Der Kontenberechtigungsreport dient zur detaillierten Auswertung von Zugriffsrechten eines Benutzer- oder Gruppenkontos auf gescannte Verzeichnisse innerhalb des Dateisystems. Dabei wird transparent dargestellt, auf welche Verzeichnisse Zugriff besteht, über welche Gruppenmitgliedschaften dies geschieht und welche Berechtigungsqualität vorliegt.
Der Report kommt typischerweise in folgenden Anwendungsfällen zum Einsatz:
- Auf Anfrage von Fachabteilungen, Vorgesetzten oder Sicherheitsbeauftragten: „Wo ist Benutzer X überall berechtigt?“
- Zur Vorbereitung von Audits oder Überprüfungen (z. B. durch CSO oder Data Owner)
- Für die Dokumentation oder Freigabe von Bereinigungsmaßnahmen
- Zur strukturierten Analyse und Optimierung bestehender Berechtigungsvergaben
Ein wesentlicher Vorteil dieser Analyse ist die umfassende Darstellung aller wichtigen Details zu den Berechtigungen. Für jedes Verzeichnis, für das das Konto Zugriffsrechte besitzt, wird der vollständige Berechtigungspfad angezeigt. Dies umfasst sowohl direkte Zuweisungen als auch Rechte, die über Gruppenmitgliedschaften entstehen. Zusätzlich kann jeder einzelne Berechtigungseintrag (Access Control Entry, ACE) analysiert werden, um ein vollständiges Verständnis der zugrunde liegenden Berechtigungsstruktur zu erlangen.
Verwendungshinweis: Der Kontenberechtigungsreport ist im Standard den migRaven Administratoren zugänglich. Er befindet sich in der Navigation im Bereich der AD-Analyse:
Inhaltsverzeichnis
Schritt-für-Schritt-Anleitung
1. Benutzer oder Gruppe auswählen
Nach Aufruf des Reports wird zunächst ein Suchfeld (1) angezeigt. Hier kann gezielt nach einem Benutzer oder einer Gruppe gesucht werden, deren Berechtigungen ausgewertet werden sollen.
2. Bericht starten
Nach der Auswahl eines Benutzer- oder Gruppenkontos wird der Report mit Klick auf „Start“ (2) geladen.
Im rechten Bereich wird die Anzahl aller Verzeichnisse angezeigt, auf die das Konto Zugriffsrechte besitzt. Parallel dazu erscheint auf der linken Seite die Filterleiste mit verschiedenen Auswahlmöglichkeiten zur Verfeinerung der Analyse.
3. Filter verwenden
Die Ergebnisse lassen sich mithilfe folgender Kategorien gezielt eingrenzen:
- Berechtigung
Auswahl zwischen direkten und indirekten Berechtigungen - Autorisierung
Filtern nach konkreten Berechtigungsarten wie „Read and Execute“, „Modify“ oder „Full Control“ - Erlauben/Verweigern
Differenzierung nach erlaubten und verweigerten Rechten - Vererbung & Weitergabe
Bewertung von geerbten Berechtigungen - Qualität der Berechtigungen
Identifikation von Redundanzen oder inkonsistenten Einträgen
4. Indirekte Berechtigungen analysieren
Wenn indirekte Berechtigungen aktiviert wurden (4), kann zusätzlich ein Gruppen-Selektor genutzt werden. Über diesen lassen sich gezielt jene Gruppen identifizieren, über die ein Benutzer seine Berechtigungen erhält. Das erleichtert die gezielte Analyse verschachtelter Gruppenmitgliedschaften.
Mit Klick auf „Select Groups“ (5) wird der Gruppen Explorer in einer neuen Sidebar (6) geöffnet.
5. Bericht exportieren oder im Browser anzeigen
Für die Auswertung und Weiterverwendung stehen zwei Varianten zur Verfügung:
Excel Report (7)
Enthält alle analysierten Berechtigungseinträge in strukturierter Form. Der Report gliedert sich in mehrere Tabellenblätter:
„Übersicht“, „Verzeichnisberechtigungen“, „Autorisierte Gruppen“ und „Konfiguration“.
Damit eignet er sich ideal für die Dokumentation, Archivierung oder die Weitergabe an IT-Verantwortliche, Auditoren oder Fachabteilungen.
Online-Report (8)
Interaktive Darstellung im Browser mit den gesetzten Filtern. Der Online Report ist besonders geeignet für spontane Analysen und Besprechungen mit Fachabteilungen oder Data Ownern. Der Zugriff erfolgt direkt im migRaven Webinterface – ohne zusätzliche Software oder Exporte.
Beispiel: Excel Report
Der Excel Report gliedert sich in mehrere übersichtliche Tabellenblätter:
„Übersicht“, „Verzeichnisberechtigungen“, „Autorisierte Gruppen“ und „Konfiguration“.
Im Tabellenblatt „Verzeichnisberechtigungen“ finden Sie eine detaillierte Auflistung aller Verzeichnisse, auf die das ausgewählte Konto Zugriffsrechte besitzt. Für jeden Eintrag werden unter anderem folgende Informationen dargestellt:
- über welche Gruppenmitgliedschaft die Berechtigung erfolgt,
- der vollständige Berechtigungspfad,
- die Tiefe der Gruppenverschachtelung,
- die Art der Berechtigung (z. B. Lesen und Ausführen),
- sowie weitere relevante Details zur Berechtigungsstruktur.
Hinweis: In unserem Beispiel enthält der Report aufgrund eines Dummy-Benutzers nur wenige Einträge. In einer realen Umgebung fällt die Auswertung entsprechend umfangreicher aus.
Beispiel: Online Report
Der Online Report bietet eine übersichtliche, interaktive Darstellung aller Berechtigungen des ausgewählten Benutzers oder der ausgewählten Gruppe im Browser.
Um die Berechtigungslage für ein bestimmtes Verzeichnis einzusehen, muss der entsprechende Pfad zunächst aufgeklappt werden. Erst dann werden die zugehörigen Spalten mit den relevanten Informationen befüllt. Dazu zählen:
- Vererbungsunterbrechung: Zeigt an, ob die Vererbung an diesem Punkt unterbrochen wurde
- ACE-Pfad: Der vollständige Pfad zur jeweiligen Access Control Entry
- Berechtigungen: Die konkret gewährten Rechte
- Verweigert: Gibt an, ob es sich um verweigerte Rechte handelt
- Ist Direkt: Zeigt, ob die Berechtigung direkt auf das Konto angewendet wurde
- Angewendet auf: Gibt den Gültigkeitsbereich der Berechtigung an (z. B. nur dieses Verzeichnis oder auch Unterverzeichnisse oder auch Dateien)
Der Online Report eignet sich besonders für schnelle Analysen im Browser und zur gemeinsamen Betrachtung mit Fachabteilungen oder Data Ownern – ohne zusätzliche Software oder lokale Exporte.
