Active Directory – Aber sicher! Part 2 – Delegierung

Active Directory - Aber sicher! Part 2 - Delegierung

Redesign des Active Directory - Delegierung

Um im Active Directory Verwaltungsaufgaben vorzunehmen, benötigt es nicht immer Domain Admin-Rechte. Die Lösung: Ein Rechte/Rollen-Konzept!

Dieser Teil ist aufwendig, da hier im ersten Schritt erfasst werden muss, wer welche Aufgaben im Active Directory erfüllt.

In der Regel sind die zwei Prozessstränge, welche man parallelisieren kann. Erstaunlicherweise sind in den meisten Unternehmen die Abgrenzungen der Tätigkeiten der einzelnen Teams oder Personen sehr unscharf. Oft heißt es hier „Ich muss im Zweifel alle Rechte haben, alles machen zu können“. Auch das ist grundsätzlich mit dem neuen Konzept möglich, aber perspektivisch natürlich nicht wünschenswert.

Wir kümmern uns in diesem Artikel um den technischen Teil:

Etabliert hat sich ein serviceorientierter Ansatz. Dies bedeutet, man erarbeitet die Rechte pro Service und bündelt diese dann in Rollen.

Ein einfaches Beispiel:

Es gibt einen Service „Monitoring“. Dieser Service verfügt über Hosts und serviceinterne Berechtigungsgruppen. Pro Service gibt es zwei Berechtigungsgruppenarten: administrative Berechtigungsgruppen und Dienstberechtigungsgruppen.

Übersucht Berechtigungsgruppentypen
Übersucht Berechtigungsgruppentypen

Die administrativen Berechtigungen beziehen sich auf lokale Administrationsrechte des Hosts (also z. B. die Mitgliedschaft in den lokalen Gruppen „Administratoren“ oder „Remotedesktopbenutzer“) und die Berechtigungen die Dienstberechtigungsgruppen zu verwalten.

Die Dienstberechtigungsgruppen beziehen sich auf dienstspezifische Gruppen (z. B. internes Anmelde-Recht der Monitoring-Anwendung oder View-Berechtigungen).

Mehrere Dienstberechtigungen werden in Rollen pro Service zusammengefasst.

Die Verwaltung der Berechtigungen der Anwendung und des Hosts erfolgt in der Active Directory-Administration über Gruppenmitgliedschaften. Über die Berechtigungsdelegierung kann dies pro Service gekapselt werden. Sprich ein Monitoring-Administrator, muss nicht zwingend auch Exchange-Gruppen verwalten können.

Übersicht delegierter Rechte je Unterstruktur
Übersicht delegierter Rechte je Unterstruktur

In unserem Konzept werden pro Service üblicherweise folgende Berechtigungen delegiert:

  • Gruppenanlage
  • Gruppenlöschung
  • Verwaltung der Gruppenmitgliedschaften
  • Deaktivierung Benutzeraccounts
  • Passwort-Reset Benutzeraccounts
  • Deaktivierung Computeraccounts
  • Passwort-Reset des Computeraccounts

Administrative Berechtigungsgruppen werden innerhalb der Service-Struktur vorgehalten, aber von übergeordneten Administratoren verwaltet. Hierdurch wird sichergestellt, dass der Service-Administrator nicht selbstständig andere zu Administratoren seines Dienstes machen kann.

Für das Active Directory ergibt sich aus den obigen Anforderungen folgende Unterstruktur pro Service:

  • AdminGroups
  • ResGroups
  • RoleGroups
  • Accounts
  • Servers
Übersicht Zuständigkeiten pro Unterstruktur
Übersicht Zuständigkeiten pro Unterstruktur

Mit Ausnahme der „AdminGroups“ können die Service-AdministratorenIhre“ Service-Items wie Gruppen, Benutzer und Computer pflegen.

Die Anlage von Gruppen, Accounts und Computerobjekten ist standardmäßig nicht Teil der Berechtigungen der Service-Administratoren, da durch das Active Directory-Backend nicht verhindert werden kann, dass die Administratoren abweichend vom Namenskonzept Benutzer, Computer und Gruppen anlegen. Damit eine Automatisierung z.B. von Auswertungen später möglich ist, ist dies aber zwingend erforderlich.

Den Prozess der Anlage kann man entweder organisatorisch an die übergeordneten Administratoren auslagern oder über eine Automatisierungsplattform mit entsprechender Durchsetzung des Namenskonzepts.

Auf Basis von PowerShell-Skripten lassen sich die Organisationseinheiten, Delegierungen und Gruppen automatisiert gemäß Konzept anlegen.

Planen Sie die Umsetung eines Rollen/Rechte-Konzeptes für Ihr Active Directory? Dann kontaktieren Sie uns gerne via Kontaktformular, Chat oder Telefon. Wir unterstützen Sie gerne mit entsprechenden Vorgehensmodellen, fertigen PowerShell-Skripten und Dokumentationen.

Unsere Zielstruktur sieht dann wie folgt aus:

Apropos Namenskonzept, das wäre dann das Thema für den nächsten Artikel…

Über den Autor

Kategorien

Neueste Beiträge

Newsletteranmeldung

Sie möchten informiert werden, wenn wir neue Beiträge veröffentlichen?
Melden Sie sich hier für unsere automatische E-Mailbenachrichtigung an:

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzerklärung zu