Das Active Directory von Microsoft

Letzte Bearbeitung: 11.11.2011

Übersicht

Allgemeines

Typische Probleme

Rechte des Betriebsrats

Aktuelle Seminare

  • ---

Literatur

Internet-Adressen

Allgemeines

Netze von mehreren hundert oder gar tausend PCs sind nicht mehr ‚manuell‘ vom Administrator zu verwalten. Dazu braucht man ein geeignet strukturiertes Netzwerk mit einem zentralen Auskunftsdienst (analog zum Telefonbuch), der alle gewünschten Informationen über die PCs und seine Benutzer speichert und in dem sich komfortabel suchen lässt (z.B.: ‚gib mir die Adresse eines Farbdruckers‘).  Die aktuelle Lösung von Microsoft dafür ist das Active Directory (AD). Zur Zeit stellen immer mehr Firmen und Verwaltungen ihre PC-Netze auf AD um.

Im AD gibt es eine zentrale Datenbank, die alle gewünschten Informationen der ‚Objekte‘ (PCs, Drucker, Benutzerkonten, Programme, Freigaben etc.) im gesamten enthält und auf die alle Benutzer zugreifen können. Ein großes Netz lässt sich in Domänen aufteilen und jede Domäne in Organisationseinheiten (OU = Organizational Unit). Damit kann die Aufbauorganisation einer Firma oder eines Konzern nachgebildet werden.

Die einzelnen Benutzer und ihre Berechtigungen lassen sich zentral oder dezentral verwalten mit Hilfe von Gruppenrichtlinien und GPOs (GPO = Group Policy Object). Es lassen sich auf diese Weise zentrale Regeln für das Netz aufstellen, in denen z.B. festgelegt wird, welche Software verfügbar ist oder welche Objekte der Benutzer in seinem Startmenü sieht.

Mit Hilfe der Gruppenrichtlinien lässt sich auch eine zentrale Softwareverteilung (Installation) organisieren. Durch Überwachungsrichtlinien lässt sich eine Vielzahl von Ereignissen im Netz (z.B. der Zugriff auf eine bestimmte Datei) zentral überwachen und protokollieren.

Top

Typische Probleme

Einerseits wird das AD immer mehr zum unentbehrlichen Werkzeug, um ein komplexes PC-Netz aufzubauen und zu administrieren, andererseits können durch unüberlegten oder unzulässigen Einsatz des AD für die Mitarbeiter zahlreiche Probleme entstehen; hier die in der Praxis am wichtigsten:

  • Wenn das AD sehr komplex ist, weil es z.B. konzernweit ausgebaut ist und mehrere Domänen mit tausenden PCs umfasst, besteht die Gefahr, dass sich Fehler einschleichen, weil niemand mehr das ganze überblickt und dadurch jemand Zugriff auf (auch personenbezogene) Daten und Programme erhält, für die er nicht berechtigt ist.

  • In der zentralen Datenbank des AD können beliebige Informationen sowohl über PCs und andere Geräte als auch über die Benutzer im Netz gespeichert werden. So wie ein Telefonbuch nicht nur die Telefonnummer, sondern z.B. auch die Berufsbezeichnung des Teilnehmers enthalten kann, könnte auch das AD zu einem umfassenden Personalinformationssystem ausgebaut werden, so dass jeder im ganzen Netz Zugriff auf alle Daten eines Benutzers hat. Wenn jemand z.B. einen Dienstwagen fährt, könnte man im AD immer den aktuellen km-Stand dieses Dienstwagens speichern. Eine solche umfassende Datenspeicherung, die über das technisch notwendige weit hinausgeht, ist aus Datenschutzsicht sehr bedenklich und muss unbedingt vorher mit dem BR/PR vereinbart werden.

  • Das AD ist eine sehr komplexe Technologie und kann nur dann korrekt verwaltet werden, wenn der Administrator dafür auch umfassend qualifiziert wurde. Zu den Inhalten einer solchen Qualifizierung gehört auch das Wissen über die relevanten Bestimmungen des Datenschutzes und der dafür gemachten Betriebs-/Dienstvereinbarungen.

  • In einem AD-Netz können an zentraler Stelle Protokolle (Log-Dateien) aktiviert werden, die z.B. protokollieren, wann sich ein Benutzer an einem PC an- bzw. abgemeldet hat, wann er auf eine bestimmte Datei zugegriffen hat oder wann er ein bestimmtes Programm aufgerufen hat. Solche Protokolle können zu einer umfassenden Leistungs- und Verhaltenskontrolle der Benutzer in Bezug auf ihre PC-Aktivitäten genutzt werden, was ohne Zustimmung des BR/PR illegal ist.

Um die hier angedeuteten Probleme zu lösen, sollte der BR/PR deshalb eine Betriebsvereinbarung abschließen, die, angepasst an die konkreten betrieblichen Verhältnisse, die 'Spielregeln' für beide Seiten beschreibt, die bei der Nutzung des AD einzuhalten sind.

Top

Rechte des Betriebsrats

Informationsrechte

  • § 80 Abs. 2, § 90 Abs. 1 BetrVG

    • 'Bringschuld' des Arbeitgebers, schon in der Planungsphase; trotzdem sollte sich der BR aktiv Informationen besorgen, am besten über eine ausführliche Frageliste.

    • Der Arbeitgeber muss den BR 'umfassend' informieren, d.h. über (fast) alles, unabhängig davon, ob der BR dabei Mitbestimmung hat. Vorhandene schriftliche Unterlagen muss er vorlegen.

Mitbestimmungsrechte (notfalls über Einigungsstelle erzwingbar)::

  • § 87 Abs. 1 Nr. 1 BetrVG ('Ordnung und Verhalten im Betrieb')

    • V. a. wichtig für Sicherheits- oder Nutzungsrichtlinien u.ä.

  • § 87 Abs. 1. Nr. 6 BetrVG ('Verhaltens- oder Leistungskontrolle')

    • Danach darf der AG nur Kontrollen der MitarbeiterInnen (z.B. mittels der Logdateien des AD) durchführen, wenn dies vorher mit dem BR vereinbart wurde. Da das AD solche Kontrollen immer ermöglicht, bedarf die Einführung eines AD immer der Zustimmung des BR.

  • § 97 Abs. 2 BetrVG ('Initiativrecht bei der Qualifizierung')

    • Der BR kann (notfalls über eine Einigungsstelle) erzwingen, dass der AG eine Qualifizierungsmaßnahme (v.a. für die Administratoren des AD) durchführt, wenn die Kenntnisse der MitarbeiterInnen zur Erfüllung ihrer Aufgaben nicht (mehr) ausreichen.

  • § 98 Abs. 1 BetrVG ('Durchführung von Qualifizierungsmaßnahmen')

    • Wenn eine Qualifizierung stattfindet, hat der BR ein volles MB-Recht bzgl. der Durchführung, z.B. bei der Auswahl der TeilnehmerInnen, beim Zeitpunkt und der Dauer der Maßnahme, beim Inhalt, beim Referenten usw.

Kontrollrechte

  • § 80 Abs. 1 Nr. 1 BetrVG; wichtig:

    • Sehr umfassende Kontrollpflicht des BR.

    • Keine Einschränkungen, auch nicht durch den Datenschutz

    • Bei einer Kontrolle kann der BR z. B. prüfen, was mittels AD wirklich protokolliert wird und wer darauf Zugriff hat.

Top

Literatur

Es gibt zwar sehr viele Bücher zum Active Directory, aber sie behandeln das Thema alle ausschließlich auf technischer Ebene. Literatur, die sich speziell mit den Problemen der Beschäftigten und des Betriebs-/Personalrats auseinandersetzt, ist mir nicht bekannt. Deshalb hier nur folgende allgemeine Hinweise:

  • Zeitschrift: 'Computer und Arbeit', AiB-Verlag, Köln, 85,20 € / Jahr (11 Hefte)

    • enthält immer sehr interessante Info. u. a. zu Internet, speziell für BR/PR – sehr empfehlenswert

  • Däubler: ‚Gläserne Belegschaften? Datenschutz in Betrieb und Dienststelle‘, 5. Auflage, 2010, BUND-Verlag, 49,90 €

    • Eine aktualisierte Neuausgabe des bewährten 'Klassikers' zum Arbeitnehmerdatenschutz - ein MUSS für jeden Betriebsrat, der sich mit Datenschutz befasst.

  • Gola, Wronka: 'Handbuch zum Arbeitnehmerdatenschutz', 5. Auflage, 2010, Datakontext-Fachverlag, 89,00 €

    • Behandelt alle möglichen Aspekte des Arbeitnehmerdatenschutzes, ist in seiner Tendenz aber eher arbeitgeberorientiert.

Top

Internet-Adressen

Auch hier gilt: Es gibt viele Internet-Adressen, News Groups und FAQ-Listen  zum Active Directory, in denen technische Fragen behandelt werden, aber ich kenne keine, die sich mit dem auseinandersetzen, was für die Beschäftigten und die BR/PR besonders wichtig ist. Hier einige Adressen, die zwar nicht auf das AD spezialisiert sind, aber doch mehr oder weniger viele Informationen zum AD aus Sicht des BR/PR und des Datenschutzes enthalten:

  • www.datenschutz.de

    • Ein umfassendes Datenschutzportal, das von den Landes- und dem Bundesdatenschutzbeauftragten betrieben wird. Hier sind zahlreiche, auch aktuelle Informationen, u. a. auch zum Active Directory,  hinterlegt, Dokumente können herunter geladen werden, und zahlreiche Links zu datenschutzrelevanten Internet-Seiten werden angeboten. Sehr empfehlenswert.

  • www.bsi.de

    • Das Internet-Angebot des Bundesamtes für Sicherheit in der Informationstechnik enthält, neben vielen anderen Themen, auch viele Informationen zur Sicherheit eines AD, zur Funktionsweise und Gestaltung eines AD usw. - alles von der Datensicherheit her gesehen

  • www.spionagecheck.de

    • Enthält viele Hinweise, wie der Benutzer bei der Computernutzung im allgemeinen  im speziellen 'ausspioniert werden könnte; teilweise wird auch angegeben, was man eventuell dagegen tun kann. Auch wenn dieses Angebot der Gewerkschaft ver.di bei weitem noch nicht alle Möglichkeiten umfasst, bietet es doch einen beeindruckenden Einstieg in die Thematik; es ist allerdings nicht speziell auf das AD bezogen..

Top