Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Expertentipps: Wie Sie die Gruppenstruktur für 4.500 Benutzer optimieren

Geschrieben von Michael Buckbee | Feb 10, 2014 5:42:00 AM

Frage: Wie viele Benutzer und Daten verwalten Sie?

Antwort: Derzeit sind rund 4.500 Mitarbeiter in unserer Forschungsabteilung beschäftigt. Wir verwalten zirka 150 Tera-Byte an Daten, die wir gerade von den EMC-Celerra-NAS-Devices auf EMC-Isilon migriert haben.

Frage: Können Sie beschreiben wie Ihre Gesamtstrategie in Bezug auf Ordnerfreigaben aussieht?

Antwort: Wir verwenden drei Arten „gemappter“ Laufwerke:

  1. Benutzerlaufwerke: Auf die in diesen Ordnern gespeicherten Daten können nur die jeweils zugewiesenen Benutzer zugreifen.
  2. Laufwerke, die für bestimmte Bereiche freigegeben sind: Jeder Benutzer innerhalb des Bereichs kann diese Laufwerke verwenden. Wir vergeben entsprechende Speicherkontingente; sollte ein Bereich mehr Speichervolumen brauchen, ist das kostenpflichtig möglich.
  3. Projektlaufwerke: Diese Laufwerke sind für kurz‑ oder auch längerfristige Projekte vorgesehen, an denen Abteilungen und Bereiche beteiligt sein können. Auch hier werden Speicherkontingente vergeben.

Frage: Wenn nun jemand ein neues Projektlaufwerk benötigt, was geschieht dann?

Antwort: Wir arbeiten mit einem Online-System. Dort gibt man über ein entsprechendes Formular die Budgetnummer, Speichergröße und ‑kontingent, Projekt‑/Freigabename und zugriffsberechtigte Benutzer ein sowie den autorisierenden Mitarbeiter.

Frage: Wer stellt normalerweise diesen Antrag?

Antwort: Der kann aus der Forschungsabteilung kommen, von einem Administrator im Auftrag eines Benutzers oder einer weiteren Person. Wichtig ist nur, dass derjenige zwingend über eine Budgetnummer für den zur Verfügung gestellten Speicherplatz verfügt.

Frage: Wie entscheiden Sie, ob ein Ordner nicht mehr länger gebraucht wird?

Antwort: Anhand der Rechnungen. Der für die Bezahlung des Speicherplatzes verantwortliche Mitarbeiter entscheidet dann, ob das Kontingent noch weiter benötigt wird.

Frage: Können Sie dabei helfen, Speicherplatz zu einzusparen?

Antwort: Mithilfe der Varonis-Lösung erstellen wir Reports über das Volumen der einzelnen Ordner. Der Rest ist Sache des autorisierten Mitarbeiters.

Frage: Wo und wie werden die Zugriffsrechte angewendet?

Antwort: Wir legen die Zugriffsberechtigungen auf einer hohen Ebene fest und ändern sie selten. Im Allgemeinen handelt es sich dabei um Lese‑/Schreibrechte für authentifizierte Benutzer.

Frage: Wie werden die NTFS-Berechtigungen festgelegt?

Antwort: Jede ACL (Access Control List) eines Ordners enthält die administrativen Gruppen, eine Gruppe mit Lesezugriff und eine Gruppe mit Lese-/Schreibzugriff.

Frage: Wo weisen Sie eindeutige Berechtigungen zu und wo deaktivieren Sie die Vererbung von Rechten?

Antwort: Wenn wir gebeten werden, einen Ordner zu sperren, deaktivieren wir fast ausnahmslos die Vererbung und fügen anschließend die administrativen Gruppen, eine Gruppe mit Lesezugriff und eine Gruppe mit Lese-/Schreibzugriff hinzu. Wir versuchen, vererbte und direkt zugewiesene Berechtigungen nicht miteinander zu vermischen. Alle geschützten Ordner sollten genau gleich aussehen, was Administratoren, Gruppen mit Lesezugriff bzw. Lese-/Schreibzugriff und die Standard-Benennungskonvention anbelangt. So lassen sich Strukturen leichter erkennen, und es herrscht weniger Verwirrung. Wir sorgen auch dafür, dass es für jeden geschützten Ordner einen Mitarbeiter gibt, der die Zugriffsverwaltung übernimmt und die Berechtigungen genehmigt. Zurzeit experimentieren wir mit einer Kennzeichnung, wenn der Zugriff grundsätzlich verweigert werden soll. Ein Benutzer kann dann weder Gruppen zur ACL hinzufügen, noch Gruppen entfernen.

Frage: Worin besteht Ihre Strategie in Bezug auf Gruppen?

Antwort: Wir lassen (über Varonis DataPrivilege) die Gruppen mit Lesezugriff beziehungsweise Lese-/Schreibzugriff erstellen und fügen anschließend Benutzer zu diesen DP‑Gruppen hinzu.

Frage: Wie sieht es mit verschachtelten Gruppen aus?

Antwort: Wir verschachteln Gruppen nur ungern. Es gibt nur eine Ausnahme: Jeder Bereich verfügt über eine spezielle Gruppe, die automatisch von Peoplesoft verwaltet wird. Diese Gruppe ist in einer DP‑Gruppe mit Lese-/Schreibzugriff auf dem freigegebenen Bereichslaufwerk geschachtelt.

Frage: Wie behandeln Sie Berechtigungen zum Durchsuchen/für eine Quer-Durchsuche?

Antwort: DP erstellt sie automatisch.

Frage: Und wie sieht es bei den gemappten Laufwerken aus?

Antwort: Wir haben ein ziemlich langes und ziemlich hässliches Login-Skript.

Frage: Wer ist dafür zuständig?

Antwort: Der Support. Das Team verwaltet das aufgeblähte Login-Skript, und bei Bedarf werden widerstrebend „if“-Anweisungen hinzugefügt.

Frage: Gelangen jemals einzelne Benutzer ACLs?

Antwort: Nein, nie.

Frage: Wie organisieren Sie die abteilungsübergreifende Zusammenarbeit?

Antwort: In einigen Fällen werden die projektbezogenen Laufwerke verwendet, in anderen Fällen werden die bestehenden Abteilungsfreigaben auf Benutzer aus anderen Bereichen erweitert.

Frage: Wie häufig werden die Zugriffsberechtigungen überprüft?

Antwort: Wir halten die Mitarbeiter dazu an, dies möglichst häufig zu tun. Viele „Owner“ und Mitarbeiter, die Zugriffsrechte genehmigen, tun dies sehr sorgfältig, und entziehen gegebenenfalls überflüssige oder zu weit gefasste Berechtigungen über DP.

 

 

The post Expertentipps: Wie Sie die Gruppenstruktur für 4.500 Benutzer optimieren appeared first on Varonis Deutsch.