Die große Mehrheit der IT-Administratoren nutzt zur Verwaltung von Zugriffsberechtigungen und für die Verwaltung von Benutzerkonten den Verzeichnisdienst von Microsoft, das Active Directory. Über die NTFS Zugriffsberechtigungen steuert der Systemverantwortliche, welcher Mitarbeiter Zugriff auf welche Ressourcen hat. Diese Rechtevergabe ist die elementare Basis für die Benutzerverwaltung, und viele Branchenlösungen mit ihrer speziellen Software greifen auf das AD zu. Fehlerhafte Zuweisungen von NTFS-Rechten und falsche Gruppenzugehörigkeiten bieten somit aber auch die Basis für fatale Fehlkonfigurationen, die sich auf den ersten und auch zweiten Blick nicht unbedingt zeigen.

Je größer die Umgebung wird, desto unübersichtlich wird es mit den Standardbordmitteln, die Microsoft dem IT-Verantwortlichen zur Verfügung stellt. Es fehlt die detaillierte, grafische Übersicht, die es dem Administrator erlaubt, die Sicherheitseinstellung schneller und unkomplizierter einzusehen. Eine manuelle Analyse von AD-Objekten und Fileserver-Strukturen ist äußerst zeitaufwendig und birgt zudem ein hohes Fehlerpotenzial.

Exakt an dieser Stelle setzt die daccord Microsoft Edition an und bietet dem Administrator eine ganze Reihe an flexibel einsetzbaren Werkzeugen, um diese Übersicht zu gewinnen und vor allem über beliebig lange Zeiträume festzuhalten, um Veränderungen nachzuverfolgen. Die Auswertungen von Verzeichnissen, Ordnern, Dateien und Freigaben sind detailliert und sind das Hauptfunktionsmerkmal der Software. Besonders hervorzuheben ist die spezielle „Effektive-Rechte-Sichtweise“, zur zügigen Beantwortung der in der Praxis so häufig gestellten Frage: Wer darf was?

Das Thema Installation und Inbetriebnahme reduziert sich bei der daccord Microsoft Edition auf wenige Arbeitsschritte, und diese sind komplett Wizard gesteuert. Wer die gut geschriebene und auch auf Deutsch verfügbare Anleitung Schritt für Schritt verfolgt, hat innerhalb weniger Minuten die Einrichtung abgeschlossen. Zunächst einmal entscheidet sich der Administrator entweder für eine Installation unter Linux oder nutzt die Container-Virtualisierung mit Docker, auch unter Windows. Der Docker-Installer in der Desktop-Variante sorgt dafür, dass die erforderlichen Komponenten, beispielsweise Hyper-V, automatisch eingerichtet werden. Docker ist eine Software, mit der sich Anwendungen Container-gestützt virtualisieren und inklusive der benötigten Abhängigkeiten in ein Image packen lassen. Container benötigen weniger Ressourcen als virtuelle Maschinen, da sie auf das Starten eines eigenen Betriebssystems verzichten und stattdessen im Kontext des Host-Betriebssystems laufen. Eine spezielle Engine führt die so verpackte Anwendung in den Docker-Container aus. Dies macht die Bereitstellung der Software äußerst schnell und einfach.

Nach Abschluss der Basiseinrichtung verlaufen die weiteren Schritte identisch. Hierbei gilt es, ganz klassisch, ein Passwort zu vergeben, das EULA abzunicken und festzulegen, ob es sich bei der aktuellen Installation um eine komplett neue daccord Microsoft Edition Konfiguration handelt, oder ob eine bereits bestehende Plattform zu ergänzen ist. Es folgt das Auslesen von Benutzerkontendaten aus dem Active Directory und der Import von Personalstammdaten aus dem HR-System mithilfe eines CSV-Templates. Diese Vorlage hat für den Administrator den großen Vorteil, dass er die möglichen Felder, die die Software für eine Richtlinienprüfung nutzen kann, auf einen Blick erkennt. Praktischerweise muss das Einlesen der Personaldaten nicht im Zuge der Erstkonfiguration vorgenommen werden – diesen Schritt kann der Systemverantwortliche jederzeit nachziehen oder bisher getroffene Entscheidungen anpassen.

Für beide Abgleichvorgänge kann der Administrator unterschiedliche Intervalle festlegen, bei denen die Daten zu aktualisieren sind. Neben den typischen Scheduler-Werten mit den bekannten Mustern gibt es zudem die Möglichkeit, dies stets manuell vorzunehmen. Bereits während der Ersteinrichtung erkennt der Systemverantwortliche, ob das Einlesen erfolgreich ist. Falls nicht, macht das Programm farblich und per Fehlertext auf sich aufmerksam.

Ein weiterer Einrichtungsschritt betrifft die Windows-Fileserver, bei denen ein oder mehrere Laufwerke gemäß der Berechtigungsvergabe zu prüfen sind. Ehe der Administrator diesen Schritt realisieren kann, gilt es, eine kleine Agent-Software auf einen Dateiserver zu installieren. Während der Einrichtung muss ein Benutzername und Passwort eines Accounts angegeben werden – dieses Konto bedarf des Rechts „Anmeldung als Dienst“. Mithilfe der Anleitung gelingt auch diese Konfiguration ohne Probleme.

Während der Installation forderte der Wizard zu jedem Hauptpunkt ein entsprechendes Richtlinienpaket einzulesen. Die Inhalte findet der IT-Profi auch in einer Komplettübersicht. Einerseits könnte der Anwender eine Richtlinie, beispielsweise dass eine zu hohe Anzahl von aktiven Administrationskonten ein Risiko darstellt, komplett deaktivieren oder die jeweiligen Schwellwerte anpassen. Die mitgelieferten Richtlinien sind keine Eigengewächse aus dem Hause daccord, sondern basieren beispielsweise auf den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Einen Richtlinieneditor für die Software gibt es nicht. Wohl aber die Möglichkeit, sich individuelle Richtlinienpakete als Dienstleistung vom Hersteller erzeugen zu lassen. Individuelle Anforderungen an die eigenen Compliance-Richtlinien können sich Firmen momentan einkaufen – eine interessante und womöglich einzigartige Dienstleistung. Der Hersteller bereitet zusätzlich vor, einen Policy Builder als Modul zu integrieren, der bei der Einrichtung von kundenspezifischen Policies noch weiter unterstützen soll.

Nur wenige HR-Systeme sind überhaupt in der Lage, einen direkten Abgleich der Personaldaten mit dem Active Directory durchzuführen. Ein Software-Anbieter, der sich auf Personalsysteme spezialisiert hat, kümmert sich in erster Linie um die eigene, spezifische Datenhaltung. Die gern in den Medien propagierten Identity-Management-Verfahren brauchen, um ordnungsgemäß arbeiten zu können, zumindest eine gesicherte Datenquelle und sind somit für die Prüfläufe der IT-Verantwortlichen keine praktische Hilfe. Für die Suche nach verwaisten Benutzerkonten sind die Funktionen der daccord Microsoft Edition ausreichend – das nicht gelöschte Praktikantenkonto dürfte der Vergangenheit angehören.

Die Microsoft Edition von daccord ist ein Analyse- und Auswertungsprogramm, das die aus dem AD gesammelten Informationen und die Berechtigungen auf den Fileservern überprüft. Die regelmäßig erzeugten Prüfergebnisse gleicht die Software mit den hinterlegten Compliance-Richtlinien ab und weist die Ergebnisse in der intuitiven Weboberfläche für die IT-Verantwortlichen aus. Etwaige Änderungen indes nehmen Administratoren, Support-Mitarbeiter oder Benutzerdatenverantwortliche mit den ihnen bereits bekannten Programmen oder Microsoft Bordmitteln vor.

Das mag auf den ersten Blick hinderlich wirken, bietet aber auch zwei entscheidende Vorteile. Die daccord-Software greift ausschließlich lesend auf die Daten zu und speichert die erfassten Daten in der eigenen Datenbankstruktur ab. Auch ohne einen laufenden Zugriff auf das Netzwerk mit den ADs oder Dateiservern ist eine Abstimmung der Compliance-Regelwerke und eine Auswertung möglich. Faktisch muss der Prüfer über gar keine Berechtigung zur Anpassung verfügen – was wiederum, mit Blick auf die Compliance-Prüfung, von Vorteil ist.

Zudem bleiben die etablierten Arbeitsabläufe bei der Benutzeranlage und das Knowhow bezüglich der entsprechenden Werkzeuge unangetastet. Für das Stammpersonal, das Berechtigungen und Zugriffe vergibt, gibt es keine Veränderungen und folglich auch keinen Schulungsaufwand.

Insgesamt können wir der Lösung von daccord bescheinigen, dass die Einarbeitung in das Programm, dank der Software-Wizards und der guten Beschriftung der Fensterelemente, wirklich einfach ausfällt. Während viele Programme ein mehrtägiges Training erfordern, um es vollständig einsetzen zu können, ist ein solcher Aufwand bei daccord in der Microsoft Edition nicht erforderlich. Die früheren Fassungen der Software erforderten vom Administrator zumindest einige Installationsschritte unter Linux – das Basissystem von daccord arbeitet mit dem freien Open Source-Betriebssystem.

Zur Benutzerkonten- und Rechteprüfung von gewachsenen, großen oder unübersichtlichen Windows-Strukturen ist die Microsoft Edition von daccord bestens gewappnet. Sehr gut gefiel uns die zügige und unkomplizierte Einrichtung und die klare Gliederung und gute Übersicht, die die Software dem Administrator bietet. Die laufende Überwachung von Dateiservern und der automatische Abgleich der Active Directories mit Exporten aus Personalwirtschaftssystemen ergeben das erforderliche Werkzeug, um die Compliance-Einhaltung sicherzustellen.

Letztendlich sind Nutzer für eine Prüfung mithilfe der Microsoft Edition von daccord nicht mehr auf die Unterstützung eines externen Dienstleisters angewiesen. Dem Auslesen teilweise sehr großer Datenmengen und den damit verbundenen hohen Datenbankanforderungen wird die Software durch die native Nutzung der performanten Graph-Datenbanken des Herstellers Neo4J gerecht. Bei Herstellertests konnten hier innerhalb von 12 Minuten 15 Millionen Datensätze ausgelesen, analysiert und verarbeitet werden.

Insbesondere dank der modernen Docker-Container-Struktur ist die daccord Microsoft Edition innerhalb kürzester Zeit installiert, ohne dass an den bestehenden Systemen irgendeine Änderung durchzuführen wäre. Ausgestattet mit der kostenfreien 7-Tage-Nutzungslizenz kann sich jeder Interessent problemlos ein eigenes Bild von der Lösung machen. Als Basissystem nutzten wir in unserer Betrachtung, der Empfehlung des Herstellers folgend, ein Windows 10-System mit mehr als 8 GByte RAM und eine aktuelle CPU mit mehr als zwei Cores. Ansonsten steht lediglich Microsoft .Net Framework mindestens Version 4.6.2 auf der Voraussetzungsliste. Setzt die Software auf Linux auf, benötigt der Server 100 GByte Plattenspeicherplatz, zwei CPU-Kerne, 8 GByte RAM und SuSE Linux Enterprise Server 12 SP2, SP3 oder SP4, OpenSuse 15.1 Textversion/Gnome Desktop oder CentOS Linux Release 8.1.1911. Preislich veranschlagt der Hersteller 19,20 Euro einmalig pro aktivem AD-Benutzer und eine 20-prozentige, jährliche Software-Wartung.

In absehbarer Zukunft erweitert der Hersteller die Microsoft Edition noch um weitere Integrationspakete, die den Leistungsumfang noch einmal deutlich erweitern. Aktuell in Planung, so der Anbieter, sind Pakete für das Azure AD mit Office 365, Microsoft Exchange Teams und OneDrive.