Effektive Berechtigungen verstehen

Wie entstehen effektive Berechtigungen? Welche Faktoren werden in Docusnap365 berücksichtigt – und welche nicht?

Einführung

In komplexen IT-Umgebungen reicht es nicht aus zu wissen, welche Rechte direkt vergeben oder geerbt wurden – entscheidend ist, was am Ende wirksam ist. Docusnap365 ermittelt die effektiven Berechtigungen eines Benutzers, indem alle relevanten Einflussfaktoren zusammengeführt und ausgewertet werden.

Was sind effektive Berechtigungen?

Die effektiven Berechtigungen eines Benutzers oder einer Gruppe ergeben sich aus der Kombination mehrerer Ebenen:

  1. Freigabeberechtigungen

    • Steuern den Zugriff auf Netzwerkfreigaben (\\server\share)
    • Wirken wie ein Limit: Ein NTFS-Vollzugriff greift nicht, wenn die Freigabe nur „Lesen“ erlaubt
  2. NTFS-Berechtigungen

    • Direkt gesetzte (explizite) Rechte auf einem Ordner oder einer Datei
    • Geerbte Rechte von übergeordneten Objekten
  3. Gruppenzugehörigkeiten

    • Direkte und verschachtelte Gruppenmitgliedschaften werden vollständig aufgelöst
    • Inklusive Foreign Security Principals, sofern auflösbar
  4. Vererbungskontext

    • Ob und wie Berechtigungen weitergegeben oder durchbrochen werden
    • Kombination mit vererbbaren Rechten (z. B. „Nur dieser Ordner“, „Ordner, Unterordner und Dateien“)

Docusnap365 wertet alle diese Ebenen aus und berechnet daraus die tatsächliche Wirkung – pro Prinzipal und Verzeichnisebene.

Was wird berücksichtigt?

In der Berechnung enthalten:

  • NTFS-ACLs inkl. explizit und geerbt
  • Gruppen und verschachtelte Gruppen
  • Vererbungsinformationen (auch deaktivierte Vererbung)
  • Freigaberechte
  • Aufgelöste SIDs (inkl. Foreign Security Principals, wenn AD-Daten verfügbar)
  • Gültigkeit von Benutzern (z. B. deaktivierte Konten)

Berechtigungsherkunft in Docusnap365

Mit der neuen Funktion Berechtigungsherkunft wird in Docusnap365 nicht mehr nur das effektive Gesamtrecht ermittelt, sondern auch transparent aufgezeigt, wie dieses Recht zustande kommt.

Rückverfolgung der Rechte Docusnap365 verfolgt dabei die gesamte Kette zurück:

  • Benutzer → Gruppenmitgliedschaften (z. B. Domänen- oder AD-Gruppen)
  • Gruppen → Verzeichnisse/ACLs
  • Vererbungen und explizite Einträge auf Ordnerebene
  • Blockierte oder aktive Vererbung

Visualisierte Berechtigungswege Die Berechtigungswege werden visuell dargestellt, sodass auf einen Blick erkennbar ist:

  • welche Gruppen einem Benutzer ein Recht verschaffen,
  • welche ACL-Einträge auf welchem Ordner wirken,
  • ob eine Vererbung blockiert oder aktiv ist,
  • und schließlich, wie daraus das effektive Gesamtrecht berechnet wird.

Mehr Transparenz für Administratoren

Das Ergebnis ist maximale Transparenz und Nachvollziehbarkeit:
Administrator:innen sehen nicht nur, dass ein Benutzer ein bestimmtes Recht hat, sondern auch über welchen konkreten Pfad es ihm zugewiesen wurde.

Damit wird eine der größten Herausforderungen in der Berechtigungsanalyse adressiert – die Rückverfolgung komplexer Rechtevererbungen in Active Directory und NTFS-Strukturen.

Beispiel: Unterschiedliche Herkunft, gleiche Wirkung

Ein Benutzer kann über mehrere Wege die gleichen effektiven Rechte erhalten:

  • Direktes NTFS-Recht („Ändern“) auf einem Ordner
  • Gruppenzugehörigkeit in einer AD-Gruppe, die „Ändern“ erbt
  • Kombination aus „Lesen“ per NTFS + „Schreiben“ per Freigabe

Docusnap365 berechnet aus diesen Pfaden das effektive Gesamtrecht und stellt es tabellarisch dar.