«

»

Data Owner Client (Web App)

Mit dem Web Client können nicht nur Administratoren sondern auch berechtigte Nutzer die mit dem Migration Client gescannten AD- und Fileserverdaten auswerten.

WebClient

 

1. Voraussetzungen.

Der Web-Client benötigt einen eigenen Internet Information Service (IIS).
Bei Firefox-Nutzern ist die Intranet-Authentifizierung zu aktivieren.

1.1. Internet Information Service (IIS)

Der IIS muss vor der dem migRaven-Installer installiert werden.
Beschrieben wird das unter „Internet Information Services (IIS) installieren“.

Für den IIS sind die Parameter „Statischer Inhalt“, „ASP.Net 4.6“ (oder höher) und „Windows-Authentifizierung“ zu setzen.

1.2. migRaven Website

Diese Webseite wird bei der Installation der Web App „migRavenWeb“ durch den Installer angelegt.
Das erfolgt automatisch. Daher nur zur Information, wo Sie die Parameter zur Webseite finden.

Sie finden die „migRaven Website“ folgendermaßen:
Computerverwaltung als Administrator starten
Dienste und Anwendungen
Internetinformationsdienste (IIS)-Manager
im 2.Fenster rechts daneben:
Baum öffnen
Sites öffnen
Unter „migRaven Website“ finden Sie die eingestellten Parameter.
Eine ggfs. vorhandene „Default Web Site“ sollten Sie löschen.

1.3. „Kernelmodus-Authentifizierung aktivieren“ ausschalten

Für die angelegte Webseite muss die Kernelmodus-Authentifizierung ausgeschaltet werden.

1.4. Firefox NTLM Authentifizierung

Aus Sicherheitsgründen erfolgt bei Firefox die automatische Authentifizierung am Intranet, also an der eigenen Domäne auf den eigenen Windows-Servern, im Gegensatz zu andern Web-Browsern, nicht automatisch.
Diese NTLM und Kerberos Authentifizierung muss bei Firefox erst aktiviert werden.

Am Beispiel für die Domäne „test.local“ sind dazu folgende Arbeitsschritte notwendig:

1. In Firefox ist „about:config“ (ohne Leerzeichen) in die Adresszeile einzugeben.

Sie kommen damit in eine Art Konfigurations-Modus. Daher ist bei den folgenden Schritten äußerste Vorsicht geboten.

2. Suchen Sie folgende vier Parameter und tragen Sie die angegebenen Werte ein, anstelle von „test.local“ Ihre Domäne.

 

NTLM Authentifizierung in Firefox aktivieren
network.negotiate-auth.allow-non-fqdn true (wichtigster Eintrag)
network.automatic-ntlm-auth.allow-non-fqdn true
network.automatic-ntlm-auth.trusted-uris test.local
network.negotiate-auth.trusted-uris test.local

Mehrere Einträge können kommasepariert angegeben werden.

Nach dem Neustart des Browsers erfolgt beim Firefox eine automatische Authentifizierung an Ihrem Intranet über Ihren Internetserver.

1.5. Java Script aktivieren

Normalerweise ist Java Script aktiv. Sollten Sie es ausgeschaltet haben, sehen Sie im Web Client den Rahmen, aber keine Daten.

Am Beispiel des Internet Explorer zeige ich Ihnen, wo Sie diese Einstellung kontrollieren können. Mit Alt-X öffnet sich ein Menü, in dem Sie die Internetoptionen auswählen. Unter dem Reiter Sicherheit wählen Sie den Button „Stufe anpassen…“. In der sich öffnenden Liste finden Sie den Parameter „Active Scripting“ ungefähr in der Mitte. Er muss auf „Aktivieren“ stehen.

 

Java Script aktivieren

Aktivieren von Java Script (Active Scripting) am Beispiel des Internet Explorer.

 

Bei Firefox sollte unter den Einstellungsparametern (about:config) der Parameter „javascript.enabled“ auf „true“ stehen.

Bei Chrome im Einstellungsmenü unter „Einstellungen“ ganz unten „Erweitert“ anklicken. Im Block „Sicherheit und Datenschutz“ dem Eintrag „Inhaltseinstellungen“ folgen. Hier muss JavaScript auf „Zugelassen“ stehen.

2. Data Owner einrichten und berechtigen

Im Migration Client werden die Rechte für die Data Owner-Rollen vergeben, es werden Nutzer zugeordnet und es wird festgelegt, auf welche Shares bzw. Verzeichnisbereiche diese Nutzer Berechtigungen erhalten sollen.

2.1.  Mit dem Rollen Designer Rollen berechtigen

In der Rollen und Account-Konfiguration des Migration Client werden mit dem Rollen Designer den Rollen, wie Data Owner, Rechte gegeben.

Die Rolle „Enterprise Administrator“ hat standardmäßig fast alle Rechte.

„Data Owner“ sind Bereichs-Administratoren. Sie können die Berechtigungen in den Verzeichnissen ihres Bereichs einsehen (Home) und Berechtigungen (Migration) vergeben. Für jeden Data Owner muss ein Administrator in der Projektverwaltung (entsprechend Punkt 2.3. Nutzer auf Verzeichnisse berechtigen…) die Verzeichnisse festlegen, die dieser Data Owner bearbeiten darf.

Die Rechte für „Enterprise Administrator“ und „Data Owner“ sind vordefiniert.

2.2. In der Kontenverwaltung den Rollen Nutzer zuordnen

In der Kontenverwaltung werden den Rollen Nutzer zugeordnet.

Benutzer, die als „Enterprise Administrator“ eingetragen werden, können alle statistischen Funktionen im Web Client nutzen.

Benutzer, die als „Data Owner“ eingetragen werden, können die Projekte mit ihren Verzeichnissen einsehen. Für jeden Data Owner müssen in der Projektverwaltung die berechtigten Verzeichnisse markiert werden.

2.3. Mit der Kontext-Funktion „Data Owner auswählen“ Nutzer auf Verzeichnisse berechtigen

Voraussetzung: Redesign-Projekt im Status 0

Ebenfalls im Migration Client, aber im Ausgangszustand von View- und Drag & Drop-Modus, kann der Administrator einen Nutzer als Data Owner auf die Verzeichnisse seines Bereichs berechtigen. Dazu wird dieser Nutzer mit der Kontext-Funktion „Data Owner auswählen“ als Data Owner auf sein Bereichs-Verzeichnisse berechtigt.

Der Data Owner wird damit nicht auf das Fileserver-Verzeichnis berechtigt sondern auf die Projektdaten in der migRaven-Datenbank.

Mitglieder der Rolle „Enterprise Administrator“ haben automatisch alle Rechte auf die migRaven-Daten.

 

3. Start des Web Client

Aufruf des Webclients
Aufgerufen wird der Web Client in einem Webbrowser mit http://servername. Die Angabe mit IP-Adresse, localhost oder 127.0.0.1 funktionieren nicht.
Als Webbrowser empfehlen wir Crome und Firefox. In MS Edge und Internet Explorer funktioniert der Client bedingt.

Der komplette Servername wird in der Adresszeile angegeben, z.B. http://b-srv250.test.local/  oder kurz  //b-srv250.

 

WebClient

4. Auswertungen

Auswertung der migRaven-Daten
Beachten Sie, es können nur die AD-Daten angezeigt und ausgewertet werden, deren Domänen Sie mit migRaven gescannt haben, bzw. nur die Verzeichnis- und Berechtigungsdaten, die mit migRaven-Projekten gelesen wurden. Nur bei speziellen Funktionen, wie dem File Browser, greift migRaven auf das Quellverzeichnis zu um aktuelle Informationen zu liefern.

4.1. Home

Unter Home werden dem Data Owner Projektdaten angezeigt. Aber nur die Projektdaten (d.h. Shares bzw. Verzeichnisse), auf die der Nutzer im Migration Client als Data Owner eingetragen wurde.

4.1.1. Die Pfade

Im Migration Client kann der Administrator für Shares bzw. Verzeichnisse Data Owner eintragen. Diese Berechtigung gilt für Unterverzeichnisse und Daten.
Dieser Data Owner hat nichts mit dem Eigentümer zu tun.

Unter Home sehen Sie, je nach Berechtigung, alle Projekte bzw. nur Ihre Verzeichnisse.
Sie können sich durch die Verzeichnisstruktur bewegen.
In der rechten Spalte sehen Sie zu jedem Verzeichnis ein kleines Säulendiagramm, das die Altersverteilung wiedergibt.

Das erfolgt nach folgenden Zeitintervallen:

– Weniger als 30 Tage
– 1-6 Monate
– 6-12 Monate
– 1-2 Jahre
– 2-4 Jahre
– 4-6 Jahr
– 6-8 Jahre
– 8 und mehr Jahre
Dieses Diagramm gibt Ihnen einen visuellen Eindruck, wie alt die Daten im Verzeichnis sind.
Mit einem Schalter können Sie zwischen Dateianzahl und Dateigröße umschalten. D.h. im ersten Fall werden die Säulen nach der Dateianzahl pro Zeitintervall skaliert, im zweiten Fall nach der Gesamtdateigröße.
Beim Überfahren der Säulen, erhalten Sie die exakten Werte für Dateianzahl und -größe. Zusätzlich wird der auf dem Datenträger belegt Platz angegeben.

4.1.2. Detailinfos

Wenn Sie im linken Fenster einen Pfad markieren, werden Ihnen im rechten Fenster verschiedene Informationen zu diesem Pfad angezeigt.

Berechtigungen
Sie können sich die Berechtigungen für den Pfad anzeigen lassen. Es wird zwischen „Vererbten Berechtigungen“ und „Expliziten Berechtigungen“ unterschieden.

MimeTypes
Hier werden die Dateien nach den Mimetypes, also nach dem Dateityp, unterschieden und die Anzahl und Größe angezeigt.

Altersinformationen
Hier wird, wie beim Säulendiagramm, die Altersverteilung der Dateien wiedergegeben, mit Dateianzahl, -größe und Größe auf dem Datenträger.

Dateibesitzer
Hier werden Dateianzahl und -größe nach Eigentümern angezeigt.

4.1.3. File Browser

Bei den drei Reitern mit Dateiinformationen werden rechts Buttons angezeigt, über die Sie zum File Browser gelangen.
Die Auflistung wird erst mit Betätigen des „Start“-Buttons gestartet. Gegebenenfalls müssen Sie Namen und Password eines berechtigten Accounts angeben. Hier werden nicht nur Datenbankinhalte geholt, hier wird das angeforderte Verzeichnis aktuell gelesen, einschließlich der Unterverzeichnisse und Dateien. Dadurch erhalten Sie wirklich aktuelle Informationen.
Links unten zeigt ein Kreis an, dass die Daten noch gelesen werden.
Wenn die Liste komplett ist, können Sie die Liste durch Anklicken eines Spaltenkopfes nach dieser Spalte sortieren.

4.2. Analytics

4.2.1. AD-Statistics

Oben links können Sie eine der gescannten Domänen auswählen.

Zu dieser werden statistische Daten zu Benutzern, Administratoren, Computern und Gruppen angezeigt.

Durch Klick auf die Gruppen werden alle Gruppennamen eigeblendet, mit Anzahl der Mitglieder und Mitgliedschaften. Zu jeder Gruppe können Sie sich weitere Details anzeigen lassen, wie GUID, SAM AccountName und Beschreibung. Über den Button „In Active Directory View öffnen“ erfahren Sie die Namen der Mitglieder und Mitgliedschaften.

Interessant ist sicher auch, sich alle verwaisten Gruppen anzeigen zu lassen. Das sind die Gruppen, die weder Mitglieder haben noch selbst Mitglied einer Gruppe sind.

4.2.2. Administratability – Administrierbarkeitsanalyse

Hier werden in einem Säulendiagramm pro Verzeichnisebene (Tiefe) die Anzahl der expliziten Berechtigungen angezeigt.

Umso weiter oben die Berechtigungen – umso besser.

Umso tiefer sich explizite Berechtigungen befinden, umso aufwendiger und unübersichtlicher ist das System und umso mehr Listgruppen sind erforderlich.

4.2.3. AD-View

Beim AD-View können Sie sich für ein AD-Objekt, also einen User, eine Gruppe oder einen Computer Mitgliedschaften und Mitglieder (nur bei Gruppen) anzeigen lassen.

Durch Anklicken eines angezeigten Objektes (am Button mit dem Stift) werden für dieses Objekt Mitglieder und Mitgliedschaften angezeigt.

Besonders interessant ist, dass nicht nur direkte Mitglieder und Mitgliedschaften angezeigt werden, sondern auch indirekte, also Mitglieder, die einige Ebenen tiefer liegen, bzw. übergeordnete Gruppen, die mehrere Ebenen höher angeordnet sind.

4.2.4. AD-Search

Beim AD-Search können Sie sich für ein AD-Objekt zahlreiche Details anzeigen lassen. Dazu zählen z.B. SID, Distinguished name, User Principal Name, GUID und das Datum der letzten Anmeldung.

5. Berechtigungsanzeige und -vergabe durch den Data Owner

5.1. Voraussetzungen für den Data Owner

In der Konfiguration muss der Benutzer der Rolle „Data Owner“ zugewiesen sein.

5.2. Der Projekt-Workflow

5.2.1. Verzeichnisse und Berechtigungen einsehen (Home) 

Der Administrator kann einem Data Owner das Recht geben, seine Bereichsverzeichnisse und Berechtigungen einzusehen. Dazu vergibt er nicht das Recht auf die Fileserver-Verzeichnisse sondern auf die von migRaven gescannten Daten. Voraussetzung ist daher, dass der Share mit den gewünschten Verzeichnissen in einem Projekt gescannt wird. Danach kann der Administrator dem Data Owner Rechte auf die Verzeichnisse geben. Mit dem Web Client kann der Data Owner diese Verzeichnisse mit Berechtigungen einsehen. (Step 1 bis 3)

Auf ein Verzeichnis kann nur ein Benutzer als Data Owner berechtigt werden. Auch auf Unterverzeichnisse kann kein anderer Data Owner vergeben werden.

5.2.2. Berechtigungen vergeben und löschen (Migration)

Der nächste Schritt für den Administrator ist das „Design & Work“, mit dem er einen „Sollzustand in Bearbeitung“ erstellt. Auch hier muss der Benutzer als Data Owner auf seine Verzeichnisse berechtigt werden. Der Data Owner erhält damit im Web Client unter dem Menüpunkt „Migration“ die Möglichkeit, nicht nur Berechtigungen einzusehen, sondern auch sie zu verändern. Links kann der Data Owner in der baumartigen Struktur ein Verzeichnis auswählen, rechts werden dazu in untereinander angeordneten Blöcken die expliziten Berechtigten angezeigt. Für jedes Recht wird ein Block dargestellt. Welche Rechte nutzbar sind, hat der Administrator in der Konfiguration des Migration Client eingestellt. Minimal sind es die Rechte „Read and Execute“ und „Modify Plus“.  (Step 1 bis 5).

Auf ein Verzeichnis kann nur ein Benutzer als Data Owner berechtigt werden. Auch auf Unterverzeichnisse kann kein anderer Data Owner vergeben werden.

Benutzer, die als Mitglied einer Gruppe berechtigt sind, können nicht gelöscht werden.

Es können nur Benutzer berechtigt werden, keine Gruppen.

 

Step Akteur Client Funktion Beschreibung
1 Administrator Migration Client Projektstart Im Migration Client muss von einem Administrator ein Projekt gestartet werden, bei dem die Bereichs-Verzeichnisse des Data Owners gescannt werden.
2 Administrator Migration Client Ausgangs-zustand Der Administrator muss in der Projektverwaltung den Benutzer als Data Owner auf seine Verzeichnisse (im Ausgangszustand) berechtigen.+
3 Data Owner Web Client Home Im Web Client kann der Data Owner jetzt unter dem Menüpunkt „Home“ innerhalb des Projekts seine Verzeichnisse und Berechtigungen einsehen.
4 Administrator Migration Client Sollzustand in Bearbeitung Im Migration Client wird vom Administrator über die Funktion „Design & Work“ der „Sollzustand in Bearbeitung“ erstellt. Hier muss er, wie beim Ausgangszustand, den Benutzer als Data Owner auf die Bereichsverzeichnisse berechtigen.
5 Data Owner Web Client Migration Im Web Client kann der Data Owner jetzt unter dem Menüpunkt „Migration“ innerhalb des Projekts seine Verzeichnisse und Berechtigungen einsehen. Aber nicht nur das. Der Data Owner hat hier sowohl die Möglichkeit, Berechtigte zu entfernen, als auch Benutzer zu berechtigen.
6 Administrator Migration Client Sollzustand erstellen Wenn der Data Owner die Berechtigungen seinen Vorstellungen entsprechend vergeben hat, kann der Administrator im Migration Client den „Sollzustand erstellen“. Danach hat der Data Owner keine Einsicht mehr auf die Daten.
7 Administrator Migration Client Deploy… Der Administrator setzt das Projekt mit Deploy Groups und Deploy Data fort und beendet es.

Arbeitsschritte, mit denen einem Data Owner die Möglichkeit gegeben wird, seine Bereichsverzeichnisse und Berechtigungen einzusehen und zu verändern. Diese Möglichkeiten bestehen nur innerhalb eines Projekts (im Migration Client) und bei diesem nur im Status 0.

 

6. Mögliche Probleme beim WebClient

Sie können die Webseite nicht starten.
IIS ist nicht installiert.
– Unter Internetinformationsdienste müssen die Einstellungen „Statischer Inhalt“, „ASP.NET 4.6“ (oder höher) und „Windows-Authentifizierung“ ausgewählt sein.
– „ASP.NET 4.6“ gibt es auch unter .NET Framework 4.6 Advanced Services. Das zu aktivieren reicht nicht. Mindestens „ASP.NET 4.6“ muss unter dem IIS (Internetinformationsdienste, WWW-Dienste, Anwendungsentwicklungsfeatures) aktiviert werden.
– „Kernelmodus-Authentifizierung aktivieren“ ist nicht ausgeschaltet, im IIS für die „migRaven WebSite“.
– Bei Firefox muss die NTLM Authentifizierung eingeschaltet sein.
– Aufruf mit http://servername erforderlich. IP-Adresse, localhost und 127.0.0.1 funktionieren nicht.

 

Es wird die migRaven-Webseite angezeigt, aber ohne Daten.
– Sie müssen in der Projektverwaltung (im View- oder Design&Work-Modus) für Shares oder Verzeichnisse als Data Owner eingetragen sein.
– In der Rollenverwaltung (Konfiguration) müssen dem Data Owner Aktionen (unter Analytics) zugeordnet und in der Kopfzeile mit Kommentar und „Save Changes“ gespeichert sein.
– Unter „Kontenverwaltung“ muss Ihr Account der Data Owner-Rolle zugewiesen sein.
Java Script muss aktiv sein.

 

Bei der AD-Statistik werden die Gruppennamen nicht angezeigt.
Bei den Windows-Features muss unter den WCF-Diensten die HTTP-Aktivierung ausgewählt werden.