und vergleichst das mit den Stellendefinitionen. Warst Du clever, dann sind die Übersichten gleich aufgebaut und das geht fix.
Einmal durch, Willy drunter und das Audit ist fertig.
Halt keine Rechtezuweisung außerhalb der Rollengruppen. Und konkrete Rechte auf Ressourcen werden eh in einem dokumentierten Change geändert.
Aber, natürlich kann man sich auch eine gigantische Compliance-Blase aufbauen. Die Leute brauchen ja gut bezahlte Jobs und irgendwie muss man die Produktivität ja auch im Zaum halten…
Mich würde interessieren, welche Tools ihr einsetzt, um die Berechtigungsverwaltung eines AD besser zu organisieren.
LG, Frank
Keine Tools, Gruppen. Die Berechtigung auf Ordner wird ausschließlich per Mitgliedschaft geregelt (bis ein depperter Windows Admin daher kommt und wieder namentliche Rechte oder Ausnahmen zuweist).
Hallo, das mit den Gruppen ist mir klar. Allerdings fehlt mir noch ein optisch und dokumentationstechnisch schickes Tool. Aktuell erstelle ich mir mit einem Powershell Script eine csv Datei, wo ich dann kompakt sehen kann welche Gruppe welche Rechte hat und welche Mitarbeiter in welchen Gruppen sind. Das gefällt mir aber nicht.
Mmm okay ist vergleichbar mit dem, was ich auch mache. Ich habe bislang noch nicht die Notwendigkeit gesehen das anders zu machen. Ansonsten gibt es die Gespeicherten Abfragen in der MMC (AD Benutzer & Gruppen). Da kannst Du auf dem schnellen Blick z.B. gesperrte Accounts, leere Gruppen oder Benutzer mit Adminrechten schnell einsehen.
Das man Gruppen macht ist klar, aber das ist nur eine Seite vom Problem.
Du hast halt oft den Fall, dass Mitarbeiter X mal Zugriff auf Unterordner Y benötigt. Dann erstellt man eine Gruppe für Nutzer X. Das sollte man natürlich vermeiden oder unterbinden, aber es gehört halt auch zum Arbeitsalltag…
Dann hat man evtl. in bestimmten Bereichen auch noch eine Unterscheidung zwischen regulären Mitarbeitern und z.B. Auszubildenden, die ggf. halt auch nicht alles sehen sollen/brauchen.
Ich glaube das ist dann eher das Problem. Du siehst zwar wer in der Gruppe ist, aber dann nachzuvollziehen welche der XXXX Ordner jetzt zu der Gruppe gehören.
Nein eben genau keine Gruppe für den User, sondern für den Ordner! Dein Beispiel ist für mich kein Problem, da jedem (Haupt-)Ordner wie z.B. G: / Einkauf es auch eine korrespondierende Gruppe mit dem Namen "files_write_einkauf" oder "files_read_einkauf" gibt. Wer, welche Rechte hat siehst Du aus den selbsterklärenden Namen und der Gruppenzugehörigkeit. In einer CSV wunderbar sichtbar. Problem sind halt nur dazwischen funkende Admins, wie eingangs erwähnt oder hab ich was übersehen?
"Mir ist kürzlich ein Text von Omada zugegangen"
Ok, Omada ist offensichlich ein Vehikel das in dem Umfeld Geld verdienen möchte – was wohl niemanden überrascht.
Wie geht einem sowas genau zu? Schicken die einem das und sagen das dürfen sie bitte gerne veröffentlichen, vielen Dank und schönes Restleben noch?
der informierte Mensch weiß, das es Pressemitteilungen gibt, die Redaktionen zugehen
Schwachsinn. Bürokratie auf allerhöchstem Niveau . Braucht kein Mensch. Nur wieder eine lukrative Quelle um viel Geld zu verdienen.
Verringert aber die Angrffsfläche. Beispiel: Dateiserver. Wenn jeder Benutzer nur auf das zugreifen kann, was er braucht, dann kann eine Ransomware in seinem Kontext schon nicht mehr so einen großen Schaden anrichten. Es erschwert auch Datendiebstahl durch Insider. Nur diese Zugriffsrechte erstmal zu prüfen, wissen, wer was tatsächlich nutzt, das ist eine Herausforderung, wer hat was im Zugriff, und was davon braucht er nicht? Mit den Mitteln des Datei-Explorers eigentlich nicht zu stemmen. Es gibt ein paar Audit-Tools, die das können, Varonis ist zum Beispiel sehr stark in diesem Thema, und das nicht nur auf onprem Dateisystemen, sondern auch in OneDrive, OneNote, Teams, Sharepoint(-Online), Exchange(-Online), Confluence, dem (EntraID-)AD usw., neuerdings sogar Copilot. Die lassen sich das aber auch gut bezahlen.
Wenn du dich mit dem Thema IT-Risiken auseinandersetzt, der Vorstufe für die IT-Sicherheit, wirst du eines Tages merken, dass es kein "Schwachsinn" und auch keine "Bürokratie auf allerhöchstem Niveau" ist.
Durch jahrelanges "Copy and paste" von User-Profilen im AD wurden Zugriffe auf hochsensible Bereiche und Geschäftsdaten selbst an Beschäftigte aus Bereichen vervielfacht, die sie nicht mal ansatzweise benötigen. Über die Jahre kamen dann natürlich Tool X und Y sowie die Dienste A und B dazu, natürlich mit neuen Berechtigungen, die kreuzquer "nach bestem Wissen und Gewissen" vergeben wurden.
Das Ergebnis ist, dass ich heute im Support und Service immer wieder auf Zugriffe stoße, obwohl der betreffende Mitarbeiter bereits vor drei aus dem Unternehmen ausgeschieden ist. Die Zugriffe funktionierten sogar noch, obwohl das E-Mail-Konto nicht mehr existierte. Es waren Standardkennwörter im Einsatz, die man leicht knacken konnte.
Es ist dafür – wie überraschend – niemand zuständig, aber es wird beinahe täglich – süffisant gerne mit Verweis auf diesen Blog – über die wachsenden IT-Risiken und IT-Sicherheitsbedrohungen gefaselt.
Und dann steht da noch NIS2 vor der Tür…, halleluja!
Edit: Mit NIS2 dürfte dann § 2 Abs. 2 BSIG stärker in den Fokus rücken. Übrigens: Für Unternehmen gibt es teilweise schon seit Jahrzehnten gesetzliche und regulatorische Anforderungen zum Risikomanagement.
"Durch jahrelanges "Copy and paste" von User-Profilen im AD [..]"
Bei solchen Vorgehensweisen in der Historie ist es vielleicht sinnvoller, die Rechtestruktur einmal komplett neu zu aufzusetzen. Dann kann man auch gleich noch moderne Tier-Konzepte mit umsetzen.
Dann muss man das zwar auch einmal durchauditieren, kann dann aber mit Hilfe dieser Erkenntnisse richtig Ordnung schaffen und eine pflegeleichtere Struktur aufbauen.
Ich habe mal drei Jahre mit einer so undurchsichtig administrierten Umgebung hantieren müssen und da dann wirklich den ganzen Forest neu aufgebaut, weil das schlichtweg nicht mehr handlebar war und beim tieferen Stochern immer absurdere Rechtezuweisungen auch in Systemrollen auftauchten. Irgendwann hilft wirklich nur noch wegschmeißen und neu machen.
"Bei solchen Vorgehensweisen in der Historie ist es vielleicht sinnvoller, die Rechtestruktur einmal komplett neu zu aufzusetzen."
Das habe ich mehrfach vorgeschlagen, ohne Ergebnis. Das Stochern ist nach zwei Jahren immer noch Standard. Aber ich sage mal so, ich muss am Ende nicht meinen Kopf dafür hinhalten. Mehr als darauf hinzuweisen ist in meiner Funktion nicht.
Keine Sorge wir machen das aber wir benötigen keine externe Firma. ;)
Wir nutzen auch Tools wie Purple Knight
>>> § 2 Abs. 2 BSIG <<<
Und was sagt uns der Papiertiger an der dortigen Stelle? Dieses:
"Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, …"
Und welche Sicherheitsstandards sollen das sein? Und wodurch genau sollen diese Rechtskraft erlangt haben?
Nebelkerzen allüberall.
Siehe BSI-Grundschutz
Siehe Basistipps zur IT-Sicherheit des BSI
…
>>> Siehe BSI-Grundschutz … Siehe Basistipps zur IT-Sicherheit des BSI <<<
Lächerlich. Schauen Sie sich ausgehend von den Bussgeldvorschriften (1) einmal an, wer da überhaupt in Frage kommt, die über weite Strecken auf Praktikantenniveau verfassten 'BSI-Papierchen' beherzigen zu müssen. Die in Ludwigshafen a. Rh. domizilierte BASF SE mit knapp 70 Mrd. Euro Jahresumsatz schon mal nicht!
(1) http://www.gesetze-im-internet.de/bsig_2009/__14.html
Lol, dann mal nachlesen auf welche Windows Versionen sich das bezieht…
Ich sags ja immer wieder, wenn ich irgendwelche externe Berater für sowas brauche, läuft bereits grundsätzlich was schief! Ist bei Zertifisizierungen nicht viel anders, oftmals das Papier nicht Wert auf den sie stehen… wie oft hab ich das schon in Firmen gesehen: da wird vor sich hingewurstelt, dann steht nen Audit an und dann wird schnell alles auf Vordermann gebracht, die Leute unterwiesen was sie zu sagen/machen haben… das Audit rum und bestanden und es geht weiter wie davor!
Audit sind nur dann sinnvoll wenn sie jederzeit unangekündigt passieren können!
Wer die dann besteht arbeitet ordentlich!
Jeder bekommt nur die Rechte die er Aufgrund seiner Position braucht… das wird täglich; wöchentlich (je nach Relevanz) abgeglichen und fertig… die Security Appliance prüft gegen die Berechtigungsmatrix gegen.
Ich finde es schon verblüffend, wie Omada in (1) wortreich von Problemen, Regelverstößen, Unregelmäßigkeiten, Compliance, Zertifizierung, Risiko- und Audit-Reporting spricht, ohne je konkreter zu werden, welche allfällig einschlägigen Normen, Standards, Regelwerke Unternehmen von Gesetzes wegen – wenn überhaupt – einzuhalten haben. Und von wo und wem sollen sich denn da Prüfer in den Betrieb zwängen können, deren Prüfungsergebnisse mit rechtsverbindlichen Auflagen oder Bussgeldern verbunden sind?
Eine digitale Steuerprüfung (2) hat puncto IT zwar ihre Herausforderungen und ist ernst zu nehmen. Ob da aber jemand zuviel Rechte in Dateisystemen oder den LDAP Trees besitzt, interessiert das Fnanzamt herzlich wenig. Zumindest solange es keinen Verdacht krimineller Praktiken schöpft und die Forensik aufmarschieren lässt.
Die staatlichen Datenschutzbehörden wiederum erscheinen nur anlassbezogen bei stark zu vermutenden Verstössen, um gezielt zu ermitteln. Da wird nicht gefragt, ob die IT konform zu den Regelwerken XYZ aufgestellt ist und wann das letztmals von welcher öffentlich bestellten Instanz testiert wurde.
(1) omadaidentity.com/de/loesungen/compliance/
(2) pwc.de/de/steuern/digitale-steuerpruefung.html
Omada ist ein international agierendes Unternehmen.
Von welchen Land sollen die die Rechtsvorschriften nennen?
Selbst wenn die das tun würden, hätten die keine Relevanz in einem anderen Land.
Daher bleibt Omada da allgemein, da es eben keine länderübergreifend einheitlichen Vorschriften und Standards gibt.
Ein selten einfältiger Beitrag, der ohne Not auch noch Unternehmen die Füsse küsst, die mit der Angabe von Referenzen auf Kriegsfuss stehen. Es gibt Aberdutzende einschlägiger internationaler Normen mit vielfach regulatorischer Wirkung in der Informationssicherheit (1). Es gibt im Weiteren Datenschutzgesetze für grosse Wirtschaftsräume (2) (3), die überall dort eingehalten werden müssen und in der Produktwerbung zum Tragen kommen, wo Anbieter in den Märkten auftreten. Wer sich da mit seinen Produkten nicht einmal ansatzweise erklären kann, hat einen schlechten Stand.
(1) iso.org/ics/35.020/x/
(2) gdpr-info.eu/
(3) varonis.com/blog/us-privacy-laws
Umlaute in URLs weglassen kann schon lustig sein:
…/2024/08/04/inventur-der-identitten …
Dennoch: super Artikel :-)
Klingt für mich wie ein zusätzicher Compliance Layer. Solange ein Unternehmen diese unsäglichen SMB-Shares und Microsoft Office (zur Fairness: auch andere Office-Produkte) nutzt, sind alle Anstrengungen vergebene Lebensmühe.
Für mich ist jeder Einsatz von einem Excel oder Word, der über das Darstellen und/oder Ausdrucken hinaus geht eine Heuristik für kaputte Prozesse und eine miserable ERP-Software in einem Unternehmen.
> In diesen Zeiten haben IT-Teams alle Hände voll zu tun, da den Mitarbeitern der Zugang zu bestimmten Ressourcen mit hoher Priorität zugewiesen wird.
> Umso wichtiger ist es dann, diesen Zugang wieder zu entziehen, wenn die Saison vorbei ist.
Und genau hier liegt bei vielen Unternehmen das Problem. Das entziehen der Berechtigungen, wenn das Team oder die Abteilung gewechselt wird!
Hier wird leider viel zu oft geschludert!
Es gibt von Microsoft Empfehlungen, wie die rollen-basierter Zugriffssteuerungen umgesetzt werden sollten. Nennt man AGDLP Prinzip.
D.h. nicht nur Erweitern der Berechtigungen(!), sondern auch Entziehen der Berechtigungen(!).
Ich habe dieses Thema schon so oft angesprochen. Doch fast immer wird es unter den Tisch gekehrt. Wenn dann ein Security-Audit durchgeführt wurde. Und diese Fehlverhalten dann festgestellt wurde, ist die Aufregung groß.
Ich lege bewusst den Finder in diese Wunde. Um das Unternehmen damit zu schützen. Und nicht um mich zu profilieren. Grundsätzlich sollten nur die Berechtigungen vorhanden sein, welche auch benötigt werden. Nicht mehr und auch nicht weniger.
Sollte man nicht eher erstmal das Tool für die Rechtevergabe zertifizieren anstatt die Rechtevergabe an sich zu zertifizieren? :-\ -_-
Ich würde mal behaupten, dass ein Großteil der "Schlampereien" dadurch entsteht, dass die Rechtevergabe unnötig komplex, von der Realität losgelöst und auch teilweise schlecht Umgesetzt ist.
Ich finde den Namen "Omada" verwirrend… so heißt das Enterprise Tool zum Verwalten von Switches und APs von TP-Link. Die haben doch den Namen und die Marke bestimmt in den entsprechenden Nizza-Klasse schützen lassen, wie kann es sein, dass da so eine Business-Casper-Berater-Bude aus Dänemark mit dem gleichen Namen rumfurhwerkt?
>>> Wie haltet ihr es eigentlich mit der Zertifizierung von Zugriffsrechten für die Benutzer?
Kurze und klare Antwort: Nein.
Klingt nach einer Beschäftigungstherapie für Konzerne und einer Gelddruckmaschine für die von dir genannte Firma. Allerdings sind wir (Mittelständler mit niedrig achtstelligem Umsatz, aber vergleichsweise wenig Büropersonal) natürlich auch nicht unbedingt der Vergleichsmaßstab – die Gnade überschaubarer Strukturen oder so :D
Es gibt den Access Rights Manager, das war als "8Man" ein deutsches Produkt von "Protected Networks", wurde leider irgendwann von Solarwinds gekauft und von "8Man" in "Access Rights Manager" umbenannt.
Wir verwenden den ausschließlich zum Auslesen der Berechtigungen, mit dem kann man aber auch ein Self-Service-Portal betreiben, das kostet extra. Bei uns darf das Produkt weder im AD noch auf dem Storage schreiben.
Wir haben 250 Mitarbeiter + Studenten, aber ca. 4000 Gruppen. Der ARM kann die Berechtigungen nach Ressource (Wer hat hier Zugriff?) oder nach Benutzer (Welche Ressourcen darf Nutzer sehen?) anzeigen. Er kann geänderte Berechtigungen im Dateibaum anzeigen. Damit konnten wir im gesamten Dateibaum saubere Berechtigungen identifizieren und durchvererben.
Man kann für einen Bereich sogenannte "Fileowner" (z. B. Abteilungsleiter) festlegen und für ihren Bereich zeitlich gesteuert eine Mail mit Link zustellen, über den diese Fileowner die Berechtigungen überprüfen können.
Man kann Änderungen im AD mitloggen und überprüfen.
Es ist ein schönes Tool, um Dinge sichtbar zu machen, kostet allerdings.
Es haben sich Regeln herauskristallisiert, die auch im Netz best practice sind:
Berechtigungen werden *IMMER* über Gruppen geregelt, *NIEMALS* einen Nutzer direkt berechtigen. Es gibt Zugriffsgruppen auf einen Ordner, Nutzergruppen werden Mitglied in Zugriffsgruppen. So spart man sich tagelange Rechtesetzungsorgien.
Berechtigungen möglichst ausnahmslos durchvererben, einzelne Verzeichnisse bis *MAXIMAL* in der 2. Ebene aufbrechen.
Nutzer erhalten keine Berechtigungen, um Rechte auf dem Storage zu ändern (Vollzugriff), nur R/W.
Es ist ein tolles Tool, um die Berechtigungen anzuzeigen. Man glaubt nicht, wie schlimm Berechtigungen gesetzt sein können!
> Es haben sich Regeln herauskristallisiert, die auch im Netz best practice sind:
Berechtigungen werden *IMMER* über Gruppen geregelt, *NIEMALS* einen Nutzer direkt berechtigen. Es gibt Zugriffsgruppen auf einen Ordner, Nutzergruppen werden Mitglied in Zugriffsgruppen. So spart man sich tagelange Rechtesetzungsorgien.
100% ACK!
> Berechtigungen möglichst ausnahmslos durchvererben, einzelne Verzeichnisse bis *MAXIMAL* in der 2. Ebene aufbrechen.
Zusätzlich dazu Ich bin ab 2012 dazu übergegangen SMB Ordnerstrukturen nicht mehr in die Tiefe sondern viel eher in die Breite laufen zu lassen. Hat jemand keine Berechtigung, sieht er einen Ordner auch nicht.
> Nutzer erhalten keine Berechtigungen, um Rechte auf dem Storage zu ändern (Vollzugriff), nur R/W.
Klappt leider nur nicht bei Redirections or entfernten Profil-Ordnern, da werden volle Rechte benötigt.