• IT-Karriere:
  • Services:

Dateizugriffsrechte neu gedacht

Die Verwaltung von Zugriffsrechten über Access Control Lists (ACLs) ist oft unübersichtlich. Nicht selten wird für jedes kleine Projekt eine neue Sicherheitsgruppe eingerichtet und nie wieder gelöscht. So verwaltet Microsoft in seinem eigenen Unternehmensnetz mit rund 90.000 Mitarbeitern rund eine Million Sicherheitsgruppen. Im Rahmen einer Prüfung nachzuweisen, wer auf welche Datei Zugriff hat, wäre mit extremem Aufwand verbunden.

Stellenmarkt
  1. DMK E-BUSINESS GmbH, Berlin, Potsdam
  2. DMK E-BUSINESS GmbH, Berlin, Potsdam, Köln, Chemnitz

Mit dem Windows Server 8 führt Microsoft daher ein komplett neues Konzept zur Verwaltung von Zugriffsrechten ein: Statt auf ACLs basiert es auf Tags.

Tags statt ACLs

Auf der einen Seite kann jede Datei mit Tags wie "File.Department=Finanzen" oder "File.Impact=High" versehen werden. Auf der anderen Seite werden auch Nutzern über sogenannte User-Claims Tags zugeordnet, beispielsweise "User.Department=Finanzen" oder "User.Clearance=High". Gleiches gilt für Geräte, denen über sogenannte Device-Claims Tags wie "Device.Managed=True" zugeordnet werden können.

Im Active Directory können nun zentrale Zugriffsregeln festgelegt werden, um den Zugriff auf Dateien zu regeln. Dabei ist es möglich, beliebige logische Verknüpfungen zu verwenden. Eine Regel könnte beispielsweise wie folgt aussehen:

Allow Read|Write: User.MemberOff(IPSecurityGroup)
AND
(User:Department ANY_OF File.Department)
AND
Device.Managed == TRUE

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Diese Regeln steuern dann den Zugriff auf alle Dateien in allen Repositories, unabhängig davon, wo sie liegen. Versucht ein Nutzer, auf eine Datei zuzugreifen, für die ihm die Rechte fehlen, bietet ihm das System die Möglichkeit, sich direkt an den Administrator zu wenden. Dieser kann dann die Rolle des Nutzers einnehmen, um herauszufinden, warum dieser keinen Zugriff hat, und das Problem lösen.

Die Tags kann der Besitzer einer Datei festlegen, aber auch der Administrator des File-Servers kann dafür sorgen, dass Dateien nach bestimmten Regeln getaggt werden. So ist es möglich, alle Dateien, die in das Share Finanzen verschoben werden, mit dem Tag File.Department=Finanzen zu versehen.

Zudem können Dateien anhand ihres Inhaltes automatisch getaggt werden. So kann festgelegt werden, dass bei jeder Datei, die eine Kreditkartennummer enthält, das Tag File.Impact=High gesetzt wird. Dann können nur der Besitzer und der Administrator darauf zugreifen, wobei der Zugriff für den Administrator über Regeln auch unterbunden werden kann. Zudem kann festgelegt werden, dass Dateien den Server nur mit RMS-Verschlüsselung (Rights Management Services) verlassen dürfen.

Die mit dem Windows Server 2008 R2 eingeführte Funktion, Dateien anhand ihres Inhalts zu erkennen, läuft in Windows Server 8 automatisch im Hintergrund. Neue Dateien können so innerhalb weniger Sekunden getaggt werden. Sobald ein Tag gesetzt ist, ist die Datei entsprechend geschützt. Diese Zeitverzögerung gilt aber nur für das automatische Content-Tagging, das automatische Tagging anhand des Shares, in das eine Datei kopiert wird, greift sofort.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Daten-Deduplikation und Storage-VirtualisierungInternet Information Services (IIS) 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Top-Angebote
  1. 69,99€ (Release 18.06.)
  2. 79,99€ (Release 18.06.)
  3. (u. a. Total War Promo (u. a. Total War: Three Kingdoms für 25,99€, Total War: Attila für 9...
  4. (u. a. Samsung GQ65Q700T 65 Zoll 8K für 1.199€, LG OLED65BX9LB 65 Zoll OLED für 1.555€)

Oldschooler 07. Jul 2012

Der große Unterschied zwischen GUI und Shell sind nicht die Befehle oder Möglichkeiten...

antidose 22. Sep 2011

Da muss ich dir leider widersprechen, zfs ist ein 128 bit Filesystem, das ist richtige...

Sharra 21. Sep 2011

Denn Fenster hat das Ding ja dann nicht mehr oder?

kendon 19. Sep 2011

es geht um die shell. ist es denn mittlerweile sogar zuviel verlangt dass man den titel...

DeaD_EyE 17. Sep 2011

Ich konnte damit nichts anfangen. Testweise mal eine kostenlose Windows Server 2008...


Folgen Sie uns
       


VLC-Gründer Jean-Baptiste Kempf im Interview

Wir haben uns mit dem Präsidenten der VideoLAN-Nonprofit-Organisation unterhalten.

VLC-Gründer Jean-Baptiste Kempf im Interview Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /