Hallo Carsten, Wir hatten bei uns in der Firma die gleichen Anforderungen (im Zusammenhang mit den IT-Grundschutz). Nach einigen Analysen des Aufwands sind wir damals zum Schluss gekommen, dass es sich nicht lohnt und wir besser nur noch wirklich relevante Daten im AD speichern. (keine Telefon-, Mitarbeiter- oder sonstige persönliche Nummern). Vielleicht hilft dir die Site des BSI Grundschutzes noch weiter, es gibt dort zwei Bausteine die die Sicherheit, unteranderem auch den Datenschutz, eines Verzeichnisdienstes resp. Des Active Directory behandeln. B 5.15 Allgemeiner Verzeichnisdienst: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b05/b05015.html B5.16 Active Directory: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b05/b05016.html Gruss Sandro Sandro Bischof System Administrator Frama AG, Dorfstrasse 6, CH-3438 Lauperswil Tel. +41 34 496 98 98 Fax +41 34 496 98 00 Disclaimer The contents of this message and any attachments to it are confidential and may be legally privileged. If you have received this message in error you should delete it from your system immediately and advise the sender. To any recipient of this message within Frama AG, unless otherwise stated you should consider this message and attachments as "Frama AG confidential". Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Carsten Pettan Gesendet: Mittwoch, 11. Januar 2012 14:20 An: adde@xxxxxxxxxxxxx Betreff: [adde] AW: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD [signed OK] Hallo, erstmal danke für die Infos, auch den anderen natürlich, damit kann ich schon mal was anfangen. Nur habe ich Schwierigkeiten, den Blogartikel, den Nils aus dem AskDS-Blog ansprichst zu finden. Bin da nun schon ca. ein Jahr zurück und mir ist nichts aufgefallen, hast Du/jemand evtl. noch ein Stichwort? Vielen Dank und Gruß, Carsten Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx]<mailto:[mailto:adde-ml@xxxxxxxxxxxxx]> Im Auftrag von Nils Kaczenski Gesendet: Dienstag, 10. Januar 2012 11:37 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD Moin, ich habe vor einiger Zeit so ein Konzept für eine Hochschule ausgearbeitet und als Pilot implementiert. Meine Erfahrung daraus: * Der Aufwand ist sehr hoch. * Man kann einiges mit AD-Berechtigungen hinbekommen, anderes nicht. * Das AD-Berechtigungssystem ist leistungsfähig, aber für derartige Abschottungen nicht gedacht. * Du findest keine High-End-Dokumentation dazu. Probleme und Spezielles wirst du selbst lösen müssen. * Microsoft leistet keinen bzw. nur sehr eingeschränkten Support für solche Abschottungen (dazu gab es vor ein paar Monaten Aussagen im AskDS-Blog). * Exchange 2010 nutzt vollständig eigene Berechtigungen und geht am AD vorbei. Du musst im Zweifel also alles zweimal implementieren. * Die Supportaussage für Exchange - wenn man denn eine bekommt - wird mit Sicherheit noch restriktiver sein. * Ob Applikationen damit klarkommen, steht noch mal auf einem ganz anderen Blatt. Ich würde an deiner Stelle also von vornherein nach anderen Lösungen suchen und Daten, die nicht zwingend ins AD gehören, auch nicht im AD speichern. Gruß, Nils Am 05.01.2012 09:48, schrieb Carsten Pettan: Hallo zusammen, Prosit, das neue Jahr ist ja noch jung. Wie schon letztes Jahr angesprochen, gab es bei uns im Hause ja Bestrebungen, den Zugriff auf das AD einzuschränken (Mails an die Liste im August "LDAP Zugriff auf AD sperren"). Wir haben hier eine Windows 2008R2 AD, mit Exchange 2010 im Standardschema. Nun bemängelt der Datenschutzbeauftragte, dass jeder authentifizierte Benutzer mittels LDAP-Browser/AD-Tools Informationen über andere Benutzer auslesen könnte. Zu diesen Informationen zählen z.B. Personal-/Matrikelnummer. Die Frage ist nun, wie man den Zugriff auf diese Attribute sperren kann, also ob es abgesehen von ConfidentialFlag und Berechtigungsänderung am Schema noch weitere Möglichkeiten gibt. Oder gibt es Möglichkeiten, den Zugriff so für Benutzer einzuschränken, dass diese nur noch ihre eigenen Attribute sehen können? Ist hierbei mit Funktionseinschränkungen zu rechnen? Gibt es Unterlagen, die das Standardschema und die Berechtigungen im AD dokumentieren? Gibt es Ausarbeitungen von Gesetze/Datenschutzbestimmungen, die erläutern, welche Attribute im AD zu schützen sind? Und als letzten Punkt noch, wie habt Ihr das bei Euch in der Firma, bzw. bei Kunden umgesetzt? Sind wir die einzigen mit solchen Anforderungen? Vielen Dank im Voraus, Carsten _______________________________________________ Carsten Pettan Systemadministrator Carl von Ossietzky Universitaet Oldenburg IT-Dienste, Computing Services Uhlhornsweg 84 26129 Oldenburg Raum A2 3-305 Tel. +49 441 798 - 4813 Fax +49 441 798 - 194813 mailto:carsten.pettan@xxxxxxxxxxxxxxxx http://www.uni-oldenburg.de<http://www.uni-oldenburg.de/> -- MVP Windows Server: Directory Services www.kaczenski.de<http://www.kaczenski.de> Twitter: @Kaczenski www.faq-o-matic.net<http://www.faq-o-matic.net> http://about.me/Nils.Kaczenski MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski