Suchen

Verzeichnisdienst effektiv nutzen und sichern Fünf Tipps für den effektiven Umgang mit Active Directory

| Autor / Redakteur: Bernhard Lück / Dipl.-Ing. (FH) Andreas Donner

Security-Manager Jörn Dierks vom Enterprise-Software-Anbieter NetIQ zeigt, wie man mit automatisierten, wiederholbaren Prozessen den Verwaltungsaufwand für das Active Directory reduzieren und die Systemsicherheit erhöhen kann.

Firma zum Thema

Jörn Dierks ist Chief Security Strategist beim Enterprise-Software-Anbieter NetIQ.
Jörn Dierks ist Chief Security Strategist beim Enterprise-Software-Anbieter NetIQ.

Das Active Directory spielt für die Unternehmens-IT eine immens wichtige Rolle. Immer häufiger werden IT-Administratoren dazu angehalten, dafür zu sorgen, dass die dort vorgehaltenen Daten sowie die Zugangsmöglichkeiten, die das Verzeichnis bietet, effektiv genutzt und abgesichert werden. Der Mangel an systemeigenen Steuerelementen macht dies jedoch schwierig. Für IT-Administratoren hat Security-Manager Jörn Dierks fünf Vorschläge für einen effektiven Umgang mit dem Active Directory parat.

1. Compliance-Auditing und -Reporting: Die Norm reicht nicht aus

Active Directory verfügt, wenn überhaupt, nur über eingeschränkte Reporting-Optionen. Um Compliance-Vorgaben leichter einhalten und verfolgen zu können, sollten IT-Administratoren deshalb auf eine separate Lösung setzen, die anpassbare Reporting- und Auditing-Funktionen für Active-Directory-Aktivitäten bereitstellt. Die Berichte sollten sowohl Aufschluss darüber geben können, wer Änderungen eingepflegt hat, als auch wann, wie und wo diese vorgenommen wurden. Die Audit-Funktionen müssen flexibel genug sein, um Trends visuell aufzeigen und detaillierte Verbesserungsvorschläge für ihr Active Directory bereitstellen zu können. Audit-Aktivitäten sollten sich zudem langfristig speichern lassen.

2. Verwaltung von Gruppenrichtlinien: Offline-Option notwendig

Die nativen Steuerungsmöglichkeiten von Gruppenrichtlinien sind in Active Directory gerade für Organisationen mit mehreren IT-Administratoren und komplexen Rollenzuweisungen ziemlich begrenzt. Änderungen lassen sich nur schwer durchführen und noch schwerer zurücknehmen. Um Gruppenrichtlinien sicher und effektiv nutzen zu können, müssen Unternehmen mittels eines Offline-Repositorys die Folgen etwaiger Regeländerungen modellieren und vorhersagen können, bevor diese tatsächlich in Kraft treten. Die Fähigkeit, Gruppenrichtlinienänderungen planen, steuern und beheben zu können beugt schwerwiegenden Administrationsfehlern vor und sorgt im Zusammenspiel mit genehmigten Änderungs- und Freigabeprozessen so für eine sicherere Windows-Umgebung.

3. Nutzerprovisionierung: manuelle Prozesse verbieten

In großen Unternehmen kann die manuelle Nutzerprovisionierung Tage dauern, da Active Directory über keine Automations- oder Policy-Enforcement-Funktionen verfügt. Mangels Kontrollmöglichkeiten lässt sich dann auch nicht sicherstellen, ob Benutzer die Zugangsfreigaben haben, die sie tatsächlich benötigen. Unternehmen sollten bei der Berechtigungsvergabe sowohl aus Sicherheits- als auch Ressourcengründen deshalb auf eine automatisierte Lösung setzen, die Provisionierungsaufträge ausführt, Zugangsberechtigungen, wenn sinnvoll, zeitlich begrenzt und etwaige Änderungsanfragen erst nach automatischer Prüfung freigibt.

4. Übertragung von Benutzerrechten: selektiv, statt gebündelt

Die Anzahl der Benutzer mit erweiterten Administratorrechten einzuschränken, ist für Active-Directory-Verwalter eine ständige Herausforderung. Viele Nutzer- und Helpdesk-Anfragen führen dazu, dass Anwender Zugriff auf Active Directory und mitunter sogar administrative Benutzerrechte erhalten, ohne diese im Tagesgeschäft wirklich zu benötigen. Da es nur zwei administrative Zugriffsebenen in Active Directory (den Domain-Administrator-Zugang und den Enterprise-Administrator-Zugang) gibt, ist es schwer nachzuvollziehen, was ein Benutzer mit Administratorrechten im System tatsächlich sehen und ausführen kann. Automatisierte Lösungen können dabei helfen, eingeschränkte Benutzerrechte zu definieren, einzelne Mandate voneinander zu trennen und so nur selektiv an Anwender zu delegieren.

5. Das A und O: Konsistenz

Unternehmen müssen sicherstellen, dass ihre in Active Directory vorgehaltenen Daten so aufbereitet sind, dass sie allgemeine Unternehmensanforderungen unterstützen – vor allem deshalb, weil viele Geschäftsanwendungen in der Regel mit Active Directory direkt verknüpft sind. Die Datenintegrität betrifft sowohl die Konsistenz als auch die Vollständigkeit der abgelegten Informationen. So gibt es allein bei Telefon- und Faxnummern unterschiedliche Möglichkeiten, diese abzubilden:

- +49 713 418.5555
- 0713-4185555
- (0713) 4185555

Das Problem: werden hier keine klaren und konsistenten Konventionen verwendet, funktionieren Dienste wie beispielsweise Fax-Software nicht. Die inkonsistente Abbildung von Mobilnummern führt zudem dazu, dass Mitarbeiter, die von unterwegs auf die hinterlegten Nummern mit ihren Mobiltelefonen via Active Sync zugreifen, um diese per Schnelltaste wählen zu können, regelmäßig Fehleranzeigen bekommen.

Mehr und mehr kritische Applikationen verwenden das Active Directory als Datenquelle. Eine konsistente Schreibweise ist unumgänglich, will man anwendungsübergreifend mit den Daten arbeiten und Fehlfunktionen vermeiden. Administratoren, die hier keine Standards festlegen, müssen Fehleinträge im Nachhinein oftmals mühsam manuell korrigieren lassen.

(ID:35825150)