8MAN Begriffe

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > Basiswissen >

8MAN Begriffe

Begriff

Bedeutung und Hintergrund bei 8MAN

8

 

8MAN Gruppe

[8MAN Group]

Der 8MAN Group Wizard legt für den Zugriff auf einzelne Ressourcen jeweils Active Directory Gruppen ("8MAN Gruppe", Ressourcengruppen) automatisch an. Sie erkennen 8MAN Gruppen an ihrer speziellen Kennzeichnung.

8MATE

8MATEs sind Add-Ons, die weitere Funktionalitäten oder Ressourcen in 8MAN einbinden. Dazu gehören:

8MATE for Exchange

8MATE for SharePoint

8MATE FS Logga

8MATE AD Logga

8MATE for Dynamics NAV

A

 

Access Rights Management (ARM)

Access Rights Management verhindert den unbefugten Zugriff auf Daten und optimiert sicherheitsrelevante Prozesse innerhalb des Firmennetzwerks.

Application Integration

Eine sekundäre Disziplin des ARM. Application Integration ermöglicht die automatisierte Zusammenarbeit von 8MAN mit anderen Applikationen in Ihrer Softwarelandschaft.

Auflösen von Gruppenverschachtelungen

[Resolve group memberships]

Beschreibt eine zentrale Funktion von 8MAN: Verschachtelungen (Eltern-Kind-Beziehungen) von Gruppenmitgliedschaften für ein bestimmtes Nutzerkonto zu analysieren (bzw. "Aufzulösen") um die sich daraus ergebenden berechtigten Benutzer vollständig in einer flachen Liste anzuzeigen.

Azubi-Effekt

[Trainee syndrome]

Siehe Überberechtigung.

Account-Graph

Der Account Graph zeigt die Verschachtelung von Gruppen im Active Directory in einer übersichtlichen Mindmap. Eltern-Kind-Beziehungen sind somit schnell sichtbar. Der AD Graph ist ein USP von 8MAN und nicht in anderen Lösungen zu finden.

B

 

Berechtigungen

[Permissions]

Berechtigungen resultieren aus der Summe und Art von Zugriffsrechten, über die ein Benutzer verfügt.

Berechtigungsgruppen

Siehe Ressourcengruppen.

Blacklist

Die Blacklist erlaubt es, Benutzer und Gruppen zu definieren, die von 8MAN ignoriert werden. 8MAN verwendet Blacklists an verschiedenen Stellen, z.B. für Ansichten, Reporte oder die Alarmkonfiguration.

D

 

Data Owner

Eine Führungskraft, die über die Zugriffsrechte für ihre Ressourcen bestimmt. 8MAN hat mit dieser Data Owner Definition ein eigenes Verständnis von der Rolle. Der entscheidende Vorteil eines Data Owners ist die Dezentralisierung von Sicherheitskompetenz. D.h. es gibt pro Abteilung einen Experten, der die sicherheitskritischen Ressourcen kennt und deshalb valide über Zugriffsrechte für Mitarbeiter entscheiden kann. Das Konzept und die  entsprechenden Workflows finden sich in der Disziplin Role & Process Optimization.

Dienstkonto

[Service account]

Ein Active Directory Konto, dass es einem Dienst (z.B. 8MAN) erlaubt, mit dedizierten Berechtigungen auf Ressourcen zu agieren.

Disziplin

[Discipline]

8MAN Access Rights Management gliedert sich in 5 zentrale Disziplinen:

Permission Analysis

Documentation & Reporting

Security Monitoring

Role & Process Optimization

User Provisioning

Darüber hinaus gibt es derzeit 3 weitere sekundäre Disziplinen:

Threat & Gap Management

Resource Integration

Application Integration

Documentation & Reporting

Die zweite zentrale ARM-Disziplin. Alle Aktivitäten, die Nutzer mit 8MAN durchführen, werden lückenlos dokumentiert. Die Informationen lassen sich in strukturierten Reporten ausgeben und automatisch versenden.

E

 

Eingeschränktes Ändern

[restricted modify]

Eine Zugriffskategorie, die es einem Benutzer ermöglicht, unterhalb eines Verzeichnisses Änderungen vorzunehmen (z.B. Dateien und Verzeichnisse anlegen, editieren und löschen). Das Besondere: Der User kann das Verzeichnis selbst, auf dem "restricted modify" gilt, nicht löschen.

Eltern

siehe Kinder

F


Funktionsgruppe

[functional group]

Bündelt eine Reihe von Benutzern zu einer sinnvollen Einheit, z.B. zur Gruppe "Vertrieb". Der Funktionsgruppe Vertrieb fügen Sie dann die relevanten Ressourcengruppen hinzu. Dadurch erhält jeder Benutzer, der Mitglied in der Funktionsgruppe Vertrieb wird, alle Berechtigungen der enthaltenen Ressourcengruppen.

G


Group Wizard

Ändern Sie Fileserver Berechtigungen im 8MAN, legt der Group Wizard im Hintergrund Gruppen im Active Directory an. Damit erfolgt die Rechtevergabe nach Microsoft Best Practice. Der Group Wizard legt auch automatisch sogenannte Listgruppen an. Diese ermöglichen Anwendern sich in der Verzeichnisstruktur bis zu dem Ordner zu navigieren, auf den sie Zugriffsrechte haben.

J


Jobübersicht

[jobs overview]

Zentrale Anzeige auf der Startseite der 8MAN Konfiguration. Sie zeigt die letzten 8MAN Aktivitäten, wie z.B. wie viele Scans ausgeführt wurden und ob diese erfolgreich waren.  

K


Kinder und Eltern

[children and parents]

 

Kinder sind die Mitglieder (Benutzer und Gruppen) einer Gruppe. Ist die Gruppe wiederum Mitglied in anderen Gruppen, dann sind das die Eltern. 8MAN zeigt mit dem AD Graph die Eltern-Kind-Beziehungen nachvollziehbar auf.

Kollektor

[collector]

Kollektoren dienen in 8MAN der Anbindung von Ressourcensystemen und der Datenverarbeitung. Der Kollektor sammelt (z.B. von einem Fileserver oder SharePoint) die Daten, speichert diese und transferiert sie komprimiert an den 8MAN Server. So müssen weniger Daten durch das Netzwerk. Kollektoren führen auch Berechtigungsänderungen durch. Durch die lokale Ausführung gewährleistet 8MAN eine hohe Performance in verteilten Umgebungen.

Komfort-Feature

[comfort feature]

Das Komfort-Feature des Group Wizard gewährleistet den sofortigen Zugriff auf Ressourcen nach einer Berechtigungsänderung, ohne das sich der Benutzer neu anmelden muss.

L


Log files

8MAN schreibt eine Reihe von Log files mit, um Aktivitäten zu protokollieren. Das wichtigste Log file ist "pnServer". Im Falle eines Problems nutzt sie der Support, um Ursachenforschung zu betreiben.

Listgruppen

[list groups]

Der in 8MAN Enterprise enthaltene Group Wizard kann automatisch Listgruppen erstellen und die Mitgliedschaften dazu organisieren. Anwender können so zu den gewünschten Verzeichnissen navigieren, ohne dass sich der Administrator explizit darum kümmern muss.

O


Organisationskategorie

[organizational category]

In der Data Owner Konfiguration von 8MAN zu erstellende Kategorie für die Bündelung von Ressourcen.

P


Permission Analysis

Die Analysedisziplin im 8MAN Access Rights Management. Ermöglicht das Aufzeigen der Berechtigungssituation von Mitarbeitern und Ressourcen.

Die Klarheit über Zugriffsrechte ist aus Sicherheitsperspektive die zentrale Anforderung für Administratoren und Data Owner.

Purpose Groups

Erlauben es, technische Gruppenbezeichnungen durch sinnvolle zu ersetzen. Dieses Ordnungsfeature nimmt keine Änderungen im Active Directory vor. Die alternativen Bezeichnungen sind nur in 8MAN sichtbar.

R


Ressourcengruppen

[resource groups]

Eine Ressourcengruppe (oder auch Berechtigungsgruppe) verleiht Zugriff auf eine Ressource (z.B. ein Fileserver-Verzeichnis). In der Praxis werden Ressourcengruppen zu Funktionsgruppen gebündelt.

Resource Integration

Ermöglicht die Analyse und Administration weiterer Ressourcen, z.B. 8MATE for Exchange, SharePoint, Dynamics NAV.

Rezertifizierung

[recertification]

Erlaubt Data Owners im Webclient die Zugriffsrechte auf ihre Ressourcen zu prüfen und Änderungen beim Administrator zu beantragen.

Die Rezertifizierung sollte halbjährlich erfolgen. Als Audittool bildet sie einen zentralen Baustein für die Pflege der Berechtigungssituation im Unternehmen.

Role & Process Optimization

Eine zentrale Access Rights Disziplin. Sie erlaubt es den Administrator von einfachen Berechtigungsmanagement-Aufgaben zu befreien und diese an den Help Desk zu delegieren. Darüber hinaus kann der Administrator die Vergabe von Zugriffsrechten an Data Owner übertragen. Der Data Owner entscheidet dabei in einem einfachen Workflow über die Vergabe oder den Entzug von Zugriffsrechten auf seine Ressourcen. Ein weiterer zentraler Baustein von Role & Process Optimization ist der Rezertifizierungsprozess.

S


Scan

Ein Scan ist die Analysegrundlage für 8MAN. Meist über Nacht werden relevante Informationen aus dem Active Directory und den angebundenen Ressourcen gelesen und in einer SQL Datenbank gespeichert. 8MAN kann so die relevanten Daten schnell anzeigen. Scans richten Sie in der 8MAN Konfiguration für unterschiedliche Ressourcen ein.

Zusätzlich lassen sich sogenannte "Teilscans" bei Bedarf in der 8MAN Benutzeroberfläche durchführen. Diese dauern meist nur wenige Sekunden und zeigen dann die aktuelle Berechtigungssituation.

Security Monitoring

Gehört zu den zentralen Disziplinen des ARM und überwacht sicherheitsrelevante Aktivitäten im AD, auf Fileservern und im Exchange.

8MAN arbeitet mit Scans. Informationen über die Berechtigungssituation werden nur zu bestimmten Zeitpunkten erhoben. Alles was ohne 8MAN geändert wird und zwischen den Messzeitpunkten passiert, erfasst das Security Monitoring.

Dadurch wird ein zentrales Sicherheitsproblem gelöst: Temporäre Berechtigungen mit dem Ziel des Datendiebstahls werden erfasst.

Service

Die kleinste Produkteinheit in der 8MAN Welt. Ein Service ist ein für sich alleinstehend sinnvoller Mehrwert für den Anwender.

Jeder Service ist im How-To Format dokumentiert.

T


Threat & Gap Management

Gehört zu den sekundären Disziplinen des ARM. Threat & Gap Management entfernt sicherheitskritische Berechtigungsfehler automatisch und standardisiert das Rechtesystem nach den Vorgaben der Unternehmens-IT.

U


User Provisioning

Eine zentrale 8MAN Access Rights Disziplin. Regelt die Anlage von neuen Nutzerkonten und Gruppen, die Rechteverwaltung und das Account Management. Die Prozesse des User Provisioning treten häufig auf und lassen sich über 8MAN mit Templates standardisieren.

Überberechtigung

[Excess Permissions]

Kommen meist durch Abteilungswechsel zustande: Ein Nutzer bleibt im Unternehmen, wechselt aber durch verschiedene Abteilungen. Dadurch häuft er Berechtigungen an, die er nicht braucht und nach dem Prinzip der minimalen Rechte nicht haben dürfte. Wird auch als "Azubi-Effekt" bezeichnet.

V


Verschachtelung

siehe Eltern-Kind-Beziehungen

Z


Zugriffskategorien

[Access categories]

Bestimmen die Art und Weise, wie zugegriffen werden kann. In 8MAN ist die Auswahl auf praxistaugliche Kategorien gebündelt. Dazu zählen z.B. "Vollzugriff", "Ändern", "Lesen und Ausführen",  "eingeschränktes Ändern".