Jednym z trudniejszych wyzwań dotyczących uprawnień użytkowników jest nadmiarowość w ich nadawaniu. Załóżmy, że wszystkie katalogi są poprawnie poukładane i uporządkowane i tylko aktualnie zatrudnieni pracownicy mają do nich dostęp. Ten szczęśliwy stan upada z każdym kolejnym rozpoczęciem się cyklu życia zarządzania kontem użytkownika. Tak, nadal nie nadszedł czas aby spocząć na laurach…
Pomimo faktu, iż rozkład katalogów w coraz większym stopniu odzwierciedla strukturę organizacji (w kontekście stanowisk) i tak nadal brakuje konsekwencji w przypadku kontroli czy na pewno wszyscy pracownicy posiadają odpowiedni poziom uprawnień wymagany do wykonywania swoich obowiązków.
Problem może wynikać z dwóch powodów:
- zbyt małe zasoby ludzkie – kierownictwo posiada zbyt mały zespół przez co konieczne jest nadawanie dużej liczby uprawnień różnym pracownikom w celu zwiększenia wydajności i zastępowalności.
- duża ilość pracowników – zbyt duża liczba zatrudnionych osób może spowodować akumulację uprawnień przy zmianach stanowisk podczas całego okresu zatrudnienia.
Prawidłowe kontrolowanie uprawnień powinno odbywać się na podstawie ról wykonywanych przez pracownika. Nie powinno się nadawać uprawnień bezpośrednio – wypełniane przez pracownika wnioski zawierające określone obowiązki umożliwiają łatwą identyfikację systemów/katalogów do których powinien mieć dostęp. W momencie zmiany roli, równolegle zmienia się uprawnienie, np. kiedy Administrator baz danych zmienia stanowisko na Administratora systemowego, automatycznie traci dostęp do baz danych. Aby taki sposób nadawania uprawnień działał prawidłowo, konieczne jest stworzenie zestawu ról najmniej skomplikowanego jak to możliwe – powinna nastąpić minimalizacja liczby wyjątków oraz należy nałożyć kontrolowany margines błędu w zarządzaniu kontami. Odpowiednio zaimplementowane narzędzia pozwalają na śledzenie w jaki sposób konkretne uprawnienia są wykorzystywane, a co za tym idzie, zmniejsza się ryzyko ich przekroczenia i np. ataku z zewnątrz.