create user and add to group

Von Nina Wagner technology 8 Min. Lesezeit
create user and add to group

Stell dir vor, es ist Freitagnachmittag, 16:30 Uhr. Ein neuer Entwickler fängt am Montag an, und dein Ticket-System quillt über. Du hast es eilig. Du öffnest das Terminal oder die Admin-Konsole und denkst dir: „Ich mache das schnell manuell.“ Du führst Create User and Add to Group aus, gibst dem neuen Kollegen die Standardrechte der Entwicklergruppe und vergisst die Sache. Drei Monate später stellt sich bei einem Audit heraus, dass dieser Benutzer durch die Gruppenvererbung Zugriff auf das Produktions-Repository hatte, obwohl er nur am Frontend arbeiten sollte. Ein falscher Befehl, eine falsch konfigurierte Gruppe, und plötzlich hast du ein Sicherheitsleck, das dich Wochen an Aufräumarbeit kostet. Ich habe das bei mittelständischen Unternehmen gesehen, die dachten, sie hätten alles im Griff, bis ein einziger kompromittierter Account das gesamte interne Netzwerk lahmlegte, weil die Gruppenrechte viel zu weit gefasst waren.

Der Mythos der manuellen Schnelligkeit bei Create User and Add to Group

Der größte Fehler, den Administratoren machen, ist der Glaube, dass manuelle Eingriffe Zeit sparen. Das Gegenteil ist der Fall. Wer einen Benutzer anlegt und ihn händisch einer Gruppe zuweist, schafft Inkonsistenzen. In meiner Laufbahn war das oft der Anfang vom Ende einer sauberen Systemstruktur. Jemand vergisst einen Parameter, ein anderer verwendet eine unterschiedliche Namenskonvention.

Wenn du das Keyword Create User and Add to Group als rein technischen Schritt betrachtest, übersiehst du die organisatorische Komponente. Ein Benutzer ist nicht nur ein Eintrag in einer Datenbank; er ist ein Bündel an Berechtigungen. Wer manuell arbeitet, dokumentiert meistens schlecht. Wenn der Mitarbeiter das Unternehmen verlässt, weiß niemand mehr genau, in welchen Untergruppen er steckte. Das Ergebnis sind „Zombie-Accounts“, die jahrelang aktiv bleiben und Tür und Angel für Angriffe öffnen.

Ich erinnere mich an einen Fall in München, bei dem ein Admin hunderte User über ein schlecht geschriebenes Bash-Skript angelegt hatte. Er dachte, er sei effizient. Doch das Skript prüfte nicht, ob die Gruppen überhaupt existierten. Die Fehlermeldungen wurden ignoriert. Am Ende hatten wir tausend User ohne korrekte Zuordnung, was die gesamte Softwareverteilung der Firma blockierte. Der finanzielle Schaden durch den Stillstand der Entwicklungsabteilung für zwei Tage war immens.

Warum statische Gruppen dein größtes Risiko sind

Viele Admins legen Gruppen an wie Aktenordner im Schrank. Einmal erstellt, bleiben sie ewig bestehen. Das Problem ist, dass Projekte dynamisch sind, Gruppenberechtigungen aber oft starr bleiben. Wenn du jemanden einer Gruppe hinzufügst, gibst du ihm oft implizit Rechte, die er gar nicht braucht. Das Prinzip der geringsten Privilegien wird hier mit Füßen getreten.

Anstatt User einfach in eine globale „Admin“-Gruppe zu werfen, müssen wir über funktionale Rollen sprechen. Wer den Prozess nur stur nach Schema F abarbeitet, baut sich eine Schatten-IT auf. In der Praxis bedeutet das: Der User braucht eigentlich nur Zugriff auf den Drucker und das interne Wiki, landet aber in einer Gruppe, die auch Schreibrechte für die Serverkonfiguration hat. Warum? Weil es „einfacher“ war, die bestehende Gruppe zu nehmen, anstatt eine neue, feingliedrige Struktur aufzubauen.

Ich habe Firmen gesehen, die Zehntausende Euro für externe Berater ausgeben mussten, nur um ihre Active Directory-Struktur zu entwirren. Alles nur, weil am Anfang jemand dachte, dass ein paar große Gruppen ausreichen würden. Das ist kein technisches Problem, sondern ein Denkfehler in der Architektur.

Automatisierung ist kein Luxus sondern eine Überlebensstrategie

Wer heute noch ohne Infrastructure as Code arbeitet, spielt mit dem Feuer. Ein manueller Prozess ist nicht reproduzierbar. Wenn dein Server morgen abraucht, wie lange brauchst du, um alle 500 User mit ihren exakten Gruppenmitgliedschaften wiederherzustellen? Wenn du „Ich weiß es nicht“ antwortest, hast du ein Problem.

Der Unterschied zwischen Skripting und Orchestrierung

Es gibt einen massiven Unterschied zwischen einem simplen Shell-Skript, das Befehle abfeuert, und einem System wie Ansible oder Terraform. Ein Skript ist dumm. Es führt Befehle aus, egal ob das System danach in einem konsistenten Zustand ist oder nicht. Eine echte Orchestrierung hingegen prüft den Ist-Zustand gegen den Soll-Zustand.

Ein typisches Szenario aus der Realität: Ein Admin schreibt ein Skript, um User zu löschen. Das Skript löscht den User, aber nicht seine Gruppenmitgliedschaften in verknüpften Systemen. Monate später tauchen Geister-Einträge auf, die Logfiles verstopfen und Sicherheits-Scans triggern. Professionelle Lösungen verhindern das, indem sie den gesamten Lebenszyklus eines Accounts betrachten, nicht nur den Moment der Erstellung.

Die Falle der Standard-Berechtigungen

Ein weit verbreiteter Irrtum ist, dass „Default-Gruppen“ harmlos sind. In vielen Linux-Distributionen oder Cloud-Umgebungen landen neue User automatisch in Gruppen, die mehr dürfen, als sie sollten. Wenn du den Vorgang Create User and Add to Group ausführst, ohne die Standardmaske deines Systems zu kennen, schenkst du jedem neuen Mitarbeiter vielleicht gerade sudo-Rechte oder Zugriff auf sensible System-Logs.

In meiner Zeit als System-Auditor war das erste, was ich prüfte, die /etc/group oder die Gruppenrichtlinien in Windows. Es ist erschreckend, wie oft ich dort Namen fand, die schon seit zwei Jahren nicht mehr im Unternehmen waren, aber immer noch Zugriff auf geschäftskritische Daten hatten. Das passiert, wenn man sich auf die Automatismen der Software verlässt, ohne sie zu hinterfragen.

Betrachten wir den Vorher-Nachher-Vergleich in einem realen Betriebsszenario:

Früher lief es so ab: Ein Ticket kommt rein. Der Admin loggt sich per SSH auf dem Server ein. Er tippt die Befehle einzeln ein. Er vertippt sich beim Gruppennamen, korrigiert es, vergisst aber, die erste, falsche Gruppe wieder zu entfernen. Der User hat nun Zugriff auf „Entwickler“ und versehentlich auf „Personalwesen“, weil die Gruppennamen ähnlich klingen. Der Admin merkt es nicht. Der User wundert sich, sagt aber nichts, weil er jetzt Gehaltslisten sehen kann. Das ist der klassische Weg in die Katastrophe.

Heute sieht der richtige Prozess so aus: Der Admin trägt den neuen Namen in eine zentrale YAML-Datei ein. Ein automatisierter Workflow startet. Das System validiert, ob der Gruppenname existiert und ob der anfordernde Admin überhaupt berechtigt ist, diese Zuweisung vorzunehmen. Das System legt den User an, weist die Gruppe zu und schreibt einen fälschungssicheren Audit-Log. Wenn der User in die falsche Gruppe rutscht, sieht man sofort, wer die Datei geändert hat. Es gibt kein Vertippen mehr, keine manuellen Fehler und vor allem keine vergessenen Altlasten.

Warum die Namenskonvention über deinen Erfolg entscheidet

Es klingt trivial, aber falsche Namenskonventionen kosten bares Geld. Wenn Gruppen „Projekt1“, „Projekt_Neu“ und „Projekt_Final“ heißen, blickt nach sechs Monaten niemand mehr durch. In einem Unternehmen, das ich beraten habe, gab es drei verschiedene Gruppen für die Buchhaltung, weil jeder Admin sein eigenes Süppchen kochte. Neue Mitarbeiter wurden mal der einen, mal der anderen Gruppe zugestimmt. Das führte dazu, dass hälftig Rechnungen nicht freigegeben werden konnten, weil die Berechtigungen fehlten.

Eine klare Struktur muss von Anfang an feststehen. Bevor du den ersten User anlegst, musst du wissen, wie die Gruppenhierarchie aussieht. Das spart dir die Zeit, die du sonst mit Fehlersuche verbringst, wenn mal wieder ein Zugriff verweigert wird, obwohl der User „doch in der richtigen Gruppe ist.“

Identitätsmanagement ist kein einmaliges Projekt

Viele denken, wenn die User einmal angelegt sind, ist die Arbeit getan. Das ist ein gefährlicher Trugschluss. User ziehen um, wechseln die Abteilung oder beenden ihre Tätigkeit. Ein System, das nur das Hinzufügen beherrscht, aber kein sauberes Offboarding oder Rechte-Review, ist wertlos.

Ich habe erlebt, wie ein ehemaliger Werkstudent nach seinem Abschluss immer noch Zugriff auf den Haupt-Fileserver hatte, weil er in einer Gruppe vergessen wurde, die eigentlich nur für festangestellte Ingenieure gedacht war. Er konnte von seinem neuen Job bei einem Konkurrenten aus theoretisch alle Blaupausen herunterladen. Das ist kein technisches Versagen der Software, sondern ein prozessuales Versagen der Administration. Wer sich nicht angewöhnt, Gruppenmitgliedschaften regelmäßig zu prüfen (Attestation), handelt fahrlässig.

Hier ist eine Liste von Punkten, die du sofort prüfen solltest:

Nicht verpassen: diesen Beitrag
  • Gibt es eine schriftliche Richtlinie, welche Gruppe welche Rechte hat?
  • Werden Gruppenmitgliedschaften automatisch entzogen, wenn ein Vertrag ausläuft?
  • Existiert ein Protokoll, das jede Änderung an Benutzerrechten mit Zeitstempel speichert?
  • Sind die Gruppen so benannt, dass ein Außenstehender ihre Funktion sofort versteht?
  • Gibt es eine Trennung zwischen administrativen Gruppen und Benutzergruppen?

Wenn du mehr als zwei dieser Fragen mit „Nein“ beantwortest, ist dein aktuelles System eine tickende Zeitbombe.

Der Realitätscheck

Kommen wir zum Punkt: Erfolg in der Systemadministration hat nichts mit komplexen Skripten oder teurer Software zu tun. Es geht um Disziplin. Die Wahrheit ist, dass die meisten Admins an ihrer eigenen Bequemlichkeit scheitern. Es ist verlockend, die Abkürzung zu nehmen, aber diese Abkürzung führt fast immer in eine Sackgasse aus technischer Schuld und Sicherheitsrisiken.

Es gibt keine magische Lösung, die dir die Arbeit abnimmt, eine saubere Berechtigungsstruktur zu entwerfen. Das erfordert Gehirnschmalz und die Bereitschaft, Nein zu sagen, wenn jemand „schnell mal“ Zugriff auf alles will. Du wirst Fehler machen, das ist sicher. Aber sorge dafür, dass diese Fehler in einer Testumgebung passieren und nicht in deinem produktiven Kernsystem. Wer glaubt, er könne Identitätsmanagement nebenbei erledigen, hat den Ernst der Lage nicht verstanden. Es ist das Fundament deines gesamten Netzwerks. Wenn das Fundament wackelt, bricht irgendwann das ganze Haus zusammen. Setz dich hin, plan deine Gruppen sauber, automatisiere den Prozess und hör auf, Dinge manuell im Terminal zu „fixen“. Das ist der einzige Weg, wie du langfristig ruhig schlafen kannst.

NW

Nina Wagner

Nina Wagner verbindet redaktionelle Sorgfalt mit erzählerischer Klarheit und macht relevante Themen greifbar.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap