Ordner- und Dateiberechtigungen sind häufig schlecht umgesetzt

In vielen Unternehmen findet sich ein Fileserver, und sehr häufig ohne wirkliches Berechtigungskonzept. Da finden sich Freigaben quer über den Festplattenspeicher verteilt, und Berechtigungen sind teils personenbezogen, und teils gruppenbezogen vergeben worden. Den richtigen Überblick wer da wie und was darf hat man dort nicht mehr. Spätestens wenn das Unternehmen wächst, und weitere Mitarbeiter und Aufgabenbereiche Einzug halten holt einen der Schlendrian aus der Startphase wieder ein. Die Zeit die Sie jetzt investieren müssen kostet eben nicht nur die eingesetzte Zeit, sondern bares Geld. Denn Mitarbeiter werden in einer Phase in der man es nicht gebrauchen kann von ihren eigentlichen Aufgaben abgehalten. Dabei kann man mit dem richtigen Berechtigungskonzept von Beginn an ein solides Fundament legen. Im Folgenden erwartet Sie dazu keine wissenschaftliche Abhandlung dazu, aber eine Vorgehensweise wie sich hervorragend in kleineren und mittleren Windows Netzen umsetzen lässt.

A-G-DL-P – das Windows Berechtigungskonzept

Dort wo Windows Server sind ist auch Active Directory nicht weit. Dabei handelt es sich um den rollenbasierten Verzeichnisdienst des Microsoft Server Betriebssystems mit einem Gruppenkonzept um Zugriffe auf Ressourcen im Netzwerk steuern zu können. Dieses Zugriffsprinzip nennt man auch das A-G-DL-P-Prinzip:

  • Account (Benutzerkonto)
  • goes in Global Group (Globale Gruppe)
  • nested in Domain Local Group (Domänenlokale Gruppe)
  • that is granted Permission (Berechtigung)

Die folgende Grafik zeigt das Prinzip in sehr vereinfachter Form:

Berechtigungskonzept: A-G-DL-P in vereinfachter Form

Active Directory Berechtigungskonzept: Das A-G-DL-P-Prinzip

Wie dies in der Praxis aussehen könnte möchte ich anhand des folgenden Beispiels darstellen. Auch dies ist sehr vereinfacht, sollte aber das Prinzip verständlich darstellen. Nehmen wir folgendes Szenario als Ausgangslage:

Benutzer 1: Max Seller

Benutzer 2: Heinz Schrauber

Dateifreigabe: Vorlagen

Max Seller ist als Vertriebler im Unternehmen tätig, und soll Schreib-/Leserechte auf die Freigabe Vorlagen erhalten. Sein Kollege Heinz Schrauber ist in der Produktion, und soll auf gar keinen Fall Zugriff auf die Freigabe Vorlagen erhalten. Mit Hilfe des A-G-DL-P-Prinzips erstellen wir nun unser Berechtigungskonzept um den Zugriff zu steuern.

Die Benutzerkonten und die Dateifreigabe sind vorhanden. Es werden also noch die Globalen Gruppen (G) und Domänenlokalen Gruppen (DL) benötigt. Diese werden wie folgt angelegt:

  • G-Vertrieb
  • G-Produktion
  • DL-Vorlagen-RW (Read/Write)
  • DL-Vorlagen-DY (Deny)

Max Seller wird Mitglied der Gruppe G-Vertrieb, und diese ihrerseits Mitglied der Gruppe DL-Vorlagen-RW. Der letztgenannten Gruppe wird nun das Schreib-/Leserecht auf der Freigabe erteilt. Schritt 1 wäre somit erledigt, und nun wird Heinz Schrauber noch explizit der Zugriff auf diese Freigabe verweigert. Hierzu wird er Mitglied der Gruppe G-Produktion, und diese wird Mitglied der Gruppe DL-Vorlagen-DY. Dieser wird dann auf der Gruppe das Zugriff-verweigern-Recht zugewiesen. Wenn Heinz Schrauber sich nun beruflich weiterentwickelt und in den Vertrieb wechselt, entfernt man ihn einfach aus G-Produktion und fügt ihn G-Vertrieb hinzu. Nun hat er die gleichen Zugriffsrechte wie Max Seller, und das in rekordverdächtig kurzer Zeit. Mit dem richtigen Berechtigungskonzept spart man so im Unternehmensalltag einen nicht zu unterschätzenden Zeitaufwand.

Und nun? Das aktuelle Berechtigungskonzept hinterfragen!

Sie wissen nun wie ein durchdachtes Berechtigungskonzept aussehen kann, und es ist an der Zeit das sie prüfen wie es bei Ihnen im Unternehmen darum bestellt ist. Entweder machen Sie das in Eigenregie oder beauftragen jemanden der sich damit auskennt. Und damit sind Sie dann bei mir angekommen, und an der richtigen Adresse. Gemeinsam mit Ihnen erarbeitete ich ein Konzept mit dem Sie a) Zeit sparen, und b) die Gewissheit haben das auch nur gesehen wird was gesehen werden soll. Lernen Sie mich unverbindlich kennen, und Sie werden überzeugt sein.

Ihr Ansprechpartner zum Thema „Active Directory Berechtigungskonzept“:

Herr Michael Weyergans
Tel: 02203 / 989 7091
Mo – Fr 09:00 Uhr bis 18:00 Uhr
Oder nutzen Sie das Kontaktformular.