Die Voraussetzung für die Konfiguration der Best Practice Berechtigungsverwaltung ist, dass Sie das migRaven.24/7 Access Management lizensiert haben.
Inhaltsverzeichnis
Voraussetzungen für die Konfiguration:
Lizensierung des migRaven.24/7 Access Managements
Klarheit über die Berechtigungsstrategie, beispielsweise AGDLP oder AGGP.
Eine OU in Ihrem Active Directory, in der der AD Scan Service Account Berechtigungsgruppen erstellen kann.
Eine Namenskonvention zur Benennung der Berechtigungsgruppen.
Sind die Vorbereitungen ganzheitlich abgeschlossen, können Sie die Best Practice Berechtigungsverwaltung aktivieren.
Bitte achten Sie zwingend darauf, dass Sie gleich nach der Aktivierung der Best Practice Berechtigungsverwaltung mindestens das Account Blacklisting im Blacklist Tool konfigurieren! Einrichtung von AC Account Filtern: Blacklist und Whitelist für Berechtigungsverwaltung
Konfiguration der Best Practice Berechtigungsverwaltung
Öffnen Sie das Kontextmenü der Konfiguration im migRaven Admin Client (1) und wählen Sie den Menüpunkt Einstellungen (2).
Unter dem Reiter Typ (3) aktivieren Sie die Best Practice Berechtigungsverwaltung (4), wählen die Berechtigungsstrategie (5), für die Sie sich entschieden haben und tragen den kanonischen Namen der Organisationseinheit (6) Ihres Active Directorys ein, in der migRaven.24/7 die Berechtigungsgruppen erstellen soll.
Den kanonischen Namen der OU ermitteln Sie über das AD, indem Sie unter Ansicht die Erweiterten Features aktivieren, einen Rechtsklick auf die OU machen und unter Eigenschaften auf den Reiter Objekt gehen und sich dort den Namen kopieren.
Bitte beachten Sie, dass Sie die Berechtigungsstrategie nach dem Speichern nicht wieder werden ändern können.
Wechseln Sie anschließend auf den Reiter Name (7). Hier konfigurieren Sie die Namenskonvention der Berechtigungsgruppen, die migRaven.24/7 generieren wird. Legen Sie Ihren Präfix fest (8), wählen Sie ein Trennzeichen (9) und wählen Sie die Bestandteile aus der Liste aus, die Teil des Namens der Berechtigungsgruppe werden sollen (10). Mit den Pfeilen haben Sie die Möglichkeit, die Gruppennamensbestandteile in eine von Ihnen gewünschte Position zu verschieben (11).
Am Ende des Fensters haben Sie eine Vorschau zur Verfügung (12).
Die weiteren Reiter sind für die Aktivierung der Best Practice Berechtigungsverwaltung nicht relevant.
Bestätigen Sie Ihre Konfiguration abschließend mit Speichern (13).
Bitte denken Sie daran, nach dem Speichern gleich das Account Blacklisting zu konfigurieren! Einrichtung von AC Account Filtern: Blacklist und Whitelist für Berechtigungsverwaltung
migRaven.24/7 verwaltet alle Berechtigungsgruppen für Sie! Sie brauchen sich in Zukunft nicht mehr darum zu kümmern.
Von migRaven.24/7 eingelesene Bestandsverzeichnisse können, bei lizensiertem migRaven.24/7 Access Management, seit der Version 7.2.22103.1 in die migRaven.24/7 Berechtigungsverwaltung übernommen werden. Bisher konnten Berechtigungen nur auf, durch migRaven.24/7 Folder Self Service erstellte, Verzeichnisse verwaltet werden.
Es werden alle Berechtigungsgruppen nach Least Privilege Prinzip erzeugt, die zum Zeitpunkt der Berechtigungsänderung nötig sind. Es werden also keine Gruppen für ein Recht im AD erstellt, wenn sie nicht notwendig sind.
migRaven erzeugt die Gruppen für die Berechtigungsendpunkte und alle Berechtigungsgruppen, die für den Weg zum Berechtigungsendpunkt benötigt werden, die Listrechtegruppen auf den darüberliegenden Verzeichnissen.
Mehr Informationen zur richtigen Auswahl des Gruppentyps: Best Practice Berechtigungsgruppen Typ im AD
Verhaltensweise bei der Berechtigungsvergabe
Diese Funktion ist für Verzeichnisse bis zur 3. Ebene zugelassen. Für die Berechtigungsverwaltung gescannter bestehender Verzeichnisse gibt es, bei lizensiertem und konfiguriertem migRaven.24/7 Access Management, im Verzeichnisbaum einen neuen Aktionsbutton im Button-Overlay, mit dem die Berechtigungen auf dem ausgewählten Verzeichnis verwaltet werden können.
Nach dem Klick auf den Aktionsbutton (14) öffnet sich eine Sidebar, in der Sie die Data Owner (15) und Berechtigungen (16) des Verzeichnisses verwalten können.
Sidebar
In der Sidebar Tabelle „Berechtigte Konten“ (16) werden, zusätzlich zu den, durch den Anwender hinzugefügten, Konten, alle explizit (nicht geerbt) auf diesem Verzeichnis berechtigten Benutzerkonten angezeigt. Für diese Konten wird in der Spalte „Aktuelles Recht“ (17) die aktuell vorhandene Berechtigung (Stand des letztens Scans) angezeigt. Im Falle von „Speziellen Rechten“ kann man sich in einem Tooltip die Einzelrechte anschauen.
Der verwaltende Anwender, Data Owner, kann hier entscheiden, ob er die vorhandenen expliziten Berechtigungen beibehalten, ändern oder entfernen möchte. Benutzerkonten können nur mit „Lesen und Ausführen“ oder „Ändern Plus“ berechtigt werden. Vorhandene explizite Berechtigungen können also ggf. nicht 1 : 1 übernommen werden, wie z. B. die „Ändern“ Berechtigung für die Gruppe „grp_it….“ oben im Screenshot. Nach Ausfüllen aller Pflichtfelder und Klick auf „Übernehmen“ wird das Verzeichnis in die Berechtigungsverwaltung von migRaven.24/7 übernommen. Außerdem werden folgende Schritte abgearbeitet:
- Im Active Directory werden Berechtigungsgruppen und Listgruppen erstellt.
- Dabei wird für die beiden Rechte „Lesen und Ausführen“ und „Ändern Plus“ jeweils eine dedizierte Gruppe erstellt. Für jedes Elternverzeichnis (abgesehen von der Freigabe) wird eine dedizierte Listgruppe erstellt.
- Die in der Sidebar definierten berechtigten Benutzerkonten werden zum Mitglied der jeweiligen Berechtigungsgruppe.
- Die Berechtigungsgruppe(n) werden zum Mitglied der Listgruppen.
- Die Berechtigungsgruppen werden auf ihrem Verzeichnis mit den entsprechenden Rechten berechtigt.
- Auf den Elternverzeichnissen werden die Listgruppen mit „Ordner auflisten (Nur dieser Ordner)“ berechtigt.
- Alle expliziten (nicht geerbten) Berechtigungen, die bisher auf dem Verzeichnis gesetzt waren, werden vom Verzeichnis entfernt! Dadurch kann sich ein temporärer Berechtigungsverlust bis zur nächsten Ab- und Anmeldung der involvierten Benutzer ergeben, da die Benutzerkonten erst nach der neuen Anmeldung von ihrer Mitgliedschaft in den neuen Berechtigungsgruppen wissen (Kerberos Token).
Im Unterschied zur vorlagenbasierten Verzeichniserstellung, Folder Self Service, werden die Berechtigungen also nicht direkt, sondern nach Best Practice über dedizierte Berechtigungsgruppen vergeben. Zudem gibt es bei übernommenen Verzeichnissen keine Laufzeit, wie z. B. bei Austauschverzeichnissen, die mit migRaven.24/7 erstellt werden.
Zum Schutz von vorhandenen Berechtigungen, die nicht entfernt werden dürfen, gibt es die Möglichkeit, Blacklisten zu definieren. Mehr dazu.
Einstellungen im Rollen-Designer
Zusätzlich kann über einen Eintrag im Rollen Designer gesteuert werden, welche Rolle die Best Practice Berechtigungsverwaltung verwenden dürfen: „Best Practice Berechtigungsverwaltung verwenden“. Dieser Eintrag ist im Standard für migRaven Administratoren aktiviert und kann für jede Rolle aktiviert bzw. deaktiviert werden, wobei Benutzer Rollen zugewiesen werden.
Weitere wichtigen Informationen über die Berechtigungsgruppen finden Sie über: