IT-Dokumentation - Der Blog

Direkte Berechtigungen aufspüren

Di, 3. August 2021

Ein modernes IT-System erlaubt es uns, alle möglichen Sicherheitsvorkehrungen fein granular einzustellen. Verzeichnisstrukturen werden vorgegeben und deren Benennung mit ausgeklügelten Bezeichnungen ausgestattet. In einigen Betrieben gibt es sogar mehr Gruppen als Mitarbeiter und die Zugehörigkeit wird von der ersten Minute an genauestens festgelegt. Und mittels der „Group policies“ garnieren wir die Berechtigungen und Einstellungen noch mit dem berühmten Sahnehäubchen.

Mal ein Auge zudrücken

In vielen Unternehmen gibt es aber auch Menschen, denen dieses „Schubladendenken“ gar nicht zusagt. Dann strömen diese Menschengruppen zur IT-Abteilung, präsentieren vielleicht auch noch ein extra Tässchen Kaffee aus dem Handgelenk und schreiten mit einem breiten Grinsen auf den IT-Verantwortlichen zu. Gut, zumindest das breite Grinsen ist mit der derzeitigen Maskenpflicht wohl eher verschwendete Liebesmüh.

Dem wahren Ziel tut das allerdings keinen Abbruch. Denn schon kurz nach den ersten Floskeln über das Wetter oder dem neuen Firmenwagen kommt der freundliche Mitarbeiter auch schon zum Kernpunkt. „Ich benötige umgehend eine Berechtigung auf Verzeichnis XY. Ich benötige das, weil ich *beliebigen Grund einfügen* unbedingt haben muss und wir sonst *beliebige fatale Folgen einfügen* und unser Chef *beliebige dreiste Lüge einfügen*.“

Ach kommt, die Kollegen kennen wir Administratoren. Wir haben das schon im ersten Monat durchschaut und genauso wie damals lassen wir auch heute den Kollegen eiskalt damit abblitzen. Natürlich freundlich, wie gehabt und unter Berücksichtigung der firmeninternen Regelungen, den Richtlinien der Geschäftsführung und/oder der direkten Weisung vom Chef persönlich. Geht nicht.

Bei den meisten Kollegen funktioniert dies nach wie vor. Sie wenden sich an ihre Vorgesetzten und diese geben dann eine Gruppenzugehörigkeit frei. Im Grunde bekamen alle das, was sie wollten. Aber eben nur über den offiziellen Weg.

Ein Traum, wenn es immer so wäre

Natürlich bewegen wir uns nicht in einer Traumwelt. Denn in der würde es immer so ablaufen, wie oben beschrieben. Denn wie sollte es auch anders sein – die IT-Abteilung ist nicht alleiniger Herrscher über die IT. Da gibt es mindestens noch andere Abteilungs- oder Teamleiter. Oder, wenn wir den Teufel gleich richtig an die Wand malen wollen, den Chef, der uns direkt die Weisung gibt. Bester Freund vom Boss, enger Mitarbeiter der Geschäftsführung, streng geheime Abteilung, wo niemand weiß, was die machen? Spielt keine Rolle mehr. Es kann sich selbst jeder einen Grund raussuchen, warum „von Oben“ eine Eingabe kam, um eine direkte Berechtigung auf irgendeine Ressource auszustellen. Gibt es einfach, damit müssen wir leben.

Zeit ist relativ

Obwohl zumeist die Worte „vorübergehend“ oder „nur für ein paar Tage“ die Aufforderungen begleiten, werden die Anforderungen in den meisten Fällen mit „ich melde mich, wenn ich es nicht mehr brauche“ abgeschlossen. Das Dilemma ist perfekt. Genauso wenig, wie ich die 20 Euro, die ich meinem Bruder kurz geliehen habe, nicht mehr wiedersehe, kommt dieser „Kollege“ wieder mit den Worten „Ich habe alles erledigt, ihr könnt die Berechtigung wieder rausnehmen.“

Schlimm, wenn es nur vergessen wird. Katastrophal, wenn der Kollege die Abteilung gewechselt hat und wir uns im Glauben befinden, dass mit den Gruppenzuweisungen alles erledigt ist. Die direkte Berechtigung ist ja auch schon wieder zwei Jahre her, die hat inzwischen niemand mehr auf dem Zettel.

Niemand?

Doch, wir haben es auf dem Zettel. Oder besser in einem eigenen Bericht in Docusnap. Damit können wir nicht nur einmal, sondern regelmäßig die Berechtigungen kontrollieren. Exportiert man diese Daten nach Excel, können mit einfachen Filtern die direkten Berechtigungen angezeigt werden.

Wie einfach dies in Docusnap funktioniert, zeigen wir in unserem kurzen Video: