Im Grundsatz ist die Vergabe von Zugriffsberechtigungen im Active Directory nicht allzu schwierig. Entscheidend ist, dass man dabei strukturiert vorgeht und nach Möglichkeit auch genau dokumentiert, wo man welche Berechtigungen vergeben hat. Um Berechtigungen direkt vergeben zu können, muss man allerdings im Menü Ansicht die Option Erweiterte Funktionen auswählen. Nur dann wird das Register Sicherheit angezeigt, über das man die Berechtigungen vergeben kann.
Wenn das Register Sicherheit ausgewählt wird, sieht man eine Liste der Benutzer und Gruppen, denen aktuell Zugriffsberechtigungen zugeordnet sind. Darunter findet sich die Liste der Berechtigungen, die zugewiesen werden können. Diese unterscheidet sich von der Liste, die man beispielsweise im Dateisystem sieht, deutlich. Neben den Basisrechten gibt es Einstellungen für den Umgang mit untergeordneten Objekten sowie für Richtlinienergebnissätze, die beim Management von Gruppenrichtlinien unter Umständen benötigt werden.
Die erweiterten Einstellungen
Richtig interessant wird es aber ohnehin erst bei den erweiterten Einstellungen. Dort findet sich meist eine relativ lange Liste von Einträgen. Jeder Eintrag stellt die Kombination eines Benutzers respektive einer Benutzergruppe mit einer Berechtigung dar. In der Spalte Berechtigung ist entweder direkt die Berechtigung angegeben oder die Einstellung Speziell gesetzt, wenn es sich um speziell konfigurierte, nicht vordefinierte Zugriffsberechtigungen handelt.
Viele Informationen: Bei den erweiterten Einstellungen zu den Zugriffsberechtigungen im Active Directory finden sich viele wichtige Detailinformationen beispielsweise zur Vererbung.
Nicht minder wichtig ist die Spalte Geerbt von. Einträge mit dem Verweis <nicht geerbt> sind direkt für dieses Objekt vergeben worden. Bei anderen Einträgen ist erkennbar, wo diese zunächst konfiguriert wurden. Außerdem wird bei Übernehmen für angegeben, für welche anderen Objekte die Festlegungen vererbt werden. Damit ist auf einen Blick der Status der aktuellen Berechtigungsvergabe erkennbar.
Im unteren Bereich des Dialogfelds finden sich zwei wichtige Option. Mit der Option Berechtigungen übergeordneter Objekte… kann gesteuert werden, dass die Berechtigungen von übergeordneten Objekten übernommen werden. Und mit der Option Standard lassen sich Berechtigungen auf die Standardwerte zurücksetzen, was hilfreich ist, wenn man den Überblick verloren hat und von Neuem beginnen möchte.
Das Bearbeiten von Berechtigungen
Beim Bearbeiten von Berechtigungen zeigt sich, wie differenziert man arbeiten kann. Dort finden sich zwei Register. Im Register Objekt finden sich die Berechtigungen auf Objektebene. Dazu gehören auch Berechtigungen, mit denen in vordefinierter Weise mehrere Attribute zusammengefasst werden.
Im Register Eigenschaften finden sich die Berechtigungen für die einzelnen Eigenschaften der Objekte. Neben Alle Eigenschaften lesen und Alle Eigenschaften schreiben gibt es für jedes Attribut zwei Einträge. Mit einem kann das Schreib-, mit dem anderen das Leserecht gewährt werden.
Sehr detailliert: Die Zugriffsberechtigungen im Active Directory können bei Bedarf bis auf die Ebene der einzelnen Attribute definiert werden – was aber meistens weder nötig noch sinnvoll ist.
Im oberen Bereich gibt es neben dem Namen des Objekts die Auswahlliste Übernehmen für. Dort kann festgelegt werden, ob die Berechtigungen nur für das aktuelle Objekt gelten oder vererbt werden sollen. Neben den allgemeinen Vererbungseinstellungen können auch einzelne Objektklassen ausgewählt werden, an die eine Vererbung erfolgen soll.
Die Liste der möglichen Berechtigungen wird jeweils dynamisch generiert. So gibt es bei organisatorischen Einheiten beispielsweise Einträge für eine sehr große Zahl von Objektklassen, die erzeugt werden können. Dagegen finden sich bei Computer- oder Benutzerobjekten nur wenige untergeordnete Objektklassen, weil die meisten Objekte eben nicht auf der Ebene darunter angeordnet werden können.
Überwachungseinstellungen
Neben den Berechtigungen können bei den erweiterten Einstellungen auch Überwachungseinstellungen konfiguriert werden. Diese sind nur wirksam, wenn die Überwachung des Active Directory über die Gruppen- oder lokalen Sicherheitsrichtlinien aktiviert wurde. Auch diese Einstellungen können geerbt werden.
Nachvollziehbar: Für jedes Objekt können im Active Directory auch Überwachungseinstellungen konfiguriert werden. Damit lässt sich genau erkennen, wann welche Änderungen an dem Objekt vorgenommen wurden.
Die Definition von Überwachungseinstellungen muss genau geplant werden. Grundsätzlich spricht einiges dafür, Änderungen im Active Directory zu protokollieren. Andererseits gilt die Grundregel, dass Überwachungsprotokolle nur etwas bringen, wenn man sie auch auswertet. Anders formuliert: Solange man keine Prozeduren hat, um die Überwachungsprotokolle regelmäßig zu analysieren und Abweichungen darin zu erkennen, kann man auch auf deren Aufzeichnung verzichten.
Bei den Überwachungseinstellungen kann genau gesteuert werden, was protokolliert werden soll. Die Einstellungen werden jeweils für einen Benutzer oder eine Gruppe und bestimmte Zugriffe gesetzt. Dabei können sowohl erfolgreiche Zugriffe, also beispielsweise zulässige Änderungen, als auch nicht zulässige Zugriffe protokolliert werden.
Da das Active Directory ein für das Funktionieren von Netzwerken kritisches Element ist, kann auch die Überwachung von positiven Zugriffen Sinn machen, um auf diese Weise eine Änderungshistorie zu erhalten. Allerdings muss man sich im Klaren darüber sein, dass diese sehr umfangreich werden kann – vor allem, wenn sich Berechtigungen über große Teile einer Domänenstruktur hinweg vererben.
Es bietet sich daher an, die Überwachung zunächst für wenige Bereiche zu aktivieren, um damit vertraut zu werden, und sie später auszubauen, wenn man ein Gefühl für die Menge der protokollierten Daten entwickelt hat und weiß, welche der Protokollinformationen man tatsächlich benötigt.
Effektive Berechtigungen
Schließlich gibt es noch die effektiven Berechtigungen. Wenn man die Liste im Register Berechtigungen betrachtet wird schnell deutlich, dass man auf dieser Basis selten genau sagen kann, wer was machen darf. Mit den effektiven Berechtigungen kann man das aber schnell ermitteln.
Informativ: Für ausgewählte Benutzer und Gruppen können auch die effektiven Berechtigungen angezeigt werden, also die Rechte, die dieser Benutzer oder diese Gruppe aufgrund der verschiedenen Sicherheitseinstellungen besitzt.
Dazu muss ein Name einer Gruppe oder eines Benutzers bei Auswählen selektiert werden. Nach der Auswahl wird im unteren Bereich angezeigt, welche Berechtigungen dieser Benutzer oder diese Gruppe hat und welche nicht. Damit kann man sehr schnell kontrollieren, ob die tatsächlich wirksamen Berechtigungen dem entsprechen, was man im Sinn hatte.
Schwieriger ist allerdings herauszufinden, woher die Berechtigungen kommen. Wenn man eine Berechtigung in der Liste der effektiven Berechtigungen hat, die nicht gewünscht ist, muss man alle einzelnen Berechtigungen im entsprechenden Register analysieren um zu ermitteln, woher diese kommt. Das ist vor allem bei Berechtigungen mühsam, die über Speziell vergeben worden sind, weil man hier mit Berarbeiten das Dialogfeld mit den Detaileinstellungen zu der entsprechenden Berechtigung öffnen muss.