RBAC im Windows Admin Center

Teile und herrsche!

,
Nachdem Microsoft das Windows Admin Center stetig weiterentwickelt und zusätzliche Funktionen integriert hat, zeigen sich Unternehmen verschiedener Größen interessiert an der universellen Verwaltungsplattform für Server. Mit steigender Zahl der Admins steigt auch der Bedarf nach Delegationsmöglichkeiten und einem Modell der Role Based Access Control. Welche Möglichkeiten das Windows Admin Center hier bietet, zeigt dieser Workshop.
Eine stillstehende IT kostet Firmen bares Geld, dabei können die Gründe für einen Ausfall vielfältig sein. Im Juni dreht sich der Schwerpunkt im ... (mehr)

Um Berechtigungen für die Verwaltung von Servern oder der Azure Cloud, derer Dienste und Ressourcen zu erlauben, lassen sich je nach Unternehmensanforderungen unterschiedliche Delegationsmodelle entwickeln. Während in größeren Organisationen nach Diensten segregiert wird – das eine Team betreut die Dateidienste, das andere das Active Directory –, tendieren kleinere Betriebe dazu, Berechtigungen über alle Server und Dienste hinweg zu delegieren.

Der Querschnitt über die zu delegierenden Berechtigungen sieht dann jeweils anders aus und lässt sich über Sicherheitsgrenzen (Tiers), Funktionsgruppen, Abteilungen oder dem Erfahrungsschatz der einzelnen IT-Mitarbeiter bestimmen. Wir ignorieren hier bewusst den Aspekt, dass es noch immer Unternehmen gibt, die generell den Domänen-Administrator für die Verwaltung verwenden – hier ist weitaus mehr als nur ein Delegationskonzept notwendig.

Divide et impera

Für den Fall, dass die Administration überwiegend über das Windows Admin Center (WAC) geschieht, besteht die Möglichkeit und auch die Pflicht, ein stabiles und flexibles Administrationsmodell auf die Beine zu stellen.

Ein Ansatz für die Erstellung des Konzepts kann "divide et impera" sein, also "teile und herrsche", um das Problem in mehrere, besser verdauliche Stücke zu sortieren. Gerade in größeren Unternehmen besteht die Chance, dass eine Unterteilung der Gewalten Sinn ergibt, sodass nicht alle Administratoren und Operatoren dieselben Ressourcen in WAC sehen und verwalten müssen. Oftmals wird diese Trennung von Rollen/Gewalten auch durch rechtliche Organe gefordert.

Microsoft nutzt dieses Konzept in Empfehlungen für sichere Konfigurationen. Dort teilt das Tier-Modell verschiedene Dienste im Unternehmen in Schichten ein – sortiert nach Wichtigkeit und kritischer Sicherheit. In Tier 0 befinden sich Domänencontroller, PKI- und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019