von Wenn spezielle Branchensoftware zum Einsatz kommt, wird diese im Idealfall auf einem eigenen (virtuellen) Server, der nur für diese Software betrieben wird, installiert. Im Normalfall benötigt diese ab einem gewissen Punkt immer irgendwelche Ordnerfreigaben, damit andere Benutzer diese nutzen können oder für Schnittstellen mit anderen sauteuren Branchenlösungen, die manchmal so aussehen als ob ein Praktikant diese in seiner ersten Woche von Stackoverflow zusammenkopiert hat, damit diese dann irgendwelche XML-Dateien einlesen können. Bei den Kundenbetreuern steht bei der Installation nicht die Sicherheit des Netzwerks der Kunden im Fokus, sondern die Gesamtlösung zum Laufen zu bringen. Deshalb werden leider meistens sehr weitreichende Rechte vergeben. Was man stattdessen machen sollte, zeige ich in diesem Artikel.
Erweiterte Freigabe des Ordners
„Jeder“ für die Freigabe an sich ist ok, da man die Rechte ja normalerweise per NTFS regelt und so „nur“ der Ordner für jeden Benutzer sichtbar ist:
NTFS-Einstellungen des Ordners
Bei den NTFS-Rechten ist „Jeder“ mit vollen oder Lese-/Schreib-Rechten die dümmste Wahl die man treffen kann, da hier jeder Benutzer der sich mit einem Kennwort angemeldet hat, sowie auch integrierte Systemkonten, Gast-Konten, etc. ohne Passwort inbegriffen sind. Entgegen dem, was ich früher mal dachte, heißt es aber nicht, dass man sich auch ohne ein solches Benutzerkonto den Inhalt des Ordners ansehen könnte. Leider wird diese Einstellung aus Bequemlichkeit oft eingestellt und somit haben viel zu viele Konten Zugriff auf die Freigabe.
Die Gruppe „Domain Users“ mit vollen oder mit Lese-/Schreib-Rechten ist als Wahl etwas besser, aber so hat prinzipiell immer noch jeder Domänenbenutzer Zugriff. Deshalb sollte man für jede Anwendung eine eigene Gruppe in der Domäne anlegen. Man kann diese z. B. mit „ACL_SauteureSoftware1“ (ACL für Access Control List) benennen und dort nur die User reinschmeißen, die auch wirklich Zugriff auf diese Software bekommen sollen.
Es macht dann Sinn einen eigenen Benutzer für die Software-Firma anzulegen. Dieser, in meinem Beispiel „XYZ“ genannte Benutzer, kommt dann in die ACL-Gruppe, in meinem Beispiel „ACL_SauteureSoftware1“. Nun muss man diesen Benutzer noch aus der Gruppe „Domain Users“ rausschmeißen, nachdem man zuvor die Primärgruppe auf die eben erwähnte ACL-Gruppe abgeändert hat. Dadurch stellt man sicher, dass der Benutzer nicht doch irgendwo im Netzwerk Zugriff hat, denn im Normalfall taucht die Gruppe „Domain Users“ überall auf.
Wenn keine ACL-Gruppen zum Einsatz kommen sollen und der Benutzer direkt in der Ordnerfreigabe angegeben werden soll, dann kann man die Gruppe „Domain Users“ nicht entfernen, da ein Benutzer mindestens einer Gruppe zugeordnet sein muss. In diesem Fall erstelle man einfach die Gruppe „ACL_OhneRechte“ oder so ähnlich und weise diese dem Benutzer als Primärgruppe zu und schmeiße dann „Domain Users“ raus. Da diese neue Gruppe nirgendwo in irgendwelchen Sicherheitseinstellungen auftaucht, kann mit dem Benutzer auch in diesem Fall nicht wirklich etwas passieren.
