RBAC im Windows Admin Center

Um Berechtigungen für die Verwaltung von Servern oder der Azure Cloud, derer Dienste und Ressourcen zu erlauben, lassen sich je nach Unternehmensanforderungen unterschiedliche Delegationsmodelle entwickeln. Während in größeren Organisationen nach Diensten segregiert wird – das eine Team betreut die Dateidienste, das andere das Active Directory –, tendieren kleinere Betriebe dazu, Berechtigungen über alle Server und Dienste hinweg zu delegieren.

Der Querschnitt über die zu delegierenden Berechtigungen sieht dann jeweils anders aus und lässt sich über Sicherheitsgrenzen (Tiers), Funktionsgruppen, Abteilungen oder dem Erfahrungsschatz der einzelnen IT-Mitarbeiter bestimmen. Wir ignorieren hier bewusst den Aspekt, dass es noch immer Unternehmen gibt, die generell den Domänen-Administrator für die Verwaltung verwenden – hier ist weitaus mehr als nur ein Delegationskonzept notwendig.

Divide et impera

Für den Fall, dass die Administration überwiegend über das Windows Admin Center (WAC) geschieht, besteht die Möglichkeit und auch die Pflicht, ein stabiles und flexibles Administrationsmodell auf die Beine zu stellen.

Ein Ansatz für die Erstellung des Konzepts kann "divide et impera" sein, also "teile und herrsche", um das Problem in mehrere, besser verdauliche Stücke zu sortieren. Gerade in größeren Unternehmen besteht die Chance, dass eine Unterteilung der Gewalten Sinn ergibt, sodass nicht alle Administratoren und Operatoren dieselben Ressourcen in WAC sehen und verwalten müssen. Oftmals wird diese Trennung von Rollen/Gewalten auch durch rechtliche Organe gefordert.

Microsoft nutzt dieses Konzept in Empfehlungen für sichere Konfigurationen. Dort teilt das Tier-Modell verschiedene Dienste im Unternehmen in Schichten ein – sortiert nach Wichtigkeit und kritischer Sicherheit. In Tier 0 befinden sich Domänencontroller, PKI- und

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.