Berechtigungsverwaltung Windows

Welchen Nutzen bringt Berechtigungsverwaltung unter Windows?

In einem modernen Unternehmen ist eine gute IT-Infrastruktur nicht mehr wegzudenken. Das Unternehmensnetzwerk zentral über einen Domänencontroller zu steuern, birgt viele Vorteile bei der Mitarbeiterverwaltung. So müssen Sie zum Beispiel nicht auf jedem Unternehmens-PC jeden Mitarbeiter einzeln anmelden, sondern vereinheitlichen auf einen Schlag sämtliche Zugriffsrechte, die dem- oder derjenigen an jedem einzelnen Rechner zur Verfügung stehen. Wenn Sie gewerblich das Betriebssystem Windows nutzen, um Ihren Unternehmensserver zu strukturieren, müssen Sie darauf achten, die steigende Anzahl an Gruppenmitgliedern und Domänen, denen diese zugeteilt sind, mit Hinblick auf deren Berechtigungen auf dem Server im Auge zu behalten. Bei der Berechtigungsverwaltung unter Windows kommt es darauf an, von den vielen Berechtigungsstufen, die NTFS mit sich bringt, die in jedem Einzelfall richtigen auszuwählen und anzuwenden.

Welches Programm unter Windows hilft mir bei der Berechtigungsverwaltung?

Um den Überblick über die Zugriffsberechtigungen innerhalb Ihres NTFS Servers zu behalten, benötigen Sie über kurz oder lang elektronische Unterstützung bei der Berechtigungsverwaltung. Leider liefert Windows NT keine solchen Programme ab Werk mit. Daher sind in den Jahren nach der Veröffentlichung Programme von Drittanbietern erstellt worden, die die fehlenden Funktionen des Betriebssystems ergänzen und vorhandene sinnvoll erweitern. Zu diesen Programmen gehört der Parks Authorization Manager. Abgekürzt PAM, schließt dieses praktische Tool die Lücken in Ihrer Datensicherheit.

PAM erweitert das vorhandene Berechtigungsportfolio um die Möglichkeit, Verzeichnisstrukturen auf Ihrem Domänencontroller nicht nur im Hinblick auf einzelne Gruppenmitglieder und von Ihnen festgelegter Verzeichnistiefe auszulesen, sondern auch die gewonnenen Daten in einer transparenten, tabellarischen Übersicht aufzulisten. Zur Weiterverarbeitung mit anderen Programmen wie Microsoft Excel und Access lassen sich die gewonnenen Berichte auch in .pdf- und .txt-Format auslesen. Bei regelmäßiger Nutzung und fortwährender Dokumentation in einer oder mehreren Datenbanken können Sie so stets Ihr Netzwerk auf Veränderungen hin analysieren.

Eine leicht verständliche Bildsymbolik erlaubt Analyse per Blickdiagnose

Eine weitere hilfreiche Funktion der tabellarischen Übersicht ist die verständliche Bildsymbolik. Neben den Namen der Benutzer und unterhalb der jeweiligen NTFS Berechtigung finden Sie ein farbiges Symbol, das es Ihnen erlaubt, die Zugriffsrechte jedes Nutzers auf einen Blick zu prüfen:

  1. Grünes Häkchen: Der Benutzer besitzt diese Berechtigungen im aktuellen Verzeichnis.
  2. Leeres Feld: Der Benutzer besitzt diese Berechtigungen im aktuellen Verzeichnis nicht.
  3. Rotes Häkchen: Dem Benutzer sind diese Berechtigungen im aktuellen Verzeichnis explizit entzogen worden („Deny-Rechte“), zum Beispiel, weil dessen Berechtigungen in einem anderen Verzeichnis sie aushebeln würden.
  4. Gelbes Ausrufezeichen: Der Benutzer besitzt weniger Rechte als vom Verzeichnis zugelassen (Spezielle Berechtigungen).
  5. Rotes Ausrufezeichen: Ein rotes Ausrufezeichen weist auf unüblich vergebene Rechte hin, zum Beispiel „Berechtigungen ändern“ für nicht-administrative Nutzer.

Für die jeweiligen Verzeichnisse gibt es noch zwei weitere Symbole:

  1. Scheiben-Symbol: Das Verzeichnis besitzt die Rechte explizit, sie wurden eigens für es vergeben.
  2. Helix-Symbol: Deutet auf eine Vererbung der NTFS Rechte durch ein übergeordnetes Verzeichnis hin.

 

Benutzernamen werden dabei standardmäßig in Domänenschreibweise angegeben, können auf Wunsch aber auch in LDAP-Schreibweise angezeigt werden. Änderungen an den entsprechenden Berechtigungen erlaubt der Parks Authorization Manager gleich an Ort und Stelle.

Verzeichnisstrukturvorlagen sind vollständig kompatibel zu Active Directory

Wächst die Zahl der Abteilungen, der Mitarbeiter und auch die Anzahl deren Aufgaben, lohnt es sich, mithilfe der AGDLP-Strategie neue Domänen zu entwerfen, die die entsprechenden Rechte für jede Position im Unternehmen beinhalten. AGDLP steht für Accounts in global groups in domain local groups which get permissions. Das bedeutet, es werden globale Gruppen in Active Directory, dem Verzeichnisdienst von Windows, gebildet, in die zunächst alle Mitarbeiter einer Abteilung eingefügt werden. Um die Rechtevergabe zu vereinheitlichen, erfolgt diese erst mit der Erstellung einer domänenlokalen Gruppe, die die jeweiligen NTFS Berechtigungen für die entsprechende Position enthält. Daraufhin fügt man die globalen Gruppen der Mitarbeiter in die benötigten domänenlokalen Gruppen ein. Damit sich eine einheitliche Ordnerstruktur mit durchgehender Benennung entwickeln kann, liefert der Parks Authorization Manager frei anpassbare Vorlagen für Verzeichnisstrukturen.

Frei anpassbare Suchfunktion erleichtert Verwalten von Berechtigungen

Während im NTFS Dateisystem standardmäßig nur bei der Vergabe neuer Berechtigungen Domänen mithilfe der unvollständigen Bezeichnung gesucht werden können, erlaubt PAM durch die integrierte Suchfunktion eine effektivere Suchtiefe. Nach erstmalig erfolgtem Auslesen einer Verzeichnisstruktur können Nutzer mit Zugriffsberechtigung und enthaltene Domänen direkt gesucht werden. Die Suchmaske lässt die Suche mit Auslassungszeichen (?, *), Namensbestandteilen (auf Wunsch auch explizit nach einem Präfix) und mit Hinblick auf Groß- und Kleinschreibung zu. Außerdem kann die Suchfunktion auch einzelne Nutzer speziell fokussiert auf eine oder mehrere NTFS Berechtigungen prüfen.

Welche Freigabeoptionen gibt es standardmäßig in Windows?

Standardmäßig stellt Windows mit jedem Dateisystem vor NTFS drei Freigabestufen zur Verfügung.

  1. Vollzugriff: Der Nutzer kann in dem entsprechend freigegebenen Verzeichnis Änderungen an Dateien vornehmen, sie lesen, löschen, duplizieren und sogar die eigenen Rechte ändern.
  2. Ändern: Der Nutzer kann die Dateien ergänzen, lesen oder löschen. Eine Änderung der Zugriffsbeschränkung ist von sich selbst aus nicht möglich.
  3. Lesen: Der Nutzer kann die Dateien nur aufrufen und einsehen.

Wie schnell ersichtlich sein dürfte, ist das ein recht karges Angebot, das zudem nach dem Prinzip der niedrigsten Freigabestufe funktioniert. Hat ein Unterordner eine niedrigere Freigabestufe als der Nutzer, der auf ihn Zugriff haben müsste, greift zunächst nur diese. Sie kann jedoch von einem Nutzer mit Vollzugriff umgangen werden, indem dieser die Freigabestufe des Verzeichnisses erhöht. Solches Vorgehen durch Unbefugte erzeugt Sicherheitslücken und sind potentielle Datenlecks, die Sie schon aus wirtschaftlichem Interesse als Unternehmer, aber auch in Zeiten der DSGVO nicht tolerieren sollten.

Welche Berechtigungsoptionen stellt das NTFS Dateisystem bereit?

Das NTFS Dateisystem bietet im Vergleich zu den standardmäßigen Freigabestufen von Windows eine erweiterte Palette an Berechtigungsoptionen. Zu den im vorherigen Abschnitt genannten gesellen sich folgende Berechtigungen hinzu:

  1. Schreiben: Nutzern steht die Möglichkeit offen, selbst neue Dateien und Unterordner zu erstellen.
  2. Lesen und Ausführen: Nutzer können Einblick in Dateien nehmen und ausführbare Skripte anwenden.
  3. Ordnerinhalt anzeigen: In der niedrigsten Berechtigungsstufe sind Nutzer nur in der Lage, alle im Verzeichnis vorhandenen Dateien in einer Auflistung zu betrachten, sie aber weder zu öffnen, noch zu verändern.

Diese drei hinzugekommenen Berechtigungsoptionen erlauben eine größere Feinabstimmung der für Ihr Unternehmen benötigten Sicherheitsfreigaben.

Was passiert, wenn ich meine Berechtigungen nicht mit einem Programm verwalte?

Selbst in den penibel geführtesten Ordnungssystemen schleicht sich mit der Zeit der menschliche Makel ein. Kümmern Sie sich nicht darum, die Berechtigungen Ihrer Mitarbeiter zu verwalten, können für Sie Sicherheitslücken und Datenlecks entstehen. Ein Nutzer, der auf sensible Daten Zugriff erhält, weil er die entsprechende Freigabe aus einer anderen Abteilung mitbringt, stellt zunächst potenziell eine wirtschaftliche Gefahr für Ihr Unternehmen dar. Stichwort Industriespionage und Erpressung: Die Daten könnten, wenn nicht von ihm, dann von dritten, die über seinen Account einbrechen, gestohlen und verbreitet werden. Nicht nur mit Einführung der DSGVO und daraus folgenden Sanktionen ist Ihnen zudem an der Sicherheit von Nutzerdaten gelegen, die ebenfalls durch versehentlich zu hoch vergebene Berechtigungen auf dem Silbertablett daliegen könnten.

Effizienzverlust durch fehlende Berechtigungsverwaltung

Neben den wirtschaftlichen Schäden und einem angekratzten Ruf sind die Folgen fehlender Berechtigungsverwaltung schlicht der zunehmende Effizienzverlust in Ihrem Unternehmen. Während die Komplexität Ihrer Verzeichnisstrukturen zunimmt, besteht die Möglichkeit, dass neu angelegte Subverzeichnisse und -domänen nicht länger den Richtlinien in puncto Name und Struktur folgen. Bei nun auftretenden IT-Problemen muss der Mitarbeiter, der mit der Behebung beauftragt ist, mehr Zeit aufwenden, um die Domänenstruktur zu verstehen, das Problem zu identifizieren und zu beheben. In dieser Zeit ist er oder sie nicht frei für andere Probleme, die sich dann stauen. Lahmt die IT, bleiben die Probleme auf den betroffenen Ebenen bestehen und halten den gesamten digitalen Betrieb auf. Sie verlieren Zeit, Geld und können keine weiteren Aufträge bearbeiten. Lassen Sie sich die Arbeit von einem Programm zur Berechtigungsverwaltung abnehmen und automatisieren Sie zeitaufwändige Prozesse.