cancel
Showing results for 
Search instead for 
Did you mean: 
Create Post

Access Rights Manager

Nach vier Monaten wird es mal wieder Zeit über ein Produkt zu schreiben. Wie es der Zufall so will, haben wir auch ein neues Spielzeug im Portfolio:

SolarWinds Access Rights Manager

Einige von euch kennen das Produkt vielleicht noch unter dem alten Namen 8MAN.

Was genau macht ARM? Und wer kam überhaupt auf diese Abkürzung?

Das Werkzeug überprüft Berechtigungen innerhalb von Active Directory, Exchange, Sharepoint sowie Fileservern. Also, wer kann auf was zugreifen, und wo genau kommt die Berechtigung her?

Benutzer, Gruppen und effektive Berechtigungen lassen sich Erstellen, Verändern, oder Löschen.

Berichte und Instant-Analysen runden das Paket ab.

Alles aus einer charmanten Oberfläche und man kann es auch bedienen, wenn man kein Raketenforscher ist.

ARM wird auf einem beliebigen Mitgliedsserver installiert und ist sehr genügsam mit den Systemanforderungen. Das OS sollte mindestens ein 2008SP1 sein, 2 Kerne, 4 Gig Speicher reichen auch produktiv erst einmal aus. Sämtliche Daten werden in einer SQL gespeichert und auch hier passt 2008 oder jünger.

Der Installationsvorgang ist schnell erledigt:

01.png

Zuerst wird die Konfiguration gestartet mit dem rechten Icon.
Die Farbe ist…ja was ist es denn, 04C9D7, also laut Internet „vivid arctic blue“. Nennen wir es einfach Türkis!

02.png

Ein AD- und ein SQL®-Benutzer muss angelegt, und die Verbindung zur Datenbank eingerichtet werden:

03.png

ARM ist jetzt verfügbar:

04.png

Jedoch ist noch keine Quelle definiert, also hängen wir AD ein.
In den Grundeinstellungen nutzt ARM zum Verknüpfen des Verzeichnisses die bereits hinterlegten Anmeldeinformationen.

05.png

In meinem Beispiel wird das Verzeichnis jeden Abend einmal durchsucht. Bei der ersten Einrichtung bitte manuell auf den Pfeil drücken für einen sofortigen Scan. Nur bitte nicht bei 10 000 Benutzern morgens um Acht Uhr!

Ein Klick auf das Icon in Orange, Entschuldigung, F99D1C, startet dann das richtige Tool.

06.png

Das Login Fenster:

07.png

Begrüßt werden wir von diesem Dashboard:

08.png

Befassen uns mit der typischen Frage „Wieso kann dieser Schlumpf denn überhaupt auf X  zugreifen?“

Der Hauptgrund dafür ist vermutlich eine verschachtelte Berechtigung, die nicht auf den ersten Blick ersichtlich ist. Aber jetzt kommt ARM ins Spiel.
Klickt einmal auf Accounts und gebt einen Namen in die Suchbox oben ein:

09.png

Das Resultat ist ein Baumdiagramm mit den Gruppenmitgliedschaften.

10.png

Jeder Klick auf ein Element zeigt dann weitere Details an, probiert es einmal aus. Die Grafiken lassen sich übrigens als Bild exportieren.

Auf der rechten Seite finden wir die AD Attribute:

11.png

Und jetzt wird es richtig komfortabel. Ich kann den kompletten Datensatz von hier aus editieren:

12de.png

Ja, richtig, ich traue keinem Vegetarier!

Übrigens, diese Box hier sieht man bei allen Änderungen. Ordentliches Change-Management erfordert das Setzen von Notizen.

13.png

Und wo wir gerade dabei sind, klickt einmal rechts auf ein Konto:

14.png

Wandern wir vom AD zu Datei-Berechtigungen. Ist nur eine kurze Strecke, wenn man oben auf Show access rights to resources klickt.
Ich wähle einen File Server und einen Pfad aus:

15.png

Rechts sehe ich die Berechtigungen im Detail:

16.png

ARM kommt noch mit einer zweiten Oberfläche zusätzlich zu dem Client – einem Web-GUI.

Hier stehen mir andere Werkzeuge zur Verfügung.

Viele typische Risiken können schon out-of-the-box betrachtet werden.
Dazu auf Risks klicken:

17.png

Wir sehen inaktive Konten:

18.png

Oder permanente Passwörter:

19.png

An gleicher Stelle finden wir auch die allseits beliebte „Everyone“ Berechtigung bei Ordnern:

20.png

Ein simpler Klick auf „Minimize Risks“ zeigt mir:

21.png

Ich könnte direkt von hier aus wieder Änderungen betreiben – auch im Bulk.

Selbstverständlich wird jede Änderung, die über ARM durchgeführt wird, automatisch protokolliert.
Das Logbuch befindet sich oben im lokalen Client und wir können Berichte erzeugen und exportieren:

22.png

Vermutlich habt ihr das oben schon gesehen, aber weitere vordefinierte Berichte findet man direkt auf dem Start-Dashboard:

23.png

Gehen wir ein oder zwei spezifische Themen an.

Seit Server 2016 gibt es das Feature von temporären Gruppenmitgliedschaften, um vielleicht einem Mitarbeiter für die Dauer eines Projektes Zugriff zu notwendigen Elementen zu bieten. Nach Ablauf des voreingestellten Zeitraums werden die Berechtigungen automatisch entfernt.
Praktisch, oder?

Das nicht ganz so schöne Szenario: Jemand hat sich selbst temporär Zugriff auf eine Ressource gegeben mit dem Hintergrund, dass die Änderung der Gruppenmitgliedschaft hinterher kaum nachvollziehbar ist.
Aber jetzt nicht mehr! Hier geht’s ab:

24.png

Wenn man mit der Maus über diese Box hier geht

25.png

Sieht man rechts Objekte, und für mein Beispiel sind Member added/removed interessant:

26.png

27.png

Leider gibt es in meinem Lab nicht wirklich viel zu sehen, also gehen wir weiter.

ARM erlaubt Standardaufgaben direkt aus dem UI durchzuführen, wie z.B. das Erstellen von neuen Benutzern oder Gruppen, Vergeben/Entfernen von Berechtigungen etc.
Wirklich interessant ist das Nutzen von Vorlagen bzw. Profilen.

Hierzu klicken wir im Webclient rechts oben auf das Zahnrad und Department Profiles

28.png

Rechts auf „Create new“

29.png

Geben dem Profil einen Namen:

30de.png

Links sind weitere Optionen sowie der Button zum Speichern:

31.png

Ein neuer Mitarbeiter wird lediglich dem Profil zugewiesen, welches sich um sämtliche anderen Einstellungen kümmert – automatisch.

Selbstverständlich gibt es auch einen vordefinierten Bericht, der eventuelle Abweichungen zu den Profilen direkt anzeigt. Wir bleiben im Webclient, klicken auf Analyse und wählen die folgende Schaltfläche:

32.png

Dann suche ich mir ein Profil aus und ab geht’s:

33.png

Die gute Elyne ist konform, was aber auch wenig überraschend ist als einzige Mitarbeiterin im Marketing:

34.png

Das waren nur ein paar der Features von ARM. Weitere interessante Themen wären das Einbinden von anderen Quellen, oder Scripts für komplexere Automatismen. Das ist Futter für zukünftige Postings.

Aber, wisst ihr, was ich als Computer-Gamer ganz besonders am ARM mag?
Man kann auf so ziemlich alles klicken. Probiert einmal das hier aus, zu finden ganz links am Bildschirmrand auf dem Start Dashboard:

35.png

Viel Spass beim Erkunden!