«

»

Entfernen von verwaisten SIDs aus NTFS ACLs mit dem ACL-Cleaner für 8MAN (eigenständiges Tool von aikux)

Funktion und Voraussetzung

Details zum Produkt finden Sie unter: http://www.aikux.com/produkte/acl-cleaner/

1. Erzeugung einer Liste mit verwaisten SIDs in 8MAN

Warum: im Filesystem kann es sehr schnell passieren, dass in den ACLs bestimmte Einträge verweisen. Dies ist immer dann der Fall, wenn die zugewiesenen Accounts nicht mehr aufgelöst werden können, weil sie gelöscht wurden. Dies trifft für User- und auch Gruppenaccounts zu. Es gibt keinen Abgleich zwischen dem Filesystem und dem zentralen Active Directory, was der Grund dafür ist. Also die Accounts werden nicht automatisiert aus dem Filesystem entfernt.

Der ACL-Cleaner ist ein Tool aus der Partnerschaft mit 8MAN entwickelt. 8MAN selber hat keine Funktion in einem Arbeitsgang eine Vielzahl von Accounts aus diversen ACLs zu entfernen.

Der ACL-Cleaner löscht die toten SIDs auf der Basis eines 8MAN Reportes aus Ihrem System.
Voraussetzung: CSV Export von 8MAN: „Report über alle unaufgelösten SIDs auf den Fileservern“
Diese Datei kann man sich nur von 8MAN erstellen lassen. 8MAN ist also die Voraussetzung für die Nutzung des ACL-Cleaners.

8MAN

Bild 1: 8MAN erstellt einen Report über die unaufgelösten SIDs. Nach Anklicken des Kästchens erwartet 8MAN ein Zielverzeichnis für die Report-Datei.
In der Datei stehen zwei Arten toter SIDs, zuerst die toten SIDs von nicht mehr bestehenden Berechtigten (Nutzern und Gruppen). Im zweiten Abschnitt findet man die Verzeichnisse und SIDs nicht mehr bestehender Eigentümer (Owner).

tote Berchtigungs-SID

Bild 2: Tote Berechtigungs-SID

 

tote Owner-SID

Bild 3: Tote Owner-SID

 

2. ACL-Cleaner: Installation und Arbeitsschritte

Der ACL-Cleaner wird installiert. Er wird im Verzeichnis „C:\Program Files (x86)\aikux.com\ACL-Cleaner“ abgelegt.
Hier finden Sie auch seine Konfigurationsdatei ACL-Cleaner.exe.config.

Aufrufen muss man den ACL-Cleaner als Administrator.

Lizenz

Bild 4: Aktuelle Version des ACL-Cleaners

 

2.1. Importing

2.1.1.  Mit „Import license“ wird die von uns gelieferte Lizenz-Datei „license.xml“ eingelesen.

2.1.2. Dann kann die von 8MAN erstellt Datei mit den verwaisten SIDs eingelesen werden.
Mit „Import unresolved acl sids“ werden aus dieser Datei die unaufgelösten ACL-SIDs, mit „Import unresolved owner sids“ die unaufgelösten Eigentümer-SIDs. Beide Male wird dieselbe Datei ausgewählt.

2.2. Testing

Beim „Testing“ können Sie eine Zeile (= ein Verzeichnis mit verwaister SID) mit dem kleinen Dreieck am linken Rand markieren und genau diese eine SID im angegebenen Verzeichnis löschen. Auch hier wird wieder unterschieden zwischen ACL-SIDs oder Owner-SIDs. Der zu testete Eintrag wird wirklich gelöscht!

2.3. Cleaning

Beim „Cleaning“ „Clean all“ werden alle importierten verwaisten SIDs gelöscht. Sowohl ACL- als auch Eigentümer-SIDs, sofern Sie beide geladen haben. Nach der Löschung erscheint zusätzlich die Spalte „Message“, in der die Entfernung der verwaisten SIDs bestätigt wird („Done“) oder eine Fehlermeldung erscheint.

2.4. Reporting

Beim „Reporting“ wird die Log-Datei mit den letzten Änderungen im ACL-Cleaner-Programmverzeichnis abgelegt. Haben Sie sowohl ACL-SIDs als auch Owner-SIDs gelöscht, werden zwei Log-Dateien angelegt.

 

3. Probleme und Lösungen

Problem:
Der ACL-Cleaner bringt kein Ergebnis beim Importieren der CSV-Datei.

Lösung 1:
Bei 8MAN wurde das Trennzeichen in der CSV-Datei geändert. Mit dem Parameter „Splitter“ in der Konfigurations-Datei ACL-Cleaner.exe.config kann der Wert angepasst werden:

<add key=“Splitter“ value=“1″/>
Den Wert 1 steht für tabulator-separierte Datei und eine 2 für komma-separierte Datei.

Prüfen Sie bitte das Trennzeichen in der CSV-Datei und vergleichen Sie es mit dem Splitter-Parameter in der Config-Datei.

Lösung 2:
Sollte das Problem weiterhin auftreten, obwohl der Wert zum CSV-Format passt, muss eventuell zum Servernamen in der CSV-Datei noch der Domain-Name im FQDN-Format hinzugefügt werden, z.B. \\aikux.local\server1\… .

 

Problem:

Sie können die CSV-Datei der 8MAN-Version 6.6 (oder höher) nicht in Ihren ACL-Cleaner importieren.

Lösung:

Bei 8MAN wurde das Ausgabeformat der CSV-Datei geändert. Sie benötigen die neue ACL-Cleaner-Version 1.7.1001. Sie können sich die neue Version von ACL Cleaner 1.7.1001 laden. Ihre vorhandene Lizenz-Datei ist auch für die neue Version gültig.

 

Problem:

Die Report-Datei ist leer. Es wurden keine toten SIDs gelöscht.

Lösung:

Ursache kann nach unserer Erfahrung eine „broken ACL“ sein. Dazu ist mit 8MAN nach dieser „broken ACL“ zu suchen und zu beseitigen. Danach kann das Löschen mit dem ACL-Cleaner wiederholt werden.

 

Problem:

Tabellen-Überschriften werden nicht richtig dargestellt

Lösung:

In der Konfigurations-Datei ACL-Cleaner.exe.config können die Tabellen-Überschriften angepasst werde.

„SpitterSIDTableDE1“  für Berechtigungs-SID, deutsch, tabulator-getrennt
„SpitterSIDTableDE2“  für Berechtigungs-SID, deutsch, komma-getrennt
„SpitterSIDTableEN1“  für Berechtigungs-SID, englisch, tabulator-getrennt
„SpitterSIDTableEN2“  für Berechtigungs-SID, englisch, komma-getrennt
„SpitterOwnerTableDE1“  für Eigentümer-SID, deutsch, tabulator-getrennt
„SpitterOwnerTableDE2“  für Eigentümer-SID, deutsch, komma-getrennt
„SpitterOwnerTableEN1“  für Eigentümer-SID, englisch, tabulator-getrennt
„SpitterOwnerTableEN2“  für Eigentümer-SID, englisch, komma-getrennt

 

weitere Informationen