Zum Inhalt springen

  • BLOG
  • EDV
    • Digitalisierung???
    • Azure – die Cloud Wundertüte von Microsoft – 1433
    • Erfolg im Anwendersupport – 661
    • erfolgreiches Patchmanagement – 486
    • RBAC und AGDLP – 905
    • Atomphysik für Nerds – 2307
    • KPIs und SLAs in der IT – 535
    • Nonverbales im Videocall – 565
  • Geschäft und Beruf
    • Azure – die Cloud Wundertüte von Microsoft – 1433
    • the nextGen IT – 522
    • Digital 2020? – 728
    • Nonverbales im Videocall – 565
    • Die etwas andere Bewerbung – Vorbereitung und Motivation - 687
    • Die etwas andere Bewerbung 4.0 – das Gespräch – 838
    • Genial Schreiben – ja wirklich!
  • Paranormales
    • Das Fermi Paradoxon – 1687
    • die blaue oder die rote Pille?-1014
    • Oumuamua – der Botschafter – 1074
  • Buntes
    • fotografieren mit dem Smartphone – wie ein Profi!
    • Reisebericht Malta
    • urban street art
    • lost places
    • Malaga
    • best friends
    • Barcelona
    • Malta
    • my Hamburg
    • wild coast
    • all photos
  • Kniffliges
    • 2022???
    • Zahlenreihe
    • 4×3=34?
    • Das Rosettenrätsel
    • The Mathematically Quest
  • Langweiliges
    • contact
    • Impressum
    • Datenschutzerklärung
    • Cookie-Richtlinie (EU)
    • >> about me
  • mitmachen!
  • Login
  • Shop
  • Warenkorb
  • Kasse
  • Konto
    • Richtlinie für Rückerstattungen und Rückgaben
    • Mein Konto

Schlagwort: local polilicy

Veröffentlicht am Mai 10, 2022März 21, 2023

RBAC und AGDLP – 905

RBAC und AGDLP auf den Punkt

Lesezeit: bunte 4 Minuten

1. network acces control ... so what???

In diesem Beitrag soll es um ein sehr wichtiges und nicht zu unterschätzendes Thema gehen: um das Thema Ordnung! Ok, jeder echte IT Admin bekommt bei diesem Begriff – gleich nach dem Begriff “Dokumentation” – einen mittelschweren bis schweren Hautausschlag.

Doch weiter: Hier soll es jetzt auch nicht um deinen Schreibtisch gehen, der vielleicht wie eine gerade erst explodierte Müllkippe in Kalkutta aussieht – mir egal aber dennoch kein gutes Zeichen.

Vielmehr geht es um Datenstrukturen und network acces control, genauer um Zugriffsberechtigung bzw. Zugriffskontrollen auf Ressourcen in deinem Netzwerk.

Der MS Active Directory Verzeichnisdienst stellt hier den Standard dar und bietet über die reine Freigabe hinaus die Möglichkeit der Aggregation in  übersichtliche Gruppenstrukturen, die auch noch untereinander verschachtelt sein können oder sogar domänenübergreifend in die Berechtigungsstruktur eingreifen.

 

Das Ganze soll dann letztendlich dazu führen, z.B. in einem Audit die Frage “Wer hat auf was Zugriff?” einfach beantworten zu können – oder noch einfacher: die Fehlersuche zu erleichtern oder gar ganz überflüssig zu machen. Ja wirklich

Werbung

Galerie-Nonfinito
Kraft Computer Schmiede
2. RBAC

Doch der Reihe nach:

Bevor das ganze Berechtigungsmanagement bzw. network acces control in völligem Chaos endet, bietet MS hier jetzt eine glasklare Vorgehensweise an, um diesen Zauber in die Praxis erfolgreich umzusetzen und damit eine sichere und zugleich dynamische Umgebung für die Zugriffskontrolle zu realisieren.

Über allem steht hier zuerst der RBAC Ansatz, Role Based Acces Control oder einfach die rollenbasierte Zugriffskontrolle mit der konkreten Ausprägung AGDLP oder AGUDLP.

 

So what? Ganz einfach!

– zuerst steht der Account, also der User oder Computer, der auf irgendwas im Netzwerk Zugriff haben möchte wie z.B. Warteschlange von Druckern oder irgendwelche Datenbankeinträge.

– diese Accounts werden dann in einer globalen Gruppe oder auch Rollengruppe zusammengefasst

– auf der anderen Seite bildet man eine domänenlokale Gruppe oder auch Zugriffsgruppe mit eben Freigabe für diese bestimmte Ressource im Netz

– jetzt verschachtelt man die globale Gruppe oder Rollengruppe mit der domänenlokalen Gruppe oder Zugriffsgruppe – e voilà, es läuft!

– ergänzen lässt sich das Ganze dann auch noch mit Rollengruppen aus anderen Domänen – universelle Gruppen.

 

Also, die Trennung zwischen Rollengruppen und Zugriffsgruppen ist essentiell in diesem RBAC Ansatz und sorgt für eine effektive network acces control – niemals darf dem User oder Computer eine direkte Freigabe auf eine Ressource – die Druckerwarteschlange oder Datenbank – gewährt werden, nur eben getrennt über oder durch Zugriffsgruppen – und schon blickt man bei der ganzen Sache wieder durch!

3. Namenskonventionen

Klar, bei der Benennung der Gruppen sind jetzt der eigenen Kreativität zuerst einmal keine Grenzen gesetzt, so kann ich eine Gruppe auch “Xc349578bc” benennen – aber ist das wirklich zielführend und wäre nicht vielleicht “HR_DE_Management” etwas zielführender? Und die Zugriffsgruppe auf einen bestimmten Drucker heißt dann einfach “HPLC4501_Stock2”? Genau!

 

Also:

– Gruppennahmen sollten irgendwie sprechend sein – auf english oder deutsch – besser english

– auch domänenübergreifende Gruppennahmen in universellen Gruppen sollten übereinstimmen und passen

– und stelle dir vor, du bist ein Skript und musst jetzt einen solchen Gruppennamen einlesen bzw. verarbeiten: also bitte keine wilden Sonderzeichen und auch kein blank – underscore geht gerade noch so durch, mehr bitte nicht

Check – also alles ganz einfach, oder?

 

Die konkrete Umsetzung bzw. das Aufräumen eines völlig vermurksten Berechtigungskonzepts oder eben network acces control in eine lesbare und saubere RBAC Alternative ist jetzt eine andere, nicht ganz triviale und sicherlich herausfordernde Aufgabe.

Werbung

Kraft Computer Schmiede
4. Umsetzung

Zuerst einmal sollte man sich über das neue Berechtigungskonzept dediziert Gedanken machen und dieses neue Konzept soweit wie möglich auch dokumentieren – ich weiß, das böse Wort mit “d” am Anfang – immer mit dem Ziel einer radikalen Komplexitätsreduktion.


Doch woran orientieren? Aus hohler Hand irgendetwas hinzaubern kann es wohl nicht sein – besser man bezieht schon frühzeitig die Personalabteilung mit ein und orientiert sich an der tatsächlichen bzw. formellen Organisationsstruktur.

Einzelne Abteilungen mit einzubeziehen, dort Abteilungs- oder Teamleiter dieses Vorhaben vorstellen und nach Meinungen zu fragen macht erst einmal wenig Sinn – das wird am Ende zu komplex und außerdem haben wir hier kein Wunschkonzert.

Und weiter im bunten Galopp: steht der Plan erst einmal im Groben, kann es losgehen – weitere Verfeinerungen, Änderungen oder Erweiterungen ergeben sich dann noch im Laufe des Projekts – heute ist eben alles agil.


Und los geht’s!

– Testen, testen und nochmal testen heißt eigentlich der eiserne Grundsatz bei jedem Change, bevor man diesen auf den User loslässt. Geht jetzt aber in diesem speziellen Fall Berechtigungskonzept nicht, da viel zu komplex und unüberschaubar – hier muss letztendlich der User selbst testen

– deshalb den User schon im Vorfeld auf das Vorhaben hinweisen und natürlich auf die besondere Bedeutung dieses Vorhabens verweisen – Security, Kosteneinsparung, blah – halt irgendwas Wichtiges als Grund benennen, funktioniert übrigens immer

– deshalb eben den User auf mysteriöse Fehlermeldungen oder Störungen vorbereiten und gleich ein Quick Fix mitliefern wie z.B. “Bitte einmal abmelden und wieder anmelden!” – so aktualisiert sich das Kerberos-Ticket und die neuen Berechtigungen ziehen

– deshalb auch und auf gar keinen Fall die Hotline vergessen. Wegen evtl. erhöhtem Anrufaufkommen diese am besten gleich doppelt besetzen und vorbereiten, kein User hängt gerne stundenlang in der Warteschleife!

– deshalb in der Umsetzung des neuen Berechtigungskonzepts immer nur in kleinen Schritten vorgehen und abwarten, um aus den eingehenden Fehlermeldungen irgendwie oder irgendwo noch die Ursache in deiner fehlerhaften Umsetzung herausfinden zu können.

Werbung

Kraft Computer Schmiede
5. So, ich habe erst einmal fertig

network acces control – viel Spaß mit deinem Vorhaben und deinen Anwendern [übrigens unter Admins eine ganz böse Beschimpfung: ” … du Anwender!”]

Kritik [auch vernichtend] und Anregung sind gerne erwünscht!

Vielen Dank – BIG THX

Markus

und weiter:

Azure – die Cloud Wundertüte von Microsoft

oder gleich:

BE PART! jetzt registrieren – bloggen, fertig, los! … mit easy drag and drop Editor

Werbung

Kraft Computer Schmiede
Kraft Computer Schmiede
it-versand
Ergolutions


Kornet und Hahn

Kraft Computer Schmiede


Galerie-Nonfinito

urban street art

IMG_0265
IMG_1540II
IMG_0976
IMG_1767-2-scaled-1
IMG_0044
IMG_0512-scaled_(1)
IMG_1692
IMG_0240
eyeemfiltered1594675712313
IMG 20200713 142316 (1)
IMG_20200712_181450
IMG_0409

lost places

IMG_0424(2)
IMG 0213
IMG_0011 (2)
lost_placeV
IMG_0174 (2)
IMG_0401
machine
IMG_0397 (2)
IMG_04040
IMG_0219 (2)
highspeedinternet
malaga
IMG 0268 (2) (1)
Malaga01 (3)
Tarifa03 (3)
Sevilla06
Fischrestaurant (2)
Balkon (2)
Sevilla02 (2)
Garten
IMG 0235 (2)
IMG 0228 (2)
Malaga (2)
Malaga04 (2) (1)
IMG 1536
Gibraltar04 (2)
Cadiz02 (2)
Malaga03 (2)
Cadiz01
Malaga02 (2) (1)
Andalusien (2)
Malaga02 (2)
Malaga01 (2)
Cadiz03 (2)
Gibraltar01 (2)
IMG 0324 (2)
Afrika (2)
IMG 0272 (2)

Schlagwörter

  • Access
  • account
  • Active Directory
  • AD
  • AGDLP
  • Atomkrieg
  • Aufstand
  • Aufstand der Maschinen
  • AWS
  • Azure
  • blaue Pille
  • Cloud
  • daily business
  • Datenbank
  • die blaue oder die rote Pille
  • domain
  • domain global
  • domain local
  • domain universal
  • Drucker
  • echt
  • echt?
  • fortführen
  • global Policy
  • individuelle Realität
  • KI
  • Kommunikation
  • KPI
  • KPIs und SLAs
  • künstliche Intelligenz
  • langweiliges leben
  • local polilicy
  • matrix
  • Microsoft
  • programmierer
  • RBAC
  • Realität
  • Role bases acces control
  • rote Pille
  • Support
  • Wahrheit
  • Wahrnehmung
  • Wirklichkeit
  • Zugriff
  • Zugriffskontrolle

Gepps. Die Saucenmacher.
MyPhoneRepair
Hofmahlzeit
Musegear Finder
Bootsführerschein
360° BBQ
Grill-Experte
Friesensalz Manufaktur

Schlagwörter

  • Access
  • account
  • Active Directory
  • AD
  • AGDLP
  • Atomkrieg
  • Aufstand
  • Aufstand der Maschinen
  • AWS
  • Azure
  • blaue Pille
  • Cloud
  • daily business
  • Datenbank
  • die blaue oder die rote Pille
  • domain
  • domain global
  • domain local
  • domain universal
  • Drucker
  • echt
  • echt?
  • fortführen
  • global Policy
  • individuelle Realität
  • KI
  • Kommunikation
  • KPI
  • KPIs und SLAs
  • künstliche Intelligenz
  • langweiliges leben
  • local polilicy
  • matrix
  • Microsoft
  • programmierer
  • RBAC
  • Realität
  • Role bases acces control
  • rote Pille
  • Support
  • Wahrheit
  • Wahrnehmung
  • Wirklichkeit
  • Zugriff
  • Zugriffskontrolle
Datenschutzerklärung Stolz präsentiert von WordPress

  • BLOG
  • EDV
    • Digitalisierung???
    • Azure – die Cloud Wundertüte von Microsoft – 1433
    • Erfolg im Anwendersupport – 661
    • erfolgreiches Patchmanagement – 486
    • RBAC und AGDLP – 905
    • Atomphysik für Nerds – 2307
    • KPIs und SLAs in der IT – 535
    • Nonverbales im Videocall – 565
  • Geschäft und Beruf
    • Azure – die Cloud Wundertüte von Microsoft – 1433
    • the nextGen IT – 522
    • Digital 2020? – 728
    • Nonverbales im Videocall – 565
    • Die etwas andere Bewerbung – Vorbereitung und Motivation - 687
    • Die etwas andere Bewerbung 4.0 – das Gespräch – 838
    • Genial Schreiben – ja wirklich!
  • Paranormales
    • Das Fermi Paradoxon – 1687
    • die blaue oder die rote Pille?-1014
    • Oumuamua – der Botschafter – 1074
  • Buntes
    • fotografieren mit dem Smartphone – wie ein Profi!
    • Reisebericht Malta
    • urban street art
    • lost places
    • Malaga
    • best friends
    • Barcelona
    • Malta
    • my Hamburg
    • wild coast
    • all photos
  • Kniffliges
    • 2022???
    • Zahlenreihe
    • 4×3=34?
    • Das Rosettenrätsel
    • The Mathematically Quest
  • Langweiliges
    • contact
    • Impressum
    • Datenschutzerklärung
    • Cookie-Richtlinie (EU)
    • >> about me
  • mitmachen!
  • Login
  • Shop
  • Warenkorb
  • Kasse
  • Konto
    • Richtlinie für Rückerstattungen und Rückgaben
    • Mein Konto
Cookie-Zustimmung verwalten



Howdy all out there! Wir setzen Cookies ein [ok böse], um dir eine positive site experience zu garantieren und unseren Blog für dich optimal zu gestalten - sowie zusammen mit Drittanbietern für dich interessante Inhalte anzuzeigen [Werbung]. Du kannst festlegen, welche Cookies gesetzt werden - technisch notwendige Cookies werden immer gesetzt.


Howdy all out there! We are using cookies [ok very bad] to enhance your site experience and to optimize our blog for you - and to forward you to interesting Ads. You can choose which cookies will be set - best choose all - necessary tech cookies will be set automatically.



 
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt. Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Optionen verwalten Dienste verwalten Anbieter verwalten Lese mehr über diese Zwecke
Einstellungen anzeigen
{title} {title} {title}