• IT-Karriere:
  • Services:

Dateizugriffsrechte neu gedacht

Die Verwaltung von Zugriffsrechten über Access Control Lists (ACLs) ist oft unübersichtlich. Nicht selten wird für jedes kleine Projekt eine neue Sicherheitsgruppe eingerichtet und nie wieder gelöscht. So verwaltet Microsoft in seinem eigenen Unternehmensnetz mit rund 90.000 Mitarbeitern rund eine Million Sicherheitsgruppen. Im Rahmen einer Prüfung nachzuweisen, wer auf welche Datei Zugriff hat, wäre mit extremem Aufwand verbunden.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. Reidl GmbH & Co. KG, Hutthurm

Mit dem Windows Server 8 führt Microsoft daher ein komplett neues Konzept zur Verwaltung von Zugriffsrechten ein: Statt auf ACLs basiert es auf Tags.

Tags statt ACLs

Auf der einen Seite kann jede Datei mit Tags wie "File.Department=Finanzen" oder "File.Impact=High" versehen werden. Auf der anderen Seite werden auch Nutzern über sogenannte User-Claims Tags zugeordnet, beispielsweise "User.Department=Finanzen" oder "User.Clearance=High". Gleiches gilt für Geräte, denen über sogenannte Device-Claims Tags wie "Device.Managed=True" zugeordnet werden können.

Im Active Directory können nun zentrale Zugriffsregeln festgelegt werden, um den Zugriff auf Dateien zu regeln. Dabei ist es möglich, beliebige logische Verknüpfungen zu verwenden. Eine Regel könnte beispielsweise wie folgt aussehen:

Allow Read|Write: User.MemberOff(IPSecurityGroup)
AND
(User:Department ANY_OF File.Department)
AND
Device.Managed == TRUE

Diese Regeln steuern dann den Zugriff auf alle Dateien in allen Repositories, unabhängig davon, wo sie liegen. Versucht ein Nutzer, auf eine Datei zuzugreifen, für die ihm die Rechte fehlen, bietet ihm das System die Möglichkeit, sich direkt an den Administrator zu wenden. Dieser kann dann die Rolle des Nutzers einnehmen, um herauszufinden, warum dieser keinen Zugriff hat, und das Problem lösen.

Die Tags kann der Besitzer einer Datei festlegen, aber auch der Administrator des File-Servers kann dafür sorgen, dass Dateien nach bestimmten Regeln getaggt werden. So ist es möglich, alle Dateien, die in das Share Finanzen verschoben werden, mit dem Tag File.Department=Finanzen zu versehen.

Zudem können Dateien anhand ihres Inhaltes automatisch getaggt werden. So kann festgelegt werden, dass bei jeder Datei, die eine Kreditkartennummer enthält, das Tag File.Impact=High gesetzt wird. Dann können nur der Besitzer und der Administrator darauf zugreifen, wobei der Zugriff für den Administrator über Regeln auch unterbunden werden kann. Zudem kann festgelegt werden, dass Dateien den Server nur mit RMS-Verschlüsselung (Rights Management Services) verlassen dürfen.

Die mit dem Windows Server 2008 R2 eingeführte Funktion, Dateien anhand ihres Inhalts zu erkennen, läuft in Windows Server 8 automatisch im Hintergrund. Neue Dateien können so innerhalb weniger Sekunden getaggt werden. Sobald ein Tag gesetzt ist, ist die Datei entsprechend geschützt. Diese Zeitverzögerung gilt aber nur für das automatische Content-Tagging, das automatische Tagging anhand des Shares, in das eine Datei kopiert wird, greift sofort.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Daten-Deduplikation und Storage-VirtualisierungInternet Information Services (IIS) 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Top-Angebote
  1. (u. a. Acer Predator XB273UGS für 486,43€, Sennheiser GSP 350 für 78€ und Logitech G935 für...
  2. 86,20€ (Preis wird an der Kasse angezeigt)
  3. 110,93€ (Preis wird an der Kasse angezeigt)
  4. 89,66€ (Preis wird an der Kasse angezeigt)

Oldschooler 07. Jul 2012

Der große Unterschied zwischen GUI und Shell sind nicht die Befehle oder Möglichkeiten...

antidose 22. Sep 2011

Da muss ich dir leider widersprechen, zfs ist ein 128 bit Filesystem, das ist richtige...

Sharra 21. Sep 2011

Denn Fenster hat das Ding ja dann nicht mehr oder?

kendon 19. Sep 2011

es geht um die shell. ist es denn mittlerweile sogar zuviel verlangt dass man den titel...

DeaD_EyE 17. Sep 2011

Ich konnte damit nichts anfangen. Testweise mal eine kostenlose Windows Server 2008...


Folgen Sie uns
       


SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel


      •  /