newbi2009
Goto Top

Konzept Rollen-Management bzw Berechtigung

Hallo Forum,

ich bin damit beauftragt worden, ein Konzept zu erstellen, wie wir unsere (Windows-basierte) Organisation "rollenbasiert" umstellen können.
Da sowieso ein Umzug unseres veralteten Fileservers auf eine neue Plattform ansteht, trifft sich das ganz gut und ich kann die Berchtigungs-Struktur mit Hilfe der Abteilungen dabei auch komplett überarbeiten.

Leider weiß ich nicht wirklich, wie so ein Konzept aussehen soll (wie wird so etwas niedergeschrieben/strukturiert/gegliedert - Wie groß (wie viele Seiten) umfasst ein Konzept generell etc.). Google hilft mir irgendwie nicht wirklich weiter. Ich bekomme Bilder ausgegeben, aber einen Treffer für ein (Beispiel)- Konzept, habe ich leider vergeblich gesucht.

Grundsätzlich stelle ich mir das so vor, dass ich Rollen anhand der Titel unserer Mitarbeiter vergebe (z.B. Gebietsverkaufsleiter). Davon haben wir 4 Stück (für die die Gebiete Nord, Süd, West, Ost). Diese 4 Mitarbeiter würde ich also in der Rolle "Gebietsverkaufsleiter" zusammenfassen.
Im Vertrieb gibt es natürlich noch andere Rollen (z.B. "Account Manager") Auch hier würde ich wieder alle Mitarbeiter die diesen Titel tragen zusammenfassen.

Rollen würde ich dann nach Abteilung zusammenfassen, also eine Art (ich nenne es mal) Super-Rolle mit dem Namen "Vertrieb", in der die Rollen "Gebietsverkaufsleiter" und "Account Manager" Mitglied sind.

Ich hätte weiterhin vor, für jede Rolle und Super-Rolle eine Berechtigungsgruppe (Domain Local) im AD anzulegen und die Super-Rollen zum berechtigen (NTFS) auf dem Fileserver zu benutzen.

Berechtigungen würden dann also ausschließlich durch Zuweisung von Rollen im AD vergeben, da die Berechtigungen auf dem Fileserver nach der ersten Berechtigung nicht mehr angefasst werden sollen.

Des Weiteren sollen die Rollengruppen auch so geschachtelt werden, dass Berechtigungen von externen Applikationen ausschließlich über Rollenmitgliedschaften erlaubt/entzogen werden.


Ergibt das so ein schlüssiges Konzept? Oder mache ich irgendwo einen Denk-Fehler?

Und noch etwas? Grundsätzlich ist das doch genau das, wie Berechtigungen auf Fileservern nach Microsoft White-Paper schon seit geschätzten 100 Jahren vergeben werden (nur hießen die Gruppen damals im AD nicht Rolle, sondern schlicht Berechtigungs-Gruppe). Wo ist also die große Innovation des vielgepriesenen Rollen-Konzepts?

Oder sind meine Gedankengänge echt so falsch und ich habe das alles überhaupt nicht verstanden?

Über Gedanken, Meinungen, Anregungen (vielleicht auch ein von Euch ausgedachtes Konzept) wäre ich sehr dankbar

Un dann hätte ich gleich noch eine Frage im Anschluß:
Wie realisiert ihr, dass Ihr als Admins wisst, welcher Mitarbeiter auf welches Verzeichnis Zugriff hat? Wir dokumentieren alles in (je nach Abteilung und Verzeichnisstruktur auf dem Fileserver) recht unübersichtlichen Excel-Tabellen.
Hier stehen die Pfade der Ordner/Shares mit den jeweils (r/rw) berechtigten Berechtigungsgruppen.
Und Alle Berechtigungsgruppen mit allen Mitarbeitern, die dort Mitglied sind
aufgelistet. Ich persönlich finde das ziemlich "steinzeitlich", wüsste aber keine bessere Alternative das zu dokumentieren....

Vielen Dank
Newbi

Content-Key: 349999

Url: https://administrator.de/contentid/349999

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: emeriks
emeriks 25.09.2017 aktualisiert um 14:31:43 Uhr
Goto Top
Hi,
ein Rollenkonzept im Zusammenhang mit der Steuerung des Zurgriffs auf Ressourcen im Micsosoft-Umfeld ist nichts weiter als die Umsetzung des klassischen AGLDP. So in etwa hast Du es ja auch schon erfasst.
Nach meiner Beobachtung passiert der Fehler bei AGDLP-Anfängern oft dabei, dass diese versuchen, das AGDLP stur von A nach P umzusetzen. Wenn sie das stattdessen - wie (m.E.) vom Erfinder vorgesehen - von beiden Seiten aufrollen, von A an und von P an, und dabei in der Mitte zusammenführen, dann wird das gleich klar.
Mit Rollen sind noch nie die Berechtigungsgruppen gemeint gewesen. Also nicht jene Gruppen, welche effektiv für die Vergabe von Berechtigungen verwendet werden. Rollen sind jene Gruppen, mit welchen Mitarbeiter (und/oder Geräte) klassifiziert werden. Diesen Rollen weist man zwar Berechtigungen zu, aber nicht direkt sondern indirekt über Ressourcen-Gruppen. Ressourcen-Gruppen werden jeweils für eine Kombination aus einer Ressource und einem Zugriffsrecht erstellt. Eine Ressource ist das, was man als solches definiert. Eine Datei, ein einzelnes Verzeichnis, ein ganzer Verzeichnisbaum, ein Computer, ein Drucker, ein Windows Dienst, ein Registry Hive oder was auch immer. Ein Zugriffsrecht ist das , was man als solches definiert. "Vollzugriff", "Ändern", "Lesen" sind solche, wie man sie aus den ACL's kennt. Man kann aber z.B. auch eigene Kombinationen aus den "speziellen" NTFS-Berechtigungen bilden.

Bsp:
Du hast 3 Ressourcen:
Ein Verzeichnis mit Vorlagen, welches nur von wenigen Mitarbeitern gepflegt wird. Alle anderen dürfend dort nur lesen.
Ein Verzeichnis der GF, in welcher nur die GF und die Sekretäre/innen zugreifen dürfen (schreiben, ändern).
Ein Verzeichnis für den Einkauf, in welchem nur die Mitarbeiter des Einkaufs schreiben, ändern dürfen. Die GF kann dort lesen.

Du hast dadurch dann 4 Klassifizierungen (Rollen):
  • Alle Mitarbeiter
  • Mitarbeiter der GF
  • Mitarbeiter des Sekretariats
  • Mitarbeiter des Einkaufs

Du hast dadurch 5 Ressourcen-Zugriff-Kombinationen:
  • Vorlage-Ordner ändern
  • Vorlage-Ordner lesen
  • GF-Ordner ändern
  • Einkauf-Ordner ändern
  • Einkauf-Ordner lesen

Für jede Rolle erstellst Du eine Globale Gruppe und weist dieser die betreffenden Mitarbeiter zu.
Für jede Ressourcen-Zugriff-Kombinationen erstellst Du eine Domänenlokale Gruppe und erteilst dieser Gruppe für die bereffende Ressource den betreffenden Zugriff.
Und dann verschachtelst Du diese Gruppen:
  • Mitarbeiter des Sekretariats --> Vorlage-Ordner ändern
  • Alle Mitarbeiter --> Vorlage-Ordner Lesen
  • Mitarbeiter des Sekretariats --> GF-Ordner ändern
  • Mitarbeiter der GF --> GF-Ordner ändern
  • Mitarbeiter des Einkaufs--> Einkauf-Ordner ändern
  • Mitarbeiter der GF --> Einkauf-Ordner lesen

Sollte jetzt noch eine Abteilung Controlling hinzukommen und diese müssen Daten des Einkaufs einsehen können, dann erstellst Du nur eine Globale Gruppe für die Abt. Controlling und verschachtelst diese mit der Lese-Gruppe für den Einkaufs-Orndern. Du must dafür dann nichts mehr am NTFS ändern.

Wir machen das bei uns so, dass wir im AD im Beschreibungsfeld der Domänenlokalen Gruppe den UNC-Pfad zur Ressource reinschreiben, für welche diese Gruppe gedacht ist. Die Gruppen heißen dann etwa so
R_Mitarbeiter-GF
R_Mitarbeiter-Einkauf
DP_Einkauf_r -- Beschreibung: \\server\freigabe\Einkaufsordner
DP_Einkauf_w -- Beschreibung: \\server\freigabe\Einkaufsordner
"R" für "Rolle"
"DP" für "Data Permissions"
"r" für "Lesen"
"w" für "Schreiben"

Wenn Du wissen willst, wer wo welchen Zugriff hat, dann erstellst Du einfach z.B. mit Powershell eine Liste der verschachtelten Gruppenmitgliedschaft des Kontos, incl. der Beschreibungen der Gruppen.

Aber auch Vorsicht! Wenn man das Ganze übertreibt, dann kommt es u.U. vor, dass die Sitzungstoken der Benutzer zu groß werden. Wir haben das u.a. dadurch gedeckelt, dass wir bis max. zur 3. Ebene der Verzeichnisstruktur abweichende NTFS-Berechtigungen vergeben. Dadurch begrenzen wir den Bedarf an Domänenlokalen Gruppen.

E.
Mitglied: newbi2009
newbi2009 26.09.2017 um 10:24:11 Uhr
Goto Top
Hallo E.

Vielen Dank für Deine Ausführliche Ausführung!

Sie zeigt mir, dass ich das ganze eigentlich genau so eingeschätzt habe, wie es ist. => Es ändert sich grundsätzlich NICHTS face-smile

Das Beschreibungsfeld der Berechtigungsgruppen zu benutzen ist clever! Ich glaube aber, dass ich das so nicht übernehmen kann. Da wir die Berechtigungsgruppen noch für andere Berechtigungen benutzen (z.B. Zugriff auf Mailboxen und Ressourcen die nicht "single sign-on" fähig sind ) würde der Text im Beschreibungsfeld einfach zu lang......

Trotzdem Danke für die Idee.

PS: Ich frage mich, was die Welt vor ITIL und den vielen, schönen, neuen Ausdrücken (hier "Rollen") nur gemacht hat. Eigentlich war sie hoffnungslos verloren, wusste es nur nicht face-smile

Gruß
newbi
Mitglied: emeriks
emeriks 26.09.2017 um 10:44:27 Uhr
Goto Top
Sie zeigt mir, dass ich das ganze eigentlich genau so eingeschätzt habe, wie es ist. => Es ändert sich grundsätzlich NICHTS face-smile
s.u.
Da wir die Berechtigungsgruppen noch für andere Berechtigungen benutzen (z.B. Zugriff auf Mailboxen und Ressourcen die nicht "single sign-on" fähig sind ) würde der Text im Beschreibungsfeld einfach zu lang......
Und das heißt, dass Du es nicht verstanden hast.

Eine Berechtigungsgruppe ist für genau eine Ressourcen-Zugriff-Kombination.