Zugriffsrechte überwachen
Moin,
ich habe hier in meiner neuen Firma die Gruppen- und Rechtestruktur, die über Jahre "gewachsen" war, aufgeräumt. Dabei hat sich herausgestellt, dass vielen Verantwortlichen gar nicht so richtig klar ist, wer eigentlich wofür welche Rechte braucht und wer auf was Rechte besitzt. Daraufhin habe ich mit diversen PS-Skripts Auswertungen gemacht, die mir selbst vollkommen klar aber dann doch nicht wirklich userkompatibel sind. Wir suchen deshalb ein Tool mit folgenden Eigenschaften:
Must have:
Auswertung verschachtelter Gruppenstrukturen (AGDLP-Regel) mit dem Ergebnis UserX hat Zugriff auf RessourceY bzw. auf RessourceZ haben folgende User Zugriff.
Sichtweise aus beiden Richtungen (vom User, von der Ressource)
Darstellung der Verschachtelung als Baum (oder auch anders)
Hübsche bunte GL-kompatible Bilder
Keine Cloud.
Keine Nicht-EU-Software.
Keine Skriptsammlung (habe ich schon eine eigene).
Nice to have:
Open Source
Mein Chef hat schon https://www.permissionsreporter.com/ vorgeschlagen. Aber das fand ich nicht hinreichend zumindest in der freien Basisversion.
Das hier https://www.netwrix.com/ fand ich überladen.
Hat jemand einen Tipp?
Liebe Grüße
Erik
ich habe hier in meiner neuen Firma die Gruppen- und Rechtestruktur, die über Jahre "gewachsen" war, aufgeräumt. Dabei hat sich herausgestellt, dass vielen Verantwortlichen gar nicht so richtig klar ist, wer eigentlich wofür welche Rechte braucht und wer auf was Rechte besitzt. Daraufhin habe ich mit diversen PS-Skripts Auswertungen gemacht, die mir selbst vollkommen klar aber dann doch nicht wirklich userkompatibel sind. Wir suchen deshalb ein Tool mit folgenden Eigenschaften:
Must have:
Auswertung verschachtelter Gruppenstrukturen (AGDLP-Regel) mit dem Ergebnis UserX hat Zugriff auf RessourceY bzw. auf RessourceZ haben folgende User Zugriff.
Sichtweise aus beiden Richtungen (vom User, von der Ressource)
Darstellung der Verschachtelung als Baum (oder auch anders)
Hübsche bunte GL-kompatible Bilder
Keine Cloud.
Keine Nicht-EU-Software.
Keine Skriptsammlung (habe ich schon eine eigene).
Nice to have:
Open Source
Mein Chef hat schon https://www.permissionsreporter.com/ vorgeschlagen. Aber das fand ich nicht hinreichend zumindest in der freien Basisversion.
Das hier https://www.netwrix.com/ fand ich überladen.
Hat jemand einen Tipp?
Liebe Grüße
Erik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3207753586
Url: https://administrator.de/forum/zugriffsrechte-ueberwachen-3207753586.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
10 Kommentare
Neuester Kommentar
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Ich habe gute Erfahrungen mit DocuSnap gemacht.
https://www.docusnap.com/?creative&keyword=docusnap&matchtype=e& ...
https://www.docusnap.com/?creative&keyword=docusnap&matchtype=e& ...
Zitat von @erikro:
Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
Zitat von @DerMaddin:
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.
An sich die Überwachung der tatsächlichen Dateisystem-Berechtigungen für diesen Zweck nicht so wichtig. Vorranging sollten die Rechte konsequent und schematisiert gruppenbasiert per GPO zugewiesen werden, sodass da kein Spielraum Soll/Ist besteht.
Die Analyse der Gruppenmitgliedschaften bleibt eine Herausforderung, für die ich auch noch kein ideales Instrument gefunden habe. https://github.com/EvotecIT hat PowerShell-Tools dafür, da bin ich aber beim schnellen Testen nicht weit gekommen. Ich habe bislang immer eigene PowerShell-Skripts dafür verwendet, die Eingaben für Gephi, Maltego u.ä. erzeugen.
Grüße
Richard
Solarwinds Access Rights Manager
ARM
Macht definitiv was du suchst.
Außerdem kann es zeitlich befristete Berechtigungen setzten und loggt alle Berechtigungsänderungen.
Nachteil:
Du hast hinterher im Klartext keinen Durchblick mehr, weil das Programm Gruppen ohne Ende erstellt.
ARM
Macht definitiv was du suchst.
Außerdem kann es zeitlich befristete Berechtigungen setzten und loggt alle Berechtigungsänderungen.
Nachteil:
Du hast hinterher im Klartext keinen Durchblick mehr, weil das Programm Gruppen ohne Ende erstellt.