Was sind Zugriffsrechte, wie kommen diese Zustande?

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > 8MAN Basic Knowledge > 8MAN FAQ >

Was sind Zugriffsrechte, wie kommen diese Zustande?

Zugriffsrechte regeln, wer im Firmennetzwerk auf welche Ressourcen zugreifen kann. In einem (Windows) Firmennetzwerk hat jeder Mitarbeiter ein Active Directory Nutzerkonto. Der Nutzer kann über über drei Wege auf Ressourcen berechtigt werden:

 

1. Über eine Active Directory Ressourcengruppe  

In diesem Fall wird das Nutzerkonto einer Ressourcengruppe hinzugefügt, die auf eine Ressource berechtigt ist.

Microsoft empfiehlt die Berechtigung über Ressourcengruppen, weil die Berechtigungen sich leichter wieder vollständig entfernen lassen.  

 

Beispiel Ressourcengruppe

Ermöglicht Zugriff auf

Ermöglichte Zugriffskategorie

Granularität  

l_Vertrieb_Hersteller_md

Das Fileserver-Verzeichnis: Hersteller

md = Modify, d.h. man darf Dateien ändern

Sehr Hoch: Verzeichnisgenau

 

2. Über eine Active Directory Funktionsgruppe  

Active Directory Funktionsgruppen bündeln die oben genannten Ressourcengruppen zu einer Funktionsgruppe im Unternehmen (z.B. Sales). Dies hat den Vorteil, dass man dem Mitarbeiter über eine Gruppenmitgliedschaft den Zugriff auf eine ganze Reihe von Ressourcen auf einmal zuweisen kann.

 

Beispiel Funktionsgruppe

Ermöglicht Zugriff auf

Ermöglichte Zugriffskategorie

Granularität  

Vertrieb (8MAN-DEMO\SALES)  

Alle Ressourcen, die der Funktionsgruppe zugeordnet sind:

z.B. Das oberste Verzeichnis der Abteilung: SRV-8MAN\Vertrieb

Je nach Nutzerkonto

Gering: Mehrere Ressourcen umfassend, z.B. die oben genannten Verzeichnisse und alle weiteren Verzeichnisse, die der "Standard-Vertriebler" braucht.

 

3. Über eine Direktberechtigung auf eine Ressource

In diesem Fall wird auf der jeweiligen Ressource (z.B.) dem Fileserver-Verzeichnis der Nutzer direkt vermerkt.

 

Direktberechtigungen lassen sich einfach auf Ressourcen setzten und sind deshalb beliebt. Microsoft rät  dringend vor der Vergabe von Direktberechtigungen ab.

Das Problem: Werden Sie wieder entfernt, verbleibt der sogenannte Security Identifier (SID) mit den Zugriffsrechten auf dem System. Dieser lässt sich durch andere Nutzer "kapern" und stellt somit eine Sicherheitslücke dar.

 

Die Protected Networks arbeitet nach Microsoft Best Practice und empfiehlt auf Direktberechtigungen zu verzichten.