Modus für Berechtigungsermittlung
Der Modus für Berechtigungsermittlung wird über die Navigationsschaltfläche "Konfiguration" unter dem Knoten "Modus für Berechtigungsermittlung" aufgerufen. Er ermöglicht die Überwachung von Endpunkten, um diejenigen Anwendungen zu identifizieren, die mit Administratorrechten ausgeführt werden. Ein Webdienst erfasst die Daten und leitet sie in den Arbeitsbereich "Ergebnisse der Berechtigungsermittlung" der Application Control-Konsole weiter. Die in den Berichten aufgeführten Daten vereinfachen die Erstellung einer geeigneten Application Control-Konfiguration und können für Berichte herangezogen werden.
Der Modus für Berechtigungsermittlung ist für die Verwendung im Rahmen einer Ermittlungs- oder Pilotphase vorgesehen. Es wird daher eine maximale Endpunktanzahl von 500 empfohlen (je nach Hardwarespezifikation).
In diesem Abschnitt werden folgende Themen behandelt:
- Web Services
- Konfigurieren der Berechtigungsermittlung
- Konfigurieren des Modus für Berechtigungsermittlung
- Konfigurieren von erweiterten Einstellungen für die Berechtigungsermittlung
Web Services
Application Manager Web Services wird im Rahmen der Application Control-Installation auf dem ausgewählten Computer installiert. Es handelt sich dabei um eine einfache Komponente, für die keine üblichen Servertools wie IIS oder SQL Server erforderlich sind. Wenngleich Application Manager Web Services ohne zusätzliche Konfiguration installiert werden kann, ist es möglich, die Standardkonfiguration mithilfe des httpcfg- oder netsh-Tools zu erweitern. Nach der Installation wird der Dienst im Hintergrund ausgeführt, wenn die Berechtigungsermittlung konfiguriert ist. Er überwacht die Aktivitäten auf dem Clientendpunkt und verfolgt bestimmte Daten. Dazu gehören beispielsweise die Anwendungen, die mit Administratorrechten ausgeführt werden, die Namen der Benutzer, die die Anwendung verwenden, und der Name des Endpunkts, auf dem sie gestartet wurde.
Die Ergebnisse dieser Nachverfolgung werden auf der Application Manager-Konsole im Arbeitsbereich "Ergebnisse der Berechtigungsermittlung" angezeigt. Sie können zur Generierung von Berichten und zur Erstellung von Application Control-Konfigurationen herangezogen werden.
Weitere Informationen finden Sie unter Konfigurieren von Web Services.
Konfigurieren der Berechtigungsermittlung
Die Berechtigungsermittlung wird über den Knoten "Modus für Berechtigungsermittlung" konfiguriert, der über die Schaltfläche "Konfiguration" des Navigationsbereichs aufgerufen wird. Sie wird durch Auswählen von "Modus für Berechtigungsermittlung aktivieren" aktiviert.
Inhalt des Arbeitsbereichs "Modus für Berechtigungsermittlung":
-
Setup – In diesem Bereich werden Servername und Speicherort des Application Control Agents für das Kontaktieren des Dienstes bestimmt. Sie haben die Möglichkeit, das Ende der Datenerfassung festzulegen, indem Sie im Feld "Endzeit" Datum und Uhrzeit für das Ende auswählen.
Es wird empfohlen, einen möglichst langen Zeitraum einzustellen, um möglichst viele Anwendungen zu erfassen und dadurch die Kontrolle über die in Ihrem Netzwerk verwendeten Administratorrechte zu optimieren.
- Endpunkte – Hier wählen Sie aus, von welchen Endpunkten Daten erfasst werden sollen. Um Endpunkte aus individuellen Bereitstellungsgruppen oder Arbeitsgruppen auszuwählen, klicken Sie mit der rechten Maustaste in den Bereich "Endpunkte" und wählen Sie Endpunkt hinzufügen aus.
- Schaltfläche "Erweitert" – Mit dieser Schaltfläche konfigurieren Sie die erweiterten Funktionen der Berechtigungsermittlung. Dazu gehören das Konfigurieren des vom Modus für Berechtigungsermittlung verwendeten Kommunikationsports und die Häufigkeit, mit der erfasste Daten zurück an Application Manager Web Services gemeldet werden.
Im Menüband "Modus für Berechtigungsermittlung" können Sie Endpunkte hinzufügen und entfernen, wenn der Knoten "Modus für Berechtigungsermittlung" im Navigationsbereich "Konfiguration" ausgewählt ist. Über die Schaltfläche "Endpunkt hinzufügen" geben Sie Endpunkte an, von denen Daten erfasst werden sollen. Über die Option "Endpunkt entfernen" lässt sich ein markierter Endpunkt entfernen, sodass er nicht mehr überwacht wird.
Konfigurieren des Modus für Berechtigungsermittlung
- Wählen Sie die Navigationsschaltfläche Konfiguration aus.
- Wählen Sie den Knoten Modus für Berechtigungsermittlung aus.
-
Wählen Sie im Arbeitsbereich die Option Modus für Berechtigungsermittlung aktivieren aus.
Die Optionen für den Modus für Berechtigungsermittlung werden aktiviert.
- Navigieren Sie im Feld "Servername" über das Auslassungszeichen (...) zu dem zu verwendenden Application Control-Webserver. Der Name des Servers kann auch manuell in das Feld eingegeben werden.
- Geben Sie im Feld "Endzeit" Datum und Uhrzeit an, zu der das Erfassen von Anwendungsinformationen eingestellt werden soll.
- Um bestimmte Endpunkte für die Überwachung auszuwählen, klicken Sie mit der rechten Maustaste in den Arbeitsbereich "Berechtigungsermittlung" und wählen Sie eine der folgenden Optionen aus:
- Wählen Sie Bereitstellungsgruppe durchsuchen aus, um die zu überwachende Bereitstellungsgruppe ausfindig zu machen.
- Wählen Sie Domäne/Arbeitsgruppe durchsuchen aus, um die zu überwachende Domäne oder Arbeitsgruppe ausfindig zu machen. Falls keine Endpunkte zum Arbeitsbereich hinzugefügt werden, werden Daten von allen konfigurierten Endpunkten erfasst.
- Bei Bedarf können weitere Einstellungen über die Schaltfläche Erweitert konfiguriert werden.
- Speichern Sie die Konfiguration.
Konfigurieren von erweiterten Einstellungen für die Berechtigungsermittlung
Erweiterte Einstellungen sind optional und ermöglichen eine weiterführende Konfiguration der Berechtigungsermittlung. So können die Verbindungstypen und spezifische Kommunikationsports festgelegt werden. Sie können außerdem angeben, wie häufig der Application Control Agent den Analyseserver mit den erfassten Daten aktualisiert, indem Sie das gewünschte Intervall in Minuten eingeben.
-
Wählen Sie im Arbeitsbereich "Modus für Berechtigungsermittlung" die Schaltfläche Erweitert aus.
Das Dialogfeld "Erweiterte Einrichtung der Berechtigungsermittlung" wird angezeigt.
- Wählen Sie eine der folgenden Optionen aus, um Daten vom Endpunkt an den Analysedienst zu senden:
- HTTP – Wählen Sie diese Option aus, um das standardmäßige Anwendungsprotokoll zu verwenden, und geben Sie die erforderliche Portnummer ein.
- HTTPS – Wählen Sie diese Option aus, um das sichere Anwendungsprotokoll zu verwenden, und geben Sie die erforderliche Portnummer ein.
Die Daten werden via SOAP an den Analyseserver gesendet, d. h. es wird HTTP verwendet.
- Um die Häufigkeit zu ändern, mit der der Agent den Application Manager-Webserver aktualisiert, geben Sie das Zeitintervall in das Feld "Aktualisierung alle" ein bzw. wählen Sie den gewünschten Wert aus. Die Standardeinstellung ist 60 Minuten.
- Klicken Sie auf OK.
Beginnen Sie mit der Erfassung der Informationen zur Berechtigungsermittlung, indem Sie die Konfiguration auf den Endpunkten bereitstellen.