Nach vier Monaten wird es mal wieder Zeit über ein Produkt zu schreiben. Wie es der Zufall so will, haben wir auch ein neues Spielzeug im Portfolio:

 

SolarWinds Access Rights Manager

 

Einige von euch kennen das Produkt vielleicht noch unter dem alten Namen 8MAN.

Was genau macht ARM? Und wer kam überhaupt auf diese Abkürzung?

 

Das Werkzeug überprüft Berechtigungen innerhalb von Active Directory, Exchange, Sharepoint sowie Fileservern. Also, wer kann auf was zugreifen, und wo genau kommt die Berechtigung her?

Benutzer, Gruppen und effektive Berechtigungen lassen sich Erstellen, Verändern, oder Löschen.

Berichte und Instant-Analysen runden das Paket ab.

Alles aus einer charmanten Oberfläche und man kann es auch bedienen, wenn man kein Raketenforscher ist.

ARM wird auf einem beliebigen Mitgliedsserver installiert und ist sehr genügsam mit den Systemanforderungen. Das OS sollte mindestens ein 2008SP1 sein, 2 Kerne, 4 Gig Speicher reichen auch produktiv erst einmal aus. Sämtliche Daten werden in einer SQL gespeichert und auch hier passt 2008 oder jünger.

 

Der Installationsvorgang ist schnell erledigt:

 

Zuerst wird die Konfiguration gestartet mit dem rechten Icon.
Die Farbe ist…ja was ist es denn, 04C9D7, also laut Internet „vivid arctic blue“. Nennen wir es einfach Türkis!

 

Ein AD- und ein SQL®-Benutzer muss angelegt, und die Verbindung zur Datenbank eingerichtet werden:

 

ARM ist jetzt verfügbar:

 

Jedoch ist noch keine Quelle definiert, also hängen wir AD ein.
In den Grundeinstellungen nutzt ARM zum Verknüpfen des Verzeichnisses die bereits hinterlegten Anmeldeinformationen.

 

In meinem Beispiel wird das Verzeichnis jeden Abend einmal durchsucht. Bei der ersten Einrichtung bitte manuell auf den Pfeil drücken für einen sofortigen Scan. Nur bitte nicht bei 10 000 Benutzern morgens um Acht Uhr!

Ein Klick auf das Icon in Orange, Entschuldigung, F99D1C, startet dann das richtige Tool.

 

 

Das Login Fenster:

 

Begrüßt werden wir von diesem Dashboard:

 

 

Befassen uns mit der typischen Frage „Wieso kann dieser Schlumpf denn überhaupt auf X  zugreifen?“

Der Hauptgrund dafür ist vermutlich eine verschachtelte Berechtigung, die nicht auf den ersten Blick ersichtlich ist. Aber jetzt kommt ARM ins Spiel.
Klickt einmal auf Accounts und gebt einen Namen in die Suchbox oben ein:

 

Das Resultat ist ein Baumdiagramm mit den Gruppenmitgliedschaften.

Jeder Klick auf ein Element zeigt dann weitere Details an, probiert es einmal aus. Die Grafiken lassen sich übrigens als Bild exportieren.

Auf der rechten Seite finden wir die AD Attribute:

 

Und jetzt wird es richtig komfortabel. Ich kann den kompletten Datensatz von hier aus editieren:

 

Ja, richtig, ich traue keinem Vegetarier!

 

Übrigens, diese Box hier sieht man bei allen Änderungen. Ordentliches Change-Management erfordert das Setzen von Notizen.

Und wo wir gerade dabei sind, klickt einmal rechts auf ein Konto:

 

Wandern wir vom AD zu Datei-Berechtigungen. Ist nur eine kurze Strecke, wenn man oben auf Show access rights to resources klickt.
Ich wähle einen File Server und einen Pfad aus:

 

Rechts sehe ich die Berechtigungen im Detail:

 

 

ARM kommt noch mit einer zweiten Oberfläche zusätzlich zu dem Client – einem Web-GUI.

Hier stehen mir andere Werkzeuge zur Verfügung.

Viele typische Risiken können schon out-of-the-box betrachtet werden.
Dazu auf Risks klicken:

 

 

Wir sehen inaktive Konten:

 

Oder permanente Passwörter:

 

An gleicher Stelle finden wir auch die allseits beliebte „Everyone“ Berechtigung bei Ordnern:

 

Ein simpler Klick auf „Minimize Risks“ zeigt mir:

 

 

Ich könnte direkt von hier aus wieder Änderungen betreiben – auch im Bulk.

Selbstverständlich wird jede Änderung, die über ARM durchgeführt wird, automatisch protokolliert.
Das Logbuch befindet sich oben im lokalen Client und wir können Berichte erzeugen und exportieren:

 

Vermutlich habt ihr das oben schon gesehen, aber weitere vordefinierte Berichte findet man direkt auf dem Start-Dashboard:

Gehen wir ein oder zwei spezifische Themen an.

Seit Server 2016 gibt es das Feature von temporären Gruppenmitgliedschaften, um vielleicht einem Mitarbeiter für die Dauer eines Projektes Zugriff zu notwendigen Elementen zu bieten. Nach Ablauf des voreingestellten Zeitraums werden die Berechtigungen automatisch entfernt.
Praktisch, oder?

Das nicht ganz so schöne Szenario: Jemand hat sich selbst temporär Zugriff auf eine Ressource gegeben mit dem Hintergrund, dass die Änderung der Gruppenmitgliedschaft hinterher kaum nachvollziehbar ist.
Aber jetzt nicht mehr! Hier geht’s ab:

 

Wenn man mit der Maus über diese Box hier geht

Sieht man rechts Objekte, und für mein Beispiel sind Member added/removed interessant:

 

Leider gibt es in meinem Lab nicht wirklich viel zu sehen, also gehen wir weiter.

 

ARM erlaubt Standardaufgaben direkt aus dem UI durchzuführen, wie z.B. das Erstellen von neuen Benutzern oder Gruppen, Vergeben/Entfernen von Berechtigungen etc.
Wirklich interessant ist das Nutzen von Vorlagen bzw. Profilen.

Hierzu klicken wir im Webclient rechts oben auf das Zahnrad und Department Profiles

 

 

Rechts auf „Create new“

 

 

 

Geben dem Profil einen Namen:

 

 

Links sind weitere Optionen sowie der Button zum Speichern:

 

Ein neuer Mitarbeiter wird lediglich dem Profil zugewiesen, welches sich um sämtliche anderen Einstellungen kümmert – automatisch.

 

Selbstverständlich gibt es auch einen vordefinierten Bericht, der eventuelle Abweichungen zu den Profilen direkt anzeigt. Wir bleiben im Webclient, klicken auf Analyse und wählen die folgende Schaltfläche:

 

 

 

Dann suche ich mir ein Profil aus und ab geht’s:

 

 

Die gute Elyne ist konform, was aber auch wenig überraschend ist als einzige Mitarbeiterin im Marketing:

Das waren nur ein paar der Features von ARM. Weitere interessante Themen wären das Einbinden von anderen Quellen, oder Scripts für komplexere Automatismen. Das ist Futter für zukünftige Postings.

 

Aber, wisst ihr, was ich als Computer-Gamer ganz besonders am ARM mag?
Man kann auf so ziemlich alles klicken. Probiert einmal das hier aus, zu finden ganz links am Bildschirmrand auf dem Start Dashboard:

 

 

 

Viel Spass beim Erkunden!

DefCIS2019 is AFCEA London’s biennial UK Defence CIS Conference where commercial, military, and academic experts will come together to discuss and debate challenges facing us.

This year, the conference and post-conference drinks reception are being held on Tuesday, February 19, 2019 at the IET, Savoy Place, London.

 

 

This year’s conference theme is Delivering Information Advantage… Can the UK Armed Forces do this? Will the UK Armed Forces do this?”

 

 

Come and meet the SolarWinds National Government team exhibiting at the conference!

 

 

WHEN AND WHERE

  • START TIME: Feb 19, 2019 8:00 a.m. GMT (Europe/London)
  • END TIME: Feb 19, 2019 5:30 p.m. GMT (Europe/London)
  • LOCATION: IET, Savoy Place, London
  • EVENT TYPE:Conference
  • EVENT VISIBILITY AND ATTENDANCE POLICY: Open

 

Find out more and book your place here.

SolarWinds uses cookies on its websites to make your online experience easier and better. By using our website, you consent to our use of cookies. For more information on cookies, see our cookie policy.