Konfiguration der Berechtigungsverwaltung

migRaven.24/7 managed alle Berechtigungsgruppen für Sie! Sie brauchen sich in Zukunft nicht mehr darum kümmern.

Bereits existierende Ordner können ab Version 7.2.22103.1 in die migRaven Berechtigungsverwaltung aufgenommen werden. Bisher konnten nur auf durch migRaven erstellte Verzeichnisse die Berechtigungen verwaltet werden.

Es werden alle Berechtigungsgruppen nach Least Privilege Prinzip erzeugt, die zum Zeitpunkt des Managements nötig sind. Es werden also keine Gruppen für ein Recht im AD erstellt, wenn sie nicht notwendig sind.

migRaven erzeugt die Gruppen für die Berechtigungsendpunkte und alle Berechtigungsgruppen, die für den Weg zum Berechtigungsendpunkt benötigt werden. Dabei handelt es sich um Listberechtigungen, die über Gruppen realisiert werden.

Mehr Informationen zur richtigen Auswahl des Gruppentyps: http://help.migraven.com/best-practice-berechtigungsgruppen-typ-im-ad/

Verhaltensweise bei der Berechtigungsvergabe

Diese Funktion ist für Ordner bis zur 3. Ebene zugelassen. Für die Berechtigungsverwaltung importierter Verzeichnisse gibt es im Verzeichnisbaum einen neuen Knopf im Button-Overlay, mit dem die Berechtigungen auf dem ausgewählten Ordner verwaltet werden können. Nach dem Klick auf den Knopf öffnet sich eine Sidebar, in der man die Data Owners und Berechtigungen auf dem Verzeichnis definieren kann.

In der Sidebar-Tabelle „Berechtigte Konten“ werden zusätzlich zu den durch den Anwender hinzugefügten Konten alle explizit (nicht geerbt) auf diesem Ordner berechtigten Konten angezeigt. Für diese Konten wird in der Spalte „Aktuelles Recht“ die aktuell vorhandene Berechtigung (Stand des letztens Scans) angezeigt. Im Falle von „Speziellen Rechten“ kann man sich in einem Tooltip die Einzelrechte anschauen.

Der Anwender kann hier entscheiden, ob er die vorhandenen expliziten Berechtigungen beibehalten oder entfernen möchte. Konten können nur mit „Lesen und Ausführen“ oder „Ändern Plus“ berechtigt werden. Vorhandene explizite Berechtigungen können also ggf. nicht 1:1 übernommen werden, wie z.B. die „Vollzugriff“ Berechtigung für die Gruppe „vertrieb“ oben im Screenshot. Nach Ausfüllen aller Pflichtfelder und Klick auf „Übernehmen“ wird der Ordner in die Berechtigungsverwaltung übernommen. Außerdem werden folgende Schritte abgearbeitet:

  1. Im Active Directory werden Berechtigungsgruppen und Listgruppen erstellt. Die Konfiguration zur OU und zum Gruppentyp und -namen findet sich im Rich Client unter „Konfiguration“ –> „Einstellungen“.
  2. Dabei wird für die beiden Rechte „Lesen und Ausführen“ und „Ändern Plus“ jeweils eine dedizierte Gruppe erstellt. Für jedes Elternverzeichnis (abgesehen von der Freigabe) wird eine dedizierte Listgruppe erstellt.
  3. Die in der Sidebar definierten berechtigten Konten werden zum Mitglied der jeweiligen Berechtigungsgruppe.
  4. Die Berechtigungsgruppe(n) werden zum Mitglied der Listgruppen.
  5. Die Berechtigungsgruppen werden auf ihrem Verzeichnis mit den entsprechenden Rechten berechtigt.
  6. Auf den Elternverzeichnissen werden die Listgruppen mit „Ordner auflisten (Nur dieser Ordner)“ berechtigt.
  7. Alle expliziten (nicht geerbten) Berechtigungen, die bisher auf dem Verzeichnis gesetzt waren, werden vom Verzeichnis entfernt! Dadurch kann sich ein temporärer Berechtigungsverlust bis zur nächsten Ab- und Anmeldung der involvierten Benutzer ergeben, da die Benutzerkonten erst nach der neuen Anmeldung von ihrer Mitgliedschaft in den neuen Berechtigungsgruppen wissen (Kerberos Token).

Im Unterschied zur vorlagenbasierten Verzeichniserstellung werden die Berechtigungen also nicht direkt, sondern nach Best Practice über dedizierte Berechtigungsgruppen vergeben. Zudem gibt es bei übernommenen Verzeichnissen keine Laufzeit, wie z.B. bei Austauschverzeichnissen, die mit migRaven erstellt werden.

Zum Schutz von vorhandenen Berechtigungen, die nicht entfernt werden dürfen, gibt es die Möglichkeit, Blacklisten zu definieren. Mehr dazu.

Freischaltung der Best Practice Berechtigungsverwaltung

Damit die migRaven Administratoren steuern können, ob die Best Practice Berechtigungsverwaltung eingesetzt werden kann oder nicht, gibt es eine neue Checkbox im Rich Client in der Konfiguration unter „Einstellungen“ ➔ „Typ“. Dieser Eintrag steuert zentral, ob die Best Practice Berechtigungsverwaltung zur Verfügung steht. Außerdem muss bei Aktivierung der Checkbox eine schreibbare OU eingegeben werden, in der die migRaven Berechtigungsgruppen erstellt werden können. Diese Checkbox ist im Standard nicht aktiviert.
migRaven erzeugt auf Wunsch alle Gruppen für die Berechtigungen im Filesystem im Active Directory : Hier bestimmen Sie, von welchem Typ die Berechtigungsgruppen sein sollen, die migRaven automatisch erzeugt.

Wichtig: Nach der Aktivierung der Checkbox für die Best Practice Berechtigungsverwaltung müssen die Account Blacklisten konfiguriert werden. Mehr dazu.

Ablageort:  OU (Kanonischer Name)

In der OU werden die von migRaven erstellten Berechtigungsgruppen abgelegt.

Der anzugebende Name besteht aus Ihrer Domäne und der OU. Bei der Domäne muss unbedingt auch die Top-Level-Domain (TLD), in unserem Fall „.local“ angegeben werden. Bei der OU können auch Unter-OUs angegeben werden. Als Standard-OU-Namen gibt migRaven die OU  MigR vor. Diesen Namen können Sie ändern. Falls die OU nicht vorhanden ist, legt migRaven sie an. Sogar in jedem Projekt können Sie diese OU noch ändern, d.h. Sie können Ihre Berechtigungsgruppen projekt- bzw. share-bezogen  ablegen.

Einstellungen im Rollen-Designer

Zusätzlich kann über einen Eintrag im Rollen-Designer gesteuert werden, welche Anwender die Best Practice Berechtigungsverwaltung verwenden dürfen: „Best Practice Berechtigungsverwaltung verwenden“. Dieser Eintrag ist im Standard für migRaven Administratoren aktiviert und kann für jede Rolle aktiviert bzw. deaktiviert werden.


Weitere wichtigen Informationen über die Berechtigungsgruppen finden Sie über:

Permanentlink zu diesem Beitrag: http://help.migraven.com/konfiguration-der-berechtigungsverwaltung/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.