05.04.2017 3 Tipps für die Microsoft-Nutzerverwaltung

Active Directory on Premise und in der Cloud

90 Prozent aller Unternehmen weltweit nutzen das Active Directory von Microsoft in ihrer IT-Infrastruktur. Dies entspricht 500 Millionen Firmen mit ca. zehn Milliarden Authentifizierungen täglich. Dabei ist zu erwarten, dass sich sein Cloud-Pendant, das Azure Active Directory, ähnlich entwickeln wird.

Tipps für die Microsoft-Nutzerverwaltung

Tipps für die Microsoft-Nutzerverwaltung mit Active Directory und Azure Active Directory

In der Unternehmenspraxis sind oftmals beide Varianten im Einsatz. Bei der Pflege und Verwaltung beider Welten können drei verschiedene Faktoren die Administratoren auf Trab halten:

1. Synchronisation

Administratoren müssen bei beiden Systemen mit einer jeweils anderen Benutzerverwaltung mit unterschiedlichen Benutzeroberflächen arbeiten. Auch die Wahrung der Konsistenz der Benutzerinformationen ist fehleranfällig und aufwendig. In Azure Active Directory (AAD) ist mit „Connect“ ein Werkzeug für die Synchronisation enthalten, jedoch hat eine fehlerhafte Benutzerverwaltung auf der lokalen Seite häufig direkte Auswirkungen in der Cloud. Es ist kein Geheimnis, dass die nativen Mittel in Active Directory (ADUC) nicht die Funktionalitäten bieten, um Datenintegrität oder administrative Richtlinien zu erzwingen. Daher setzen viele Unternehmen auf Lösungen von Drittanbietern wie One Identity, die für eine verbesserte Übersicht, mehr Konsistenz und Automation und damit auch für höhere Sicherheit für beide Varianten sorgen.

2. Inkonsistenzen

Bei manuellen Prozessen in der Benutzerverwaltung müssen Administratoren sehr genau auf Feinheiten und Prozesse achten – besonders wenn es sich um ein hybrides Konstrukt aus Active Directory (AD) und Azure Active Directory von Microsoft handelt. Nicht selten kommt es gerade bei dringenden Anfragen zu Flüchtigkeitsfehlern. Es werden z.B. nicht die korrekten Gruppenmitgliedschaften in AD und AAD zugewiesen, die für die Ausübung einer bestimmten Funktion im Unternehmen benötigt werden. Prozesse, wie das Einholen der Genehmigung für Berechtigungen durch den Verantwortlichen aus dem Geschäftsbereich, werden nicht eingehalten. Es kann nicht gewährleistet werden, dass bei immer wiederkehrenden Aufgaben die gleiche Vorgehensweise eingehalten wird. Inkonsistenzen sind dadurch vorprogrammiert.

3. (De-)Provisionierung

Ein Großteil der Aufgaben der AD- und AAD-Administratoren besteht in der Provisionierung. Es werden Benutzerkonten eingerichtet und Gruppenmitgliedschaften zugewiesen. Außerdem müssen Accounts und Zugriff für weitere Applikationen erstellt werden – ob nun Exchange, Sharepoint Online, Office 365 oder für die anderen unzähligen Cloud-Anwendungen, die über AAD bereitgestellt werden. Kritischer wird es bei der Deprovisionierung. Zum Beispiel werden aufgrund von Urlaubsvertretung neue Berechtigungen vergeben. Ohne Hilfsmittel ist es nicht einfach, diese nachzuhalten und rechtzeitig zu entziehen. Vollends unkontrollierbar werden Situationen beim Ausscheiden von Mitarbeitern. Kommt es zu „Überbleibseln“, im schlimmsten Fall komplette Konten mit Berechtigungen, wird dem Missbrauch Tür und Tor geöffnet.

Diese drei Faktoren machen die hybride Benutzerverwaltung ohne weitere Hilfsmittel zu einem riskanten Unterfangen. Unternehmen sollten sich daher überlegen, ihre Benutzerverwaltung durch ein entsprechendes System „wasserdicht“ zu gestalten. Ebenso ist es essentiell, Administratoren auf ihren Verantwortungsbereich zu beschränken, um Fehlern vorzubeugen und Compliance zu gewährleisten. Auch dies mit den nativen Mitteln extrem beschwerlich. Eine Lösung für diese Probleme ist ein Werkzeug, das innerhalb einer Oberfläche die Mankos der Funktionalitäten für eine sichere und einfache Administration des Active Directory wie auch des Azure Active Directory ausgleichen kann, beispielsweise One Identity Active Roles.

Solche Werkzeuge bieten Mechanismen zur Automation und Wahrung der Konsistenz. Eine intuitive Benutzeroberfläche erleichtert die Administration des AD wie auch des AAD und weiterer angeschlossener Systeme On-Premise oder in der Cloud. Sie bieten auch mehr Sicherheit für den Administrator, denn jeder Admin kann genau auf seinen Arbeitsbereich beschränkt werden und jeder Verwaltungsschritt ist nachvollziehbar. Prozesse für Genehmigungen und ein Berichtswesen vervollständigen das Bild einer einfachen und sicheren Administration für beide – sowohl Active Directory als auch Azure Active Directory.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH