Header-grossesschiff

Telefon  +49 6126 710 796 0

Dynamic Access Control (DAC)

"Dynamic Access Control (DAC)" wurde mit Microsoft Server 2012 eingeführt. Es handelt sich um einen neuen Ansatz, den immer aufwändiger werdenden Prozess der Berechtigungsvergabe in großen Umgebungen zu vereinfachen.

Bei DAC wird ein zentrales Regelwerk (Business Rules) definiert, das Ansprüche ( Claims ) des Rechtenehmers auf Ressourcen ( Dateien / Ordner ) anhand Ihrer Klassifikation definiert.

FirstAttribute unterstützt Sie bei der Erstellung des Berechtigungskonzepts mit Dynamic Access Control und der Erfüllung der Voraussetzungen. Die Vorbereitung der Infrastruktur sowie die Standardisierung Ihrer Active Directory Daten für die einheitliche Anspruchsdefinition gehören zu unseren Leistungen. Weiterhin untersützen wir gern bei der Einrichtung von zentralen Zugriffsregeln und Klassifizierungseigenschaften.

 

Dynamic Access Control - Berechtigungsmanagement neu gedacht


Die Ausgangssituation

Die Berechtigungsvergabe in großen Dateisystemen wird oft durch die Verwendung von Ressource- und Rollen-Gruppen organisiert. Hierbei wird jeweils eine bestimmte Berechtigung (z.b. Schreibzugriff) auf eine definierte Ordner-Ressource (z.B. Buchhaltungsdaten) vergeben. Danach wird dieser Gruppe eine Rollengruppe hinzugefügt, die alle Buchhaltungs-Mitarbeiter zusammenfasst und damit die Rolle "Mitarbeiter Buchhaltung" definiert. Sehr wichtig ist dabei ein sauberes Namenskonzept für die große Anzahl von Gruppen, die sich daraus ergibt.

Wird dieser Ansatz nicht konsequent eingehalten und daran vorbei administriert, geht sehr schnell der Überblick über die effektiven Rechte verloren.

In der Praxis ergeben sich aus diesem Ansatz der Berechtigungsvergabe einige Herausforderungen, die oftmals nur schwer umzusetzen sind.

Die Gruppen- und Berechtigungsadministration kann einen nicht unerheblichen Arbeitsaufwandfür den Helpdesk bedeuten. Es setzt eine sorgfältige Absprache mit den Datenverantwortlichen und den Rechtenehmern voraus. Alle Berechtigungsaktionen werden direkt auf dem Filesystem oder in den Gruppen ausgeführt und können auch nur dort nach nachvollzogen werden.

 

Der DAC Ansatz

"Dynamic Access Contol" geht hier einen neuen Weg des Berechtigungsmanagements. Es werden Regeln definiert, die Benutzereigenschaften (Claims) mit Daten- Klassifikation verknüpfen und darauf basiert, Berechtigungen auf die Ressourcen vergeben.

Ein einfaches Beispiel:

Die Regel besagt "Wenn die Abteilung des Benutzers (Active Directory - Department) gleich der Abteilungsklassifizierung der Ordner-Ressource ist, dann erhält der Anwender Schreibzugriff.

Zugriffsregeln können verschiedene Claims logisch verknüpfen und auch Gruppenmitgliedschaften mit einbeziehen um z.B. Sonderfälle abbilden zu können.

DAC Regelerstellung

Screenshot: "Dynamic Access Control" Regel Erstellung

 

Datenklassifikation

Der Datenverantwortliche bestimmt, wie seine Daten klassifiziert werden. Die Klassifizierungseigenschaften werden zentral definiert und stehen damit überall in der Active Directory Domäne zur Verfügung.

Darüber hinaus können Dateien auch automatisch anhand ihres Inhalts klassifiziert werden. Wenn eine Datei z.B. bestimmte Schlüsselwörter enthält, wird sie automatisch als "Vertraulich" klassifiziert. Eine Regel könnte dann nur noch den Zugriff für interne Mitarbeiter auf Firmenrechnern erlauben.

DAC Datenklassifikation

Screenshot: DAC Datenklassifikation im Explorer

 

Benutzeransprüche (Claims)

Die Active Directory Benutzerattribute aus denen die Claims gefüllt werden, können weiterhin zentral administriert oder durch ein Identity Management System verwaltet werden. Natürlich kann man die Verantwortlichkeit für bestimmte Attribute der Anwender auch an deren zuständige Fachabteilung delegieren. Ein gut gepflegtes und standardisiertes Active Directory ist eine wichtige Voraussetzung für die erfolgreiche Einführung von "Dynamic Access Control" FirstAttribute kann sie auch hierbei mit Tools, Konzepten und langjähriger Erfahrung im Active Directory Management unterstützen.

Das Regelwerk wird ebenfalls zentral verwaltet und auf alle Fileserver verteilt.
Dies hat den großen Vorteil, dass man zu jedem Zeitpunkt einen sofortigen Überblick über alle Berechtigungsregeln hat. Dieselben Regeln können natürlich auch für Auditing - Zwecke verwendet werden.

 

Voraussetzungen für DAC


Voraussetzungen für den Einsatz von "Dynamic Access Control" sind zuerst einmal Windows 2012 Fileserver (Storage-Hersteller arbeiten ebenfalls an einer Unterstützung).
Weiterhin muss mindestens ein 2012 Domain Controller in der Domäne verfügbar sein um die Claim-basierten Benutzertoken ausstellen zu können.

Einige Features von "Dynamic Access Control" sind jedoch nur mit Windows 8 bzw. Windows 8.1 Workstations nutzbar (z.B. Device-Claims).

 

Alternative für Server 2008

Wer die oben genannten Bedingungen heute noch nicht erfüllt, kann jedoch schon jetzt den ersten Schritt in die "Claim-basierte Berechtigungsverwaltung" machen. Mit FirstWare DynamicGroup können sie automatisch Gruppen mit Benutzern anhand ihrer Active Directory Attribute füllen. Mit Hilfe dieser Gruppen können Sie dann Berechtigungen auf die entsprechenden Ressourcen vergeben.

Fragen sie uns.
Wir beraten sie gern zu allen Fragen rund um die Themen Berechtigungsmanagement und Active Directory Verwaltung

 

Weiterführende Links zu Dynamic Access Control:

KuppingerCole

Microsoft Windows Server Blog

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum