Portal
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
RDM
Workspace
Launcher
Bei Devolutions haben die Mitarbeiter die Berechtigung, das Gebäude während der Arbeitszeit zu betreten - eine Standarderwartung für jedes Unternehmen. Diese Berechtigung ermöglicht es den Mitarbeitern, ihren Arbeitsplatz zu betreten und ihre Aufgaben zu erfüllen. Im Gegensatz dazu haben Familienmitglieder, Freunde und Gäste nicht die gleiche Berechtigung. Allerdings kann ihnen vorübergehend Zugang gewährt werden (die Kinder zieht es dann zu den Flipperautomaten), was als ein Privileg betrachtet werden würde.
Im täglichen Leben ist der Unterschied zwischen „Berechtigung“ und „Privileg“ gut bekannt. Im Zusammenhang mit Zugangskontrollen werden diese Begriffe jedoch oft so nahe nebeneinander verwendet, dass sie wie Synonyme erscheinen können. Was sollte man also denken, wenn man auf Begriffe wie „Berechtigungssätze" und "Privilegiensätze" stößt, da ja beide Begriffe als Funktionen in Devolutions Server (DVLS) existieren? Dieser Artikel soll ihre unterschiedlichen Funktionen, Anwendungen und Vorteile verdeutlichen.
Entschlüsselung von Privilegiensätzen
Privilegiensätze wurden mit der Version 2024.2 für Devolutions Server + Devolutions PAM eingeführt. Diese Funktion erhöht die Flexibilität und Sicherheit bei der Verwaltung privilegierter Konten in einer Active Directory (AD)- oder Microsoft Entra ID (ehemals Azure Active Directory)-Umgebung, indem sie eine detaillierte Kontrolle über Gruppenmitgliedschaften und Berechtigungen ermöglicht.
Bei diesen privilegierten Konten handelt es sich um hochrangige Konten mit erweiterten Berechtigungen, die z. B. den Zugriff auf einen vertraulichen Server oder Geschäftsdaten ermöglichen.
Funktionsweise
Mit Privilegiensätzen können Administratoren jetzt optional ein PAM-Konto beim Auschecken zu einer Active Directory- oder Entra ID-Gruppe hinzufügen. Durch diese „Erhöhungs“-Aktion werden die Berechtigungen des PAM-Kontos effektiv geändert, indem es in die angegebene Gruppe aufgenommen wird. Vor dieser Aktualisierung hatte jedes PAM-Konto Zugriff auf alle verfügbaren Gruppen, wie sie im ursprünglichen Eingabefeld definiert waren (z. B. „AD Domain Admins“).
Anpassung und Kontrolle
Die Einführung von Privilegiensätzen ermöglicht es Administratoren, nutzerdefinierte Sätze von Active Directory- oder Entra ID-Gruppen zu erstellen. Diese Sätze können dann spezifischen PAM-Konten zugewiesen werden, um sicherzustellen, dass jedes Konto nur auf die Gruppe zugreifen kann, die für seinen Verwendungszweck relevant ist.
Vorteile
Vor der Version 2024.2 zeigte DVLS alle verfügbaren Just-in-Time (JIT)-Elevationsgruppen für alle in Frage kommenden PAM-Einträge an. Diese breite Sichtbarkeit konnte zu Verwirrung und falscher Gruppennutzung führen, z. B. zum Anfordern von mehr Privilegien als nötig oder angemessen, da nicht alle Gruppen auf jeden Eintrag anwendbar sind. Die neue Funktion der Privilegiensätze behebt dieses Problem, indem sie es Administratoren ermöglicht, Einträgen bestimmte Sätze von Privilegien zuzuweisen, wodurch die Organisation verbessert und das Risko einer falschen Gruppennutzung verringert wird.
Entschlüsselung von Berechtigungssätzen
Berechtigungssätze sind eine Funktion in Devolutions Server, die dazu entwickelt wurde, um den Prozess der Zuweisung von Berechtigungen an Nutzer und Rollen zu vereinfachen und zu optimieren. Diese Funktion ermöglicht es Administratoren, Nutzerberechtigungen effizient zu verwalten, indem sie vordefinierte oder nutzerdefinierte Sets von Berechtigungen verwenden und so für eine einheitliche und angemessene Zugriffskontrolle im gesamten Unternehmen sorgen.
Standardrollen und nutzerdefinierte Berechtigungen
Devolutions Server enthält mehrere Standardrollen, nämlich Mitarbeiter (Contributor), Betreiber (Operator) und Leser (Reader). Diese Rollen verfügen über vordefinierte Berechtigungen, die auf die typischen Bedürfnisse der Nutzer zugeschnitten sind. Es gibt jedoch Situationen, in denen nutzerdefinierte Berechtigungen für bestimmte Nutzer oder Rollen erforderlich sind. Statt diese nutzerdefinierten Berechtigungen jedes Mal manuell zu konfigurieren, können Administratoren einen nutzerdefinierten Berechtigungssatz erstellen, der die gewünschten Berechtigungen enthält. Berechtigungssätze können unter Verwaltung > Systemeinstellungen > Tresor-Verwaltung > Berechtigungssätze verwaltet werden.
Erstellen und Zuweisen von Berechtigungssätzen
Ein Berechtigungssatz ist eine vordefinierte oder nutzerdefinierte Sammlung von Berechtigungen, die einem bestimmten Nutzer oder einer Rolle zugewiesen wird. Administratoren können Berechtigungssätze erstellen, um die erforderlichen Berechtigungen für bestimmte Aufgaben oder Zuständigkeiten zu bündeln und diese Berechtigungssätze den Nutzern stapelweise zuweisen (die Schaltfläche „Zugriff gewähren“ für die Gewährung von Stapelzugriff finden Sie in den Eigenschaften von Einträgen, Ordnern und Tresoren unter Sicherheit > Berechtigungen).
Vorteile
Berechtigungssätze bieten mehrere Vorteile:
- Effizienz: Die Zuweisung eines einzelnen Berechtigungssatzes ist schneller und weniger fehleranfällig als die manuelle Auswahl einzelner Berechtigungen für jeden Nutzer.
- Konsistenz: Berechtigungssätze stellen sicher, dass Nutzer mit ähnlichen Rollen einheitliche Zugriffsebenen haben, wodurch das Risiko falsch konfigurierter Berechtigungen verringert wird.
- Vereinfachte Verwaltung: Da es sich bei einem Berechtigungssatz um eine Vorlage für Berechtigungen handelt, die bei Bedarf schnell Konten zugewiesen werden kann, sind Berechtigungssätze für die Administratoren einfach zu verwalten und zu aktualisieren. Das Ändern einer Berechtigungsvorlage hat keine Auswirkungen auf zuvor zugewiesene Berechtigungen.
Sagen Sie uns Ihre Meinung
Welche anderen Begriffe oder Funktionen in Devolutions Server oder unseren anderen Lösungen sollten wir als nächstes erklären? Teilen Sie uns bitte Ihre Gedanken mit und helfen Sie uns, Inhalte zu erstellen, die auf Ihre Bedürfnisse und Fragen eingehen.
