Wir übernehmen als LIS AG laufend neue Kunden mitsamt ihrer IT-Infrastrukturen in unsere „Obhut“. Insbesondere beim Servicemodell „Managed Services“ übernehmen wir auch die Verantwortung für den operativen Betrieb der IT. Hierbei kommt es häufig zu Änderungen wie neuen Mitarbeitern oder Versetzungen von Mitarbeitern, die unmittelbar Berechtigungsfragen aufwerfen. In diesem Kontext ist ein klares und funktionables Rechtemodell ein ganz entscheidender Faktor für unsere Arbeit.
Umso mehr erstaunt die Tatsache, dass viele kleine Mittelständler kein oder nur ein sehr rudimentäres Modell für die Rechtevergabe besitzen. Dies gilt sogar für den Datenzugriff auf dem Fileserver. Meist hapert es an einer strukturierten Vorstellung und Vorgehensweise, um solch ein Modell zu erstellen und praktisch umzusetzen.
LIS AG verwendet in der Praxis zwei Ansätze für die Vergabe von Rechten, wobei der eine sehr einfach ist, während der zweite eine hohe Flexibilität bietet:
Der einfache Ansatz: Die Benutzer werden aufgrund ihrer Tätigkeit (Buchhaltung, Controlling, Einkauf, Geschäftsleitung) einer oder mehreren Gruppen zugeordnet, die entsprechend benannt sind. Die Struktur des Fileservers folgt ebenso einer Einteilung nach Tätigkeit, so dass für Buchhaltung, Einkauf oder Geschäftsleitung eigene Verzeichnisse vorhanden sind.
In der Folge würde dann beispielsweise der Zugriff auf das Verzeichnis „Buchhaltung“ für die gleichnamige Gruppe ermöglicht. Will die Geschäftsleitung ebenfalls auf dieses Verzeichnis zugreifen, müssen nur der/die entsprechende Person in die Gruppe Buchhaltung aufgenommen werden. Die Methode ist also Benutzer > Gruppen > Verzeichnis.
Der zweite Ansatz: Dieser Ansatz ist eine Erweiterung des ersten und arbeitet zusätzlich mit „Rollen“. Für die Rechtevergabe werden jedem Benutzer Rollen zugeordnet, zum Beispiel die Rolle „Buchhalter“. Dieser Rolle können dann Zugriffsrechte auf alle über die IT verwalteten Objekte zugeordnet werden.
In der praktischen Umsetzung werden die gleichen Mechanismen wie beim Ansatz 1 genutzt, nämlich Gruppen, allerdings hierarchisch. Für die Rollen sollte man sinnvollerweise Gruppen-Namen wie „Rolle-Buchhalter“ oder „Rolle-EinkäuferBüro“ verwenden, damit diese als solche erkennbar sind. Jeder Rolle werden dann eine oder mehrere Gruppen auf dem nächsten Level zugeordnet, die den tatsächlichen Zugriff auf bestimmte Objekte erlauben. Für die Rolle „EinkäuferBüro“ könnte das das Verzeichnis Einkauf/Büromaterial sein, aber auch das Recht auf den Zugriff zu einem Einkaufsportal und der Zugriff auf den Drucker im Einkaufsbüro.
Die Methode ist also Benutzer > Rollen > Zugriffsrechte > Objekte.
Die Eleganz des zweiten Ansatzes ist nicht zu übersehen: sobald eine Rolle im Detail definiert ist, reicht einfach die Zuordnung der Rolle zu einer Person und die Zugriffsrechte sind konsistent geregelt.
Vor der Umsetzung eines der beiden Rechtemodelle ist zunächst ein wenig Planung erforderlich, nämlich wie die Verzeichnisse, Rechte, Gruppen und Rollen benannt werden sollen. Oft wurden in der Vergangenheit Gruppen auch recht planlos vergeben. Für die „Sanierungsarbeiten“ in solchen Fällen ist dann zu überlegen, ob die Umstellung im laufenden Betrieb mit akzeptablen Aufwand möglich ist oder ob man besser in einem „Big Bang“ umstellt. Beides hat Vor- und Nachteile, wichtig ist, dass die Umstellung erfolgt.
Um dies zu erleichtern, hat LIS AG ein Schema für ihre Kunden entwickelt, in das man die entsprechenden Gruppen, Rollen und User eintragen kann. Dies ist hilfreich für die Visualisierung und Diskussion und im zweiten Schritt für die Umsetzung.