Berechtigungskonzept

Konfiguration: DOC -> Administration -> Konten -> Konten oder Rollen

Das DriveLock Berechtigungskonzept kann nur im DriveLock Operations Center konfiguriert werden. Die Einstellungen im DOC gelten auch für die DMC.

Benutzerkonten und Berechtigungen können im Menü Administration in der Ansicht Konten definiert werden.

Konten

Ein Konto enthält die sicherheitsrelevanten Daten eines Benutzers und ermöglicht den Zugriff auf DriveLock-Funktionen. Jedem Konto sind Rollen zugewiesen (Rollenzuweisungen), die verschiedene Rechte (Rollenberechtigungen) zum Ausführen von Aktionen beinhalten.

  • Konten im Cloud-Umfeld

    Rollenzuweisungen werden bei den e-Mail-Konten direkt ausgewertet

  • Active Directory-Konten

    Bei Active Directory können Konten sowohl für einzelne Benutzer wie auch für Gruppen angelegt werden. Bei der Anmeldung eines Benutzers werden dessen Active Directory-Gruppen aufgelöst und die Rollenzuweisungen des Benutzers werden mit den Rollenzuweisung für alle gefundenen Gruppenkonten ergänzt.

  • Microsoft Entra ID-Konten

    Die Gruppen und Mitgliedschaften von Microsoft Entra ID können synchronisiert werden. In Kombination mit der Anmeldung per SAML werden die Gruppenzugehörigkeiten des Benutzers von Microsoft Entra ID abgefragt. Dies ermöglicht analog zum Active Directory Rollenzuweisungen auf die Microsoft Entra ID-Gruppen, in denen der Benutzer Mitglied ist.

Rollen und Rollenberechtigungen

  • In einer Rolle werden verschiedene Berechtigungen zusammengefasst. Beim Ausführen von Aktionen prüft DriveLock, ob die benötigten Berechtigungen vorliegen.

  • DriveLock bietet mehrere eingebaute Rollen an (z.B. Supervisor, Administrator). Sie können aber auch eigene Rollen definieren und verwenden.

Rollenzuweisungen

  • Eine Rollenzuweisung verbindet ein Konto mit einer Rolle und optional einem Kontext, der die Anwendung der Rolle und dessen Berechtigungen auf bestimmte Objekte beschränkt.

  • Mögliche Kontexte für Rollenzuweisungen:

    • Global: die Rolle gilt global ohne Einschränkungen auf Objekte

    • OU: die Rolle gilt nur für Computer, die in der ausgewählten Active Directory OU enthalten sind

    • Gruppe: die Rolle gilt nur für Computer, die Mitglied in der angegebenen DriveLock Gruppe sind

    • Richtliniensammlung: die Rolle gilt nur für Richtlinien, die in einer Richtliniensammlung enthalten sind

    Im Computer-Kontext (OU oder Gruppe) sind nur Berechtigungen auf Computer möglich, selbst wenn die Rolle ursprünglich auch Berechtigungen zu anderen Bereichen enthält.
    Ein Kontext auf Richtliniensammlungen erlaubt nur Berechtigungen auf Richtlinien, aber keine andere Objekte.

  • Beispiele:

    • Ein Benutzer mit der Rolle Helpdesk darf im Kontext Global alle Computer und Ereignisse, das gesamte Inventar usw. sehen und auch Richtlinien öffnen (aber nicht speichern).

    • Ein Benutzer mit der Rolle Helpdesk darf im Kontext Active Directory OU nur Computer, Ereignisse usw. sehen, die in der angegebenen Active Directory OU enthalten sind. Dieser Benutzer darf allerdings keine Richtlinien öffnen, da die Rollenzuweisung auf OUs sich nur auf Computer, aber nicht auf Richtlinien bezieht. Eine zusätzliche Rollenzuweisung kann aber hinzugefügt werden, um dies zu ermöglichen.