21.3 Bedeutung von ABE für Anwender und IT-Personal
Am Beispiel eines imaginären Unternehmens soll nachfolgend demonstriert werden, welche Optionen sich mit ABE nunmehr auftun. Auf dem Windows-Dateiserver unseres Beispielunternehmens gibt es bisher eine Freigabe namens »Firmendaten«, in der die Mitarbeiter Dokumente für ihre Arbeitsgruppen ablegen. Dieser Gruppenordner hat eine Struktur, die sich an die Aufbauorganisation des Unternehmens anlehnt. Es gibt Unterordner für die einzelnen Abteilungen. Daneben gibt es Ordner für abteilungsübergreifende Projekte und einen Ordner namens »allgemein zugängliche Informationen«, in dem Dokumente abgelegt werden, die alle Mitarbeiter des Unternehmens einsehen dürfen. Weiterhin gibt es spezielle Ordner für den Betriebsrat, für Dokumentvorlagen usw.
Hier klicken, um das Bild zu Vergrößern
Im Active Directory sind in Anlehnung an die Aufbauorganisation des Unternehmens Sicherheitsgruppen angelegt, denen exklusive Zugriffsrechte auf die Unterordner der Freigabe »Firmendaten« erteilt werden.
Hier klicken, um das Bild zu Vergrößern
So gibt es z.B. die Sicherheitsgruppe »Abteilung C«. Dieser Sicherheitsgruppe wurde das Recht zum Ändern der Inhalte des Ordners »Abteilung C« erteilt.
Hier klicken, um das Bild zu Vergrößern
Öffnete ein Mitarbeiter, der ein Mitglied der Sicherheitsgruppen »Abteilung C«, »Projekt B« und »Betriebsrat« ist, im Windows-Explorer die Freigabe »Firmendaten«, so sah er bisher alle Unterordner der Freigabe »Firmendaten«, und nicht nur diejenigen, für die er aufgrund seiner Mitgliedschaft in den verschiedenen Sicherheitsgruppen überhaupt Zugriffsrechte besitzt. Erst beim Versuch, z.B. den Unterordner »Abteilung A« zu öffnen, erhielt der Mitarbeiter die Meldung »Zugriff verweigert«.
Mit installiertem ABE hat der Mitarbeiter ein gänzlich neues Anwendererlebnis. Im Windows-Explorer werden nun unterhalb der Freigabe »Firmendaten« nur noch diejenigen Ordner aufgelistet, die für seine Arbeit relevant sind. Er sieht seinen Abteilungsordner, seine Projektordner und diejenigen Ordner, die alle Firmenmitarbeiter einsehen dürfen.
Hier klicken, um das Bild zu Vergrößern
Die Freigabe »Firmendaten« wirkt aufgeräumt und übersichtlich. Schnell findet der Mitarbeiter die Speicherorte für seine Dokumente und die wenigen Ordner, in denen allgemein zugängliche Informationen hinterlegt sind. Das spart nicht nur Zeit und Nerven beim Anwender, sondern auch beim IT-Supportpersonal.
Ein weiterer, nicht zu unterschätzender Vorteil von ABE ist aber der folgende. Der Administrator kann nunmehr auf einen Blick einsehen, ob ein Mitarbeiter ausreichende Berechtigungen hat, um seine Dokumente einzusehen, oder ob dem Mitarbeiter versehentlich zu viele Berechtigungen erteilt wurden, so dass er ungewollt auch auf sensible, nicht für ihn bestimmte Dokumente zugreifen kann. Richtet der Administrator ein neues Benutzerkonto für einen neuen Mitarbeiter im Vertrieb ein, so nimmt er die Benutzerkennung in die entsprechenden Sicherheitsgruppen auf (z.B. »Vertrieb Süddeutschland« und »Projekt Internetauftritt«). Wechselt z.B. ein anderer Mitarbeiter von der Abteilung C in die Abteilung A, so entfernt der Administrator die zugehörige Benutzerkennung aus der Sicherheitsgruppe »Abteilung C« und fügt sie in die Sicherheitsgruppe »Abteilung A« ein. Danach meldet sich der Administrator unter dieser Benutzerkennung an und überprüft, ob der betreffende Mitarbeiter wirklich nur die Dateibestände sieht, auf die er zugreifen darf. Falsch vergebene Gruppenmitgliedschaften oder Zugriffsberechtigungen sind nun im Windows Explorer sofort sichtbar.
Auf der Buch-DVD finden Sie im Verzeichnis Windows Server\Access-based Enumeration – ABE wichtige Artikel und Hinweise auf zusätzliche Quellen im Internet.
|
