[adde] Re: Sicherheitskonzept für den Zugriff auf das AD

• From: Nils Kaczenski <n.ka@xxxxxx>
• To: adde@xxxxxxxxxxxxx
• Date: Tue, 10 Jan 2012 11:36:58 +0100

Moin,

ich habe vor einiger Zeit so ein Konzept für eine Hochschule ausgearbeitet und als Pilot implementiert. Meine Erfahrung daraus:

 * Der Aufwand ist /sehr /hoch.
 * Man kann einiges mit AD-Berechtigungen hinbekommen, anderes nicht.
 * Das AD-Berechtigungssystem ist leistungsfähig, aber für derartige
   Abschottungen nicht gedacht.
 * Du findest keine High-End-Dokumentation dazu. Probleme und
   Spezielles wirst du selbst lösen müssen.
 * Microsoft leistet keinen bzw. nur sehr eingeschränkten Support für
   solche Abschottungen (dazu gab es vor ein paar Monaten Aussagen im
   AskDS-Blog).
 * Exchange 2010 nutzt vollständig eigene Berechtigungen und geht am AD
   vorbei. Du musst im Zweifel also alles zweimal implementieren.
 * Die Supportaussage für Exchange - wenn man denn eine bekommt - wird
   mit Sicherheit noch restriktiver sein.
 * Ob Applikationen damit klarkommen, steht noch mal auf einem ganz
   anderen Blatt.

Ich würde an deiner Stelle also von vornherein nach anderen Lösungen suchen und Daten, die nicht zwingend ins AD gehören, auch nicht im AD speichern.

Gruß, Nils


Am 05.01.2012 09:48, schrieb Carsten Pettan:

Hallo zusammen,

Prosit, das neue Jahr ist ja noch jung.

Wie schon letztes Jahr angesprochen, gab es bei uns im Hause ja Bestrebungen, den Zugriff auf das AD einzuschränken (Mails an die Liste im August "LDAP Zugriff auf AD sperren").

Wir haben hier eine Windows 2008R2 AD, mit Exchange 2010 im Standardschema. Nun bemängelt der Datenschutzbeauftragte, dass jeder authentifizierte Benutzer mittels LDAP-Browser/AD-Tools Informationen über andere Benutzer auslesen könnte. Zu diesen Informationen zählen z.B. Personal-/Matrikelnummer.

Die Frage ist nun, wie man den Zugriff auf diese Attribute sperren kann, also ob es abgesehen von ConfidentialFlag und Berechtigungsänderung am Schema noch weitere Möglichkeiten gibt.

Oder gibt es Möglichkeiten, den Zugriff so für Benutzer einzuschränken, dass diese nur noch ihre eigenen Attribute sehen können? Ist hierbei mit Funktionseinschränkungen zu rechnen?

Gibt es Unterlagen, die das Standardschema und die Berechtigungen im AD dokumentieren?

Gibt es Ausarbeitungen von Gesetze/Datenschutzbestimmungen, die erläutern, welche Attribute im AD zu schützen sind?

Und als letzten Punkt noch, wie habt Ihr das bei Euch in der Firma, bzw. bei Kunden umgesetzt? Sind wir die einzigen mit solchen Anforderungen?

Vielen Dank im Voraus,

Carsten

_______________________________________________
Carsten Pettan
Systemadministrator
Carl von Ossietzky Universitaet Oldenburg
IT-Dienste, Computing Services
Uhlhornsweg 84
26129 Oldenburg
Raum A2 3-305
Tel. +49 441 798 - 4813
Fax  +49 441 798 - 194813
mailto:carsten.pettan@xxxxxxxxxxxxxxxx
http://www.uni-oldenburg.de <http://www.uni-oldenburg.de/>

--

MVP Windows Server: Directory Services

www.kaczenski.de
Twitter: @Kaczenski
www.faq-o-matic.net
http://about.me/Nils.Kaczenski
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

• Follow-Ups:
  • [adde] AW: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD
    • From: Carsten Pettan

• References:
  • [adde] Sicherheitskonzept für den Zugriff auf das AD
    • From: Carsten Pettan

Other related posts:

• » [adde] Sicherheitskonzept für den Zugriff auf das AD- Carsten Pettan
• » [adde] Re: Sicherheitskonzept für den Zugriff auf das AD - Nils Kaczenski

1. Home
2. adde
3. Archive
4. 01-2012

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---