Wer darf was lesen, ändern oder löschen: Das ist die Kernfrage bei Fileservern in Unternehmen. Sobald die Organisation aus mehreren Mitarbeitern mit verschiedenen Aufgaben besteht, wird es schnell unübersichtlich. Um zu verhindern, dass der Azubi die Verträge der Personalabteilung ändert, muss das Rechtemodell aber immer passen. Hier hilft eine Systematik, wie sie LIS AG seit Jahren sehr erfolgreich einsetzt.
Fileserver als Ablageort für nicht-strukturierte Daten wie Excel-Sheets, Text- oder Grafikdateien gehören zu den ältesten und wichtigsten Anwendungen im Unternehmensumfeld. Es ist in mehrfacher Hinsicht sinnvoll, alle im Unternehmen entstehenden und verwendeten Dateien und Dokumente auf solch einer zentralen Ablagestruktur zu speichern. Gleichzeitig ist jedoch sicherzustellen, dass Daten nicht versehentlich oder absichtlich gelöscht werden oder in falsche Hände gelangen. Spätestens jetzt sind Überlegungen zum Schutz der abgelegten Informationen angebracht.
Rechte in Windows- und Linux-Fileservern
Dieser Beitrag fokussiert auf die am weitesten verbreitete Technologie für Dateiablage, nämlich auf das SMB-Protokoll (Server Message Block, früher auch CIFS für Common Internet File System). Das SMB-Protokoll wird sowohl in Windows- als auch Linux-Fileservern eingesetzt, in der Open-Source-Welt vom Samba-Projekt implementiert. Mittlerweile liegt die SMB-Version 3.11 vor, enthalten in Win10, Server 2016 und Samba 4.3.
Die LIS AG als ganzheitlich agierender ITK-Dienstleister betreut bei praktisch allen Kunden auch den Fileserver, insofern haben wir einen guten Überblick über die Methoden der Datenablage. Die bei unserer Zielgruppe eingesetzten Vorgehensweisen könnten unterschiedlicher nicht sein und reichen von der Art „keine Rechtevergabe, lokale Ablage von Chefdaten“ über den Einsatz von passwortgeschützten Netzlaufwerken (Shares) bis zu diversen Mischformen mit userspezifischer Vergabe von Rechten. Die meisten Installationen zeichnen sich durch wenig durchdachten oder inkonsistenten Einsatz von Rechten aus. Unserer Einschätzung nach arbeiten nur 10% unserer Neukunden mit einem Rechtemodell für Fileserver, das den Namen auch verdient.
Die Gründe hierfür sind aber nachvollziehbar: die Entwicklung und Durchsetzung eines tragfähigen Rechtemodells ist durchaus eine Herausforderung und bedarf neben konzeptionellen Denkens und strukturierter Umsetzungsfähigkeit eines soliden Hintergrundwissens zu den Eigenschaften von SMB. Als Unterstützung für unsere Kunden haben wir einen generischen Ansatz für die Umsetzung eines Rechtemodells dokumentiert. Für die Darstellung dieser Rechtematrix wird eine Tabellenkalkulation verwendet. Damit konnten wir in der Vergangenheit für viele Kunden die Verwaltung der Rechte übersichtlicher und leichter handhabbar gestalten.
Die Herausforderung
Es geht darum, einer Anzahl von Anwendern entsprechend ihrer Tätigkeit (und daraus entstehenden Anforderungen) den regulierten Zugriff auf eine hierarchische Ablagestruktur zu ermöglichen.
Das Vorgehen in Schritten
(1) Rollen: Die userspezifische Rechtevergabe ist höchst wartungsintensiv und auf Dauer – schon bei kleinen Organisationen mit wenigen Mitarbeitern – nicht durchzuhalten. Das Ziel ist daher die unternehmensweite Definition von Rollen, die beispielsweise „Buchhalter“, „Einkäufer“ oder „Vertriebsinnendienst“ heißen können. Zur Abbildung wird für jede definierte Rolle eine gleichnamige Usergruppe erstellt. Alle Mitarbeiter werden nun, ihrer Tätigkeit entsprechend, in eine oder mehrere Gruppen aufgenommen und haben in der Folge die entsprechenden Rollen inne.
(2) Verzeichnisse und Rechtegruppen: Nun denken wir „vom Ende her“, nämlich von der tatsächlichen Speicherung. Eine sinnvolle Ablagestruktur entlang der Funktionen des Unternehmens sowie eine sprechende Benennung der Verzeichnisse ist grundlegend für die erfolgreiche Umsetzung eines Rechtemodells. Hier sind wir meist mit unserer Erfahrung aus bereits abgewickelten Projekten gefragt.
Für alle relevanten Directories werden nun gleichnamige Rechtegruppen in dreifacher Ausfertigung erstellt. So würde es für ein Verzeichnis „Marketing“ die Rechtegruppe Marketing-R (Lesezugriff), Marketing-W (Schreibzugriff) und Marketing-A (Admin = Komplettzugriff) geben. Diese Rechtegruppen werden in ACLs (Access Control Lists) verwendet.
(3) Zuordnung der Rollen zu Rechten: Da die Gruppen hierarchisch strukturierbar sind, werden die Rollen (= Usergruppen) nun einzeln den Rechtegruppen hinzugefügt. Wird beispielsweise die Rolle „Marketingpraktikant“ der Rechtegruppe Marketing-R hinzugefügt, so sind die Rechte unseres Praktikanten im Marketing-Verzeichnis sofort definiert.
Da diese Zuordnung nun rein innerhalb der Gruppenverwaltung stattfindet, bleibt die Struktur sehr viel übersichtlicher als wenn man die Rollen direkt in ACLs verwenden würde. Bei neuen oder versetzten Mitarbeitern kann man ihre Gruppen und damit ihre Rechte in einem Rutsch ändern – ohne dass sich die Admins neben der zentralen Benutzer- und Gruppenverwaltung auch noch um ACLs in einem oder mehreren Shares kümmern müssten.
(4) Erweiterungen: Für besonders kritische Gruppen, beispielsweise die Personalabteilung oder die Geschäftsleitung, nutzen wir bei LIS meist die Möglichkeit einer zusätzlichen ersten Barriere über geschützte Netzlaufwerke/Shares, wobei innerhalb des Shares trotzdem die oben erläuterten Rechte eingesetzt werden.
Operative Umsetzung
Sind die bisher erläuterten Schritte in Abstimmung mit der IT- oder Geschäftsleitung erarbeitet und dokumentiert, geht es an die Umsetzung in der Praxis. Da oft diverse Ansätze von Rechtedefinitionen vorhanden sind, werden die Gruppen des erarbeiteten Rechtemodells zusätzlich definiert, vorhandene Gruppen werden zunächst belassen, so dass die laufende Arbeit nicht behindert wird.
Nach Aufklärung der Mitarbeiter über die neuen Ansätze werden die obsoleten Gruppenstrukturen abteilungsweise, am besten aber in einem „Big Bang“ gelöscht. In der Regel zeigen sich dann noch Detailprobleme oder vergessene Sonderrechte, die aber mit den vorhandenen Mechanismen schnell gelöst werden können.
Vorteile nach der Umsetzung
Auch wenn die Umsetzung dieses Rechtemodells einige Stunden in Anspruch nimmt, so erzeugt das Ergebnis kundenseitig doch hohe Zufriedenheit. Die vergebenen Rechte werden über unsere Matrix übersichtlich dargestellt, zudem können darüber sehr leicht Änderungen vorgenommen werden. Neuen Mitarbeitern werden einfach die gewünschten Rollen zugeordnet und sie haben vom ersten Tag an die richtigen Zugriffe.
Die LIS AG profitiert auch von diesem Rechtemodell: wir können aus der Übersichtsdarstellung die Rechte auslesen und über Skripte automatisch nachpflegen, damit bieten wir unseren Kunden spürbaren Mehrwert. Sprechen Sie uns an (sales@lisag.de), wenn Sie die Rechtevergabe für Ihre Fileserver-Ablage vereinfachen wollen, wir unterstützen Sie gerne.