Active Directory Gruppenverwaltung vereinfachen
Gruppenverwaltung in Active Directory ist grundsätzlich eine technische Sicht. Mit dem Wechsel in die Anwendersicht wird AD Gruppen-Management deutlich einfacher. Es ist sogar möglich diese anwenderfreundlich an Mitarbeiter zu delegieren.
Index
Technische AD Gruppenverwaltung
Aus technischer Sicht sind Gruppen einer von vier wesentlichen Objekttypen im Active Directory. Die anderen sind Benutzer, Computer und Drucker. AD Gruppen unterscheiden können alle diese Objekttypen beinhalten bzw. gruppieren oder zum Mitglied haben. Aus grundlegender technischer “Objektsicht” ist jede Active Directory Gruppe gleich.
Dennoch gibt es vier verschiedene Gruppentypen:
Lokal, Domänenlokal, Global, Universal.
Sie unterscheiden sich vor allem darin, was Zugriffe und Verschachtelungen angeht.
Funktional wird zwischen Sicherheitsgruppen und Verteilergruppen unterschieden. Sicherheitsgruppen. Vereinfacht gesagt AD Gruppen für Berechtigungen (Sicherheit) und E-Mail/Exchange (Verteiler). IT-Abteilungen, die dem Ansatz “Berechtigungen über Gruppen” folgen berechtigen Benutzer nicht direkt. Sie profitieren mittel- und langfristig von einer standardisieren Gruppenverwaltung mit dem AGDLP-Prinzip.
Anwendersicht auf AD Group
Endanwender kennen Active Directory und seine Gruppen nicht. Ein AD-Admin kennt ja auch nicht jede Funktion einer bestimmten Buchhaltungssoftware. Für Mitarbeiter machen sich Gruppen bemerkbar, in dem sie entweder einen E-Mail-Verteiler nutzen (Verteilergruppen auf Exchange) oder sich etwas an Ihren Berechtigungen (Sicherheitsgruppen) und z.B. ein Abteilungslaufwerk sichtbar wird.
Anwender merken von Gruppen etwas, wenn Sie:
- Internetzugriff bekommen
- Abteilungslaufwerk sehen
- Zugang zu Unternehmensbereichen erhalten
- Zugriff auf eine Anwendung haben
- Rolle einer Anwendung nutzen
usw.
Mitarbeiter merken nicht, dass dabei Ihr Benutzerobjekt Mitglied einer Gruppe wurde und zuvor im Hintergrund Berechtigungen an diese Active Directory Gruppe geknüpft wurden.
Verwaltung von AD-Gruppen an Benutzer delegieren
Wenn Anwender AD Gruppenverwaltung nicht kennen, warum sollten Sie diese dennoch übernehmen? Die Antwort ist Zeit und Kosten, aber es lässt sich genauer sagen:
- IT wird entlastet
- Anwender sind schneller arbeitsfähig
- Selbstständigkeit der Mitarbeiter
Mitarbeiter haben verschiedene Möglichkeiten Gruppenzuordnungen durchzuführen. Wichtig ist die Absicherung und Begrenzung der Auswahl. Mit dem IDM-Portal wird dies auf Basis der Rollenberechtigung umgesetzt. Benutzergruppen unterscheiden sich dabei – Manager haben mehr Entscheidungsmöglichkeit als ein Mitarbeiter im Self Service.
Der passive Weg – Daten verwalten Gruppen
Anwender bearbeiten nur Daten, die sie verstehen. Das AGDLP-Prinzip hingegen ist ein notwendiges Konzept für das Identity and Access Management. Die Idee hinter anwenderorientiertem Identity Management ist es, die Daten mit Gruppen klug zu verzahnen. Gruppenverwaltung im AD kann im Hintergrund ablaufen
Der aktive Weg – Anwender holen sich ein Laufwerk
Natürlich kann ein Mitarbeiter auch aktiv in die AD Gruppenverwaltung eingreifen. Dies wird bedarfsgerecht ermöglicht. Das bedeutet, dass Ansichten und Auswahl auf das Wesentliche reduziert sind. Auf diese Weise werden auch die Fehlermöglichkeiten begrenzt. Abteilungsleiter, Helpdesk, Assistenten oder lokale Admins vergeben so direkt Berechtigungen über Projekte und Anwendungen für Ihren Bereich.
Zeitpunkt-gesteuerte Active Directory Gruppen
Ein Admin oder Abteilungsleiter möchte heute schon die Mitgliedschaft in einer AD Gruppe regeln. Allerdings soll es erst in zwei Monaten wirksam. Zeitpunkt-basierte Gruppenmitgliedschaften sind mit dem IDM-Portal genauso möglich, wie temporäre Gruppen. Diese temporären Berechtigungen werden häufig bei externen Mitarbeitern oder Praktikanten eingesetzt, um Sicherheitsrisiken zu vermeiden. Die Nachvollziehbarkeit ist zu jeden Zeitpunkt gegeben, da ein eigenes Log die Veränderungen und Anträge mitschreibt.
IT und Abteilungsorganisation können entspannt zukünftige Identity Management Aufgaben, vorab erledigen.
Gruppen mit Genehmigung
Ganz ähnlich verhält es sich mit dem Delegieren von Freigaben für Berechtigungsgruppen. Verantwortliche einer AD Sicherheitsgruppe erhalten eine Nachricht, wenn die eine neue Gruppenmitgliedschaft setzen müssen. Dieser Genehmigungs-Workflow kann je nach Konfiguration auch von Mitarbeitern selbst gestartet werden, z.B. wenn es um die Freigabe einer Proxy-Berechtigung für bestimmte Internetseiten oder YouTube geht. Der Vorgesetzte hat nun die Möglichkeit diese freizugeben oder mit einer Begründung abzulehnen. Natürlich können Zeitsteuerung und Genehmigungsabläufe für die Active Directory Gruppenverwaltung auch kombiniert werden.
Automatisiertes Group Management
Schnelles AD Group Management bedeutet immer auch Automatisierung. Dabei ist immer der Standpunkt und das Konzept für die Automatismen entscheidend. Kurze und direkte Automatisierung erfolgt häufig per PowerShell. Damit sind Echtzeit-Fälle gut abgedeckt. Verteilte Administration inklusive PowerShell unterstützt das IDM-Portal.
Sich selbst pflegende Gruppen, die in bestimmten Intervallen Mitgliedschaften aktualisieren, etabliert man eher mit dynamischen AD Gruppen. Die AD Gruppenverwaltung im engeren Sinn zu automatisieren bedeutet oft, dass Eingaben automatisch verarbeitet werden. Wie oben beschrieben können diese Eingaben Attributs-basiert, Ereignis-begründet, zeitgesteuert oder genehmigungspflichtig sein. Identity Management Automatisierung im AD ist damit ein Feld, was weit über reine Gruppenadministration hinausgeht.
