Sicherheitsmanagement im Active Directory

Die Berechtigungen

Nachdem das oder die Objekte ausgewählt wurden, müssen noch die Berechtigungen konfiguriert werden. Im entsprechenden Dialogfeld des Assistenten werden standardmäßig allgemeine Berechtigungen angezeigt. Dabei handelt es sich um Berechtigungen wie den Vollzugriff, aber auch um vordefinierte, aggregierte Berechtigungen wie Kennwort ändern oder Lesen und Schreiben Telefon- und Postoptionen. In vielen Fällen wird man damit auskommen.

Granular: Nach der Auswahl der Objekte müssen die Berechtigungen definiert werden. Diese können bis auf die Ebene einzelner Attribute hinunter gesteuert werden.
Granular: Nach der Auswahl der Objekte müssen die Berechtigungen definiert werden. Diese können bis auf die Ebene einzelner Attribute hinunter gesteuert werden.

Solche aggregierten Berechtigungen finden sich aber nur bei den bereits oben erwähnten Objekten, die vom System speziell behandelt werden. Bei anderen Objekten kann man nur allgemeine Berechtigungen wie Vollzugriff setzen oder auf Attributebene steuern, welche Attribute gelesen und welche geändert werden dürfen.

Um Berechtigungen auf der Ebene von einzelnen Attributen vergeben zu können, muss man die Option Eigenschaftenspezifisch auswählen. Danach wird die vollständige Liste aller Attribute angezeigt. Jedes Attribut erscheint zweimal, einmal in der Form accountExpires lesen und einmal in der Art von accountExpires schreiben.

Von der Vergabe von Berechtigungen auf Attributebene ist grundsätzlich eher abzuraten. Das Problem dabei ist, dass man schnell den Überblick verliert. Solange man mit den vordefinierten Aufgaben oder mit den genannten aggregierten Berechtigungen auskommt, sollte man diese nutzen. Falls sie nicht reichen, muss man natürlich auf der Ebene einzelner Eigenschaften arbeiten.

Spätestens dann gilt aber auch, dass man jede Zuweisung von Objektrechten ganz genau dokumentieren sollte, um auch nach einiger Zeit noch nachvollziehen zu können, wer welche Berechtigungen im Active Directory hat.