Dynamic Access Control (DAC)

Berechtigungsmanagement neu gedacht

„Dynamic Access Control (DAC)“ wurde mit Microsoft Server 2012 eingeführt. Es handelt sich um einen neuen Ansatz, der immer aufwändiger wird. Prozesse bei Berechtigungsvergaben in großen Umgebungen zu vereinfachen. Bei DAC wird ein zentrales Regelwerk (Business Rules) definiert, das Ansprüche (Claims) des Rechtenehmers auf Ressourcen (Dateien / Ordner) anhand Ihrer Klassifikation definiert.

Wir unterstützen Sie bei der Erstellung des Berechtigungskonzepts mit Dynamic Access Control und der Erfüllung der Voraussetzungen. Die Vorbereitung der Infrastruktur sowie die Standardisierung Ihrer Active Directory Daten für die einheitliche Anspruchsdefinition gehören zu unseren Leistungen. Weiterhin unterstützen wir gern bei der Einrichtung von zentralen Zugriffsregeln und Klassifizierungseigenschaften.

DAC – Verwendung von Ressource- und Rollen-Gruppen

Die Berechtigungsvergabe in großen Dateisystemen wird oft durch die Verwendung von Ressource- und Rollen-Gruppen organisiert. Hierbei wird jeweils eine bestimmte Berechtigung (z.b. Schreibzugriff) auf eine definierte Ordner-Ressource (z.B. Buchhaltungsdaten) vergeben. Danach wird dieser Gruppe eine Rollengruppe hinzugefügt, die alle Buchhaltungs-Mitarbeiter zusammenfasst und damit die Rolle „Mitarbeiter Buchhaltung“ definiert. Sehr wichtig ist dabei ein sauberes Namenskonzept für die große Anzahl von Gruppen, die sich daraus ergibt.

Wird dieser Ansatz nicht konsequent eingehalten und daran vorbei administriert, geht sehr schnell der Überblick über die effektiven Rechte verloren.

In der Praxis ergeben sich aus diesem Ansatz der Berechtigungsvergabe einige Herausforderungen, die oftmals nur schwer umzusetzen sind.

Die Gruppen- und Berechtigungsadministration kann einen nicht unerheblichen Arbeitsaufwand für den Helpdesk bedeuten. Es setzt eine sorgfältige Absprache mit den Datenverantwortlichen und den Rechtenehmern voraus. Alle Berechtigungsaktionen werden direkt auf dem Filesystem oder in den Gruppen ausgeführt und können auch nur dort nachvollzogen werden.

Der DAC Ansatz

„Dynamic Access Control“ geht hier einen neuen Weg des Berechtigungsmanagements. Es werden Regeln definiert, die Benutzereigenschaften (Claims) mit Daten- Klassifikation verknüpfen und darauf basiert, Berechtigungen auf die Ressourcen vergeben.

Ein einfaches Beispiel:

Die Regel besagt „Wenn die Abteilung des Benutzers (Active Directory – Department) gleich der Abteilungsklassifizierung der Ordner-Ressource ist, dann erhält der Anwender Schreibzugriff.

Zugriffsregeln können verschiedene Claims logisch verknüpfen und auch Gruppenmitgliedschaften mit einbeziehen um z.B. Sonderfälle abbilden zu können.

Screenshot: „Dynamic Access Control“ Regel Erstellung

Datenklassifikation

Der Datenverantwortliche bestimmt, wie seine Daten klassifiziert werden. Die Klassifizierungseigenschaften werden zentral definiert und stehen damit überall in der Active Directory Domäne zur Verfügung.

Darüber hinaus können Dateien auch automatisch anhand ihres Inhalts klassifiziert werden. Wenn eine Datei z.B. bestimmte Schlüsselwörter enthält, wird sie automatisch als „Vertraulich“ klassifiziert. Eine Regel könnte dann nur noch den Zugriff für interne Mitarbeiter auf Firmenrechnern erlauben.

Screenshot: DAC Datenklassifikation im Explorer

Benutzeransprüche (Claims)

Die Active Directory Benutzerattribute, aus denen die Claims gefüllt werden, können weiterhin zentral administriert oder durch ein Identity Management System verwaltet werden. Natürlich kann die Verantwortlichkeit für bestimmte Attribute der Anwender auch an deren zuständige Fachabteilung delegiert werden.

Ein gut gepflegtes und standardisiertes Active Directory ist eine wichtige Voraussetzung für die erfolgreiche Einführung von „Dynamic Access Control“. Wir können sie auch hierbei mit Tools, Konzepten und langjähriger Erfahrung im Active Directory Management unterstützen.

Das Regelwerk wird ebenfalls zentral verwaltet und auf alle Fileserver verteilt.
Dies hat den großen Vorteil, dass man zu jedem Zeitpunkt einen sofortigen Überblick über alle Berechtigungsregeln hat. Dieselben Regeln können natürlich auch für Auditing – Zwecke verwendet werden.

Voraussetzungen für DAC

Voraussetzungen für den Einsatz von „Dynamic Access Control“ sind zuerst einmal Windows 2012 Fileserver (Storage-Hersteller arbeiten ebenfalls an einer Unterstützung).
Weiterhin muss mindestens ein 2012 Domain Controller in der Domäne verfügbar sein um die Claim-basierten Benutzertoken ausstellen zu können.

Einige Features von „Dynamic Access Control“ sind jedoch nur mit Windows 8 bzw. Windows 8.1 Workstations nutzbar (z.B. Device-Claims).

Alternative für Server 2008

Wer die oben genannten Bedingungen heute noch nicht erfüllt, kann jedoch schon jetzt den ersten Schritt in die „Claim-basierte Berechtigungsverwaltung“ machen. Mit FirstWare DynamicGroup können sie automatisch Gruppen mit Benutzern anhand ihrer Active Directory Attribute füllen. Mit Hilfe dieser Gruppen können Sie dann Berechtigungen auf die entsprechenden Ressourcen vergeben.

Berechtigungensverwaltung

Rollenbasierte Berechtigungsverwaltung

Mit unserer Software, dem IDM-Portal können Sie Berechtigungen verwalten, delegieren uvm.

Dank der benutzerfreundlichen Oberfläche des IDM-Portals, können alle Mitarbeiter AD Daten pflegen, Gruppen selbstverwalten etc.

Die Benutzung des Portals benötigt keine IT Kenntnisse.

In dem Portal werden verschiedene Rollen definieren.

Für jede Rolle wird entschieden, was darf er machen und/oder sehen. Damit können Sie für z.B. Helpdesk, Personalabteilung oder auch Manager, eine Rolle definieren. Mitglieder dieser Rolle haben die Möglichkeit, Berechtigungen für ihre Mitarbeiter zu geben. Somit können Sie die Prozesse verkürzen und die IT-Abteilung entlasten.

Berechtigung selbst anfordern

Um die Verwaltung des Active Directory weiter zu vereinfachen, ohne die Kontrolle zu verlieren, gibt es IDM-Automation.

Mit dem IDM-Automation können Sie einen Genehmigungsworkflow einsetzen. Damit kann jede Mitarbeiter selbst seine Berechtigungen anfragen. Eine Benachrichtigung wird entsprechend an einen Manager oder mehrere Personen gesendet, die Sie am Anfang festgelegt haben. Nach der Genehmigung (oder Ablehnung) wird der Mitarbeiter, sofort neue Zugriff erhalten.

Die Anfrage kann bei Bedarf sogar zeitlich begrenzt werden.

Wenn Sie nach einer Lösung suchen, um die Verwaltung Ihres Active Directory zu vereinfachen und zu automatisieren, können Sie uns gerne kontaktieren. Für Sie werden wir eine passende Lösung finden.

Weitere Infos

Sie möchten Ihr Berechtigungsmanagement neu durchdenken? Wir erläutern Ihnen gern, welche Wege Sie gehen können.