«

»

Data Owner Client (Web App)

Mit dem Web Client können nicht nur Administratoren sondern auch berechtigte Nutzer die mit dem Migration Client gescannten AD- und Fileserverdaten auswerten.

WebClient

 

1. Voraussetzungen.

Der Web-Client benötigt einen eigenen Internet Information Service (IIS).
Bei Firefox-Nutzern ist die Intranet-Authentifizierung zu aktivieren.

1.1. Internet Information Service (IIS)

Der IIS muss vor der dem migRaven-Installer installiert werden.
Beschrieben wird das unter „Internet Information Services (IIS) installieren“.

Für den IIS sind die Parameter „Statischer Inhalt“, „ASP.Net 4.6“ (oder höher) und „Windows-Authentifizierung“ zu setzen.

1.2. migRaven Website

Diese Webseite wird bei der Installation der Web App „migRavenWeb“ durch den Installer angelegt.
Das erfolgt automatisch. Daher nur zur Information, wo Sie die Parameter zur Webseite finden.

Sie finden die „migRaven Website“ folgendermaßen:
Computerverwaltung als Admin starten
Dienste und Anwendungen
Internetinformationsdienste (IIS)-Manager
im 2.Fenster rechts daneben:
Baum öffnen
Sites öffnen
Unter „migRaven Website“ finden Sie die eingestellten Parameter.
Eine ggfs. vorhandene „Default Web Site“ sollten Sie löschen.

1.3. „Kernelmodus-Authentifizierung aktivieren“ ausschalten

Für die angelegte Webseite muss die Kernelmodus-Authentifizierung ausgeschaltet werden.

1.4. Firefox NTLM Authentifizierung

Aus Sicherheitsgründen erfolgt bei Firefox die automatische Authentifizierung am Intranet, also an der eigenen Domäne auf den eigenen Windows-Servern, im Gegensatz zu andern Web-Browsern, nicht automatisch.
Diese NTLM und Kerberos Authentifizierung muss bei Firefox erst aktiviert werden.

Am Beispiel für die Domäne „test.local“ sind dazu folgende Arbeitsschritte notwendig:

1. In Firefox ist „about:config“ (ohne Leerzeichen) in die Adresszeile einzugeben.

Sie kommen damit in eine Art Konfigurations-Modus. Daher ist bei den folgenden Schritten äußerste Vorsicht geboten.

2. Suchen Sie folgende vier Parameter und tragen Sie die angegebenen Werte ein, anstelle von „test.local“ Ihre Domäne.

 

NTLM Authentifizierung in Firefox aktivieren
network.negotiate-auth.allow-non-fqdn true (wichtigster Eintrag)
network.automatic-ntlm-auth.allow-non-fqdn true
network.automatic-ntlm-auth.trusted-uris test.local
network.negotiate-auth.trusted-uris test.local

Mehrere Einträge können kommasepariert angegeben werden.

Nach dem Neustart des Browsers erfolgt beim Firefox eine automatische Authentifizierung an Ihrem Intranet über Ihren Internetserver.

1.5. Java Script aktivieren

Normalerweise ist Java Script aktiv. Sollten Sie es ausgeschaltet haben, sehen Sie im Web Client den Rahmen, aber keine Daten.

Am Beispiel des Internet Explorer zeige ich Ihnen, wo Sie diese Einstellung kontrollieren können. Mit Alt-X öffnet sich ein Menü, in dem Sie die Internetoptionen auswählen. Unter dem Reiter Sicherheit wählen Sie den Button „Stufe anpassen…“. In der sich öffnenden Liste finden Sie den Parameter „Active Scripting“ ungefähr in der Mitte. Er muss auf „Aktivieren“ stehen.

 

Java Script aktivieren

Aktivieren von Java Script (Active Scripting) am Beispiel des Internet Explorer.

 

Bei Firefox sollte unter den Einstellungsparametern (about:config) der Parameter „javascript.enabled“ auf „true“ stehen.

Bei Chrome im Einstellungsmenü unter „Einstellungen“ ganz unten „Erweitert“ anklicken. Im Block „Sicherheit und Datenschutz“ dem Eintrag „Inhaltseinstellungen“ folgen. Hier muss JavaScript auf „Zugelassen“ stehen.

2. Data Owner einrichten und berechtigen

Im Migration Client werden die Rechte für die Data Owner-Rollen vergeben, es werden Nutzer zugeordnet und es wird festgelegt, auf welche Shares bzw. Verzeichnisbereiche diese Nutzer Berechtigungen erhalten sollen.

2.1. Rollen berechtigen mit dem Rollen Designer

In der Rollen und Account-Konfiguration des Migration Client werden mit dem Rollen Designer den Rollen, wie Data Owner, Rechte gegeben.

Die Rolle „Enterprise Administrator“ hat standardmäßig alle Rechte.

2.2. Den Rollen Nutzer zuordnen mit der Kontenverwaltung

In der Kontenverwaltung werden den Rollen Nutzer zugeordnet.

2.3. Nutzer auf Verzeichnisse berechtigen mit der Kontext-Funktion „Data Owner auswählen“

Ebenfalls im Migration Client, aber im Ausgangszustand von View- und Drag & Drop-Modus, kann der Administrator berechtigten Nutzern Rechte auf die Verzeichnisse ihres Bereichs erteilen. Dazu werden diese Nutzer mit der Kontext-Funktion „Data Owner auswählen“ als Data Owner auf ihre Bereichs-Verzeichnisse berechtigt.

Mitglieder der Rolle „Enterprise Administrator“ haben automatisch alle Rechte auf die migRaven-Daten.

 

3. Start des Web Client

Aufruf des Webclients
Aufgerufen wird der Web Client in einem Webbrowser mit http://servername. Die Angabe mit IP-Adresse, localhost oder 127.0.0.1 funktionieren nicht.
Als Webbrowser empfehlen wir Crome und Firefox. In MS Edge und Internet Explorer funktioniert der Client bedingt.

Der komplette Servername wird in der Adresszeile angegeben, z.B. http://b-srv250.test.local/  oder kurz  //b-srv250.

 

WebClient

 

4. Auswertungen

Auswertung der migRaven-Daten
Beachten Sie, es können nur die AD-Daten angezeigt und ausgewertet werden, deren Domänen Sie mit migRaven gescannt haben, bzw. nur die Verzeichnis- und Berechtigungsdaten, die mit migRaven-Projekten gelesen wurden. Nur bei speziellen Funktionen, wie dem File Browser, greift migRaven auf das Quellverzeichnis zu um aktuelle Informationen zu liefern.

4.1. Home

Unter Home werden dem Data Owner Projektdaten angezeigt. Aber nur die Projektdaten (d.h. Shares bzw. Verzeichnisse), auf die der Nutzer im Migration Client als Data Owner eingetragen wurde.

4.1.1. Die Pfade

Im Migration Client kann der Administrator für Shares bzw. Verzeichnisse Data Owner eintragen. Diese Berechtigung gilt für Unterverzeichnisse und Daten.
Dieser Data Owner hat nichts mit dem Eigentümer zu tun.

Unter Home sehen Sie, je nach Berechtigung, alle Projekte bzw. nur Ihre Verzeichnisse.
Sie können sich durch die Verzeichnisstruktur bewegen.
In der rechten Spalte sehen Sie zu jedem Verzeichnis ein kleines Säulendiagramm, das die Altersverteilung wiedergibt.

Das erfolgt nach folgenden Zeitintervallen:

– Weniger als 30 Tage
– 1-6 Monate
– 6-12 Monate
– 1-2 Jahre
– 2-4 Jahre
– 4-6 Jahr
– 6-8 Jahre
– 8 und mehr Jahre
Dieses Diagramm gibt Ihnen einen visuellen Eindruck, wie alt die Daten im Verzeichnis sind.
Mit einem Schalter können Sie zwischen Dateianzahl und Dateigröße umschalten. D.h. im ersten Fall werden die Säulen nach der Dateianzahl pro Zeitintervall skaliert, im zweiten Fall nach der Gesamtdateigröße.
Beim Überfahren der Säulen, erhalten Sie die exakten Werte für Dateianzahl und -größe. Zusätzlich wird der auf dem Datenträger belegt Platz angegeben.

4.1.2. Detailinfos

Wenn Sie im linken Fenster einen Pfad markieren, werden Ihnen im rechten Fenster verschiedene Informationen zu diesem Pfad angezeigt.

Berechtigungen
Sie können sich die Berechtigungen für den Pfad anzeigen lassen. Es wird zwischen „Vererbten Berechtigungen“ und „Expliziten Berechtigungen“ unterschieden.

MimeTypes
Hier werden die Dateien nach den Mimetypes, also nach dem Dateityp, unterschieden und die Anzahl und Größe angezeigt.

Altersinformationen
Hier wird, wie beim Säulendiagramm, die Altersverteilung der Dateien wiedergegeben, mit Dateianzahl, -größe und Größe auf dem Datenträger.

Dateibesitzer
Hier werden Dateianzahl und -größe nach Eigentümern angezeigt.

4.1.3. File Browser

Bei den drei Reitern mit Dateiinformationen werden rechts Buttons angezeigt, über die Sie zum File Browser gelangen.
Die Auflistung wird erst mit Betätigen des „Start“-Buttons gestartet. Gegebenenfalls müssen Sie Namen und Password eines berechtigten Accounts angeben. Hier werden nicht nur Datenbankinhalte geholt, hier wird das angeforderte Verzeichnis aktuell gelesen, einschließlich der Unterverzeichnisse und Dateien. Dadurch erhalten Sie wirklich aktuelle Informationen.
Links unten zeigt ein Kreis an, dass die Daten noch gelesen werden.
Wenn die Liste komplett ist, können Sie die Liste durch Anklicken eines Spaltenkopfes nach dieser Spalte sortieren.

4.2. Analytics

4.2.1. AD-Statistics

Oben links können Sie eine der gescannten Domänen auswählen.

Zu dieser werden statistische Daten zu Benutzern, Administratoren, Computern und Gruppen angezeigt.

Durch Klick auf die Gruppen werden alle Gruppennamen eigeblendet, mit Anzahl der Mitglieder und Mitgliedschaften. Zu jeder Gruppe können Sie sich weitere Details anzeigen lassen, wie GUID, SAM AccountName und Beschreibung. Über den Button „In Active Directory View öffnen“ erfahren Sie die Namen der Mitglieder und Mitgliedschaften.

Interessant ist sicher auch, sich alle verwaisten Gruppen anzeigen zu lassen. Das sind die Gruppen, die weder Mitglieder haben noch selbst Mitglied einer Gruppe sind.

4.2.2. Administratability – Administrierbarkeitsanalyse

Hier werden in einem Säulendiagramm pro Verzeichnisebene (Tiefe) die Anzahl der expliziten Berechtigungen angezeigt.

Umso weiter oben die Berechtigungen – umso besser.

Umso tiefer sich explizite Berechtigungen befinden, umso aufwendiger und unübersichtlicher ist das System und umso mehr Listgruppen sind erforderlich.

4.2.3. AD-View

Beim AD-View können Sie sich für ein AD-Objekt, also einen User, eine Gruppe oder einen Computer Mitgliedschaften und Mitglieder (nur bei Gruppen) anzeigen lassen.

Durch Anklicken eines angezeigten Objektes (am Button mit dem Stift) werden für dieses Objekt Mitglieder und Mitgliedschaften angezeigt.

Besonders interessant ist, dass nicht nur direkte Mitglieder und Mitgliedschaften angezeigt werden, sondern auch indirekte, also Mitglieder, die einige Ebenen tiefer liegen, bzw. übergeordnete Gruppen, die mehrere Ebenen höher angeordnet sind.

4.2.4. AD-Search

Beim AD-Search können Sie sich für ein AD-Objekt zahlreiche Details anzeigen lassen. Dazu zählen z.B. SID, Distinguished name, User Principal Name, GUID und das Datum der letzten Anmeldung.

5. Mögliche Probleme beim WebClient

Sie können die Webseite nicht starten.
IIS ist nicht installiert.
– Unter Internetinformationsdienste müssen die Einstellungen „Statischer Inhalt“, „ASP.NET 4.6“ (oder höher) und „Windows-Authentifizierung“ ausgewählt sein.
– „ASP.NET 4.6“ gibt es auch unter .NET Framework 4.6 Advanced Services. Das zu aktivieren reicht nicht. Mindestens „ASP.NET 4.6“ muss unter dem IIS (Internetinformationsdienste, WWW-Dienste, Anwendungsentwicklungsfeatures) aktiviert werden.
– „Kernelmodus-Authentifizierung aktivieren“ ist nicht ausgeschaltet, im IIS für die „migRaven WebSite“.
– Bei Firefox muss die NTLM Authentifizierung eingeschaltet sein.
– Aufruf mit http://servername erforderlich. IP-Adresse, localhost und 127.0.0.1 funktionieren nicht.

 

Es wird die migRaven-Webseite angezeigt, aber ohne Daten.
– Sie müssen in der Projektverwaltung (im View- oder Design&Work-Modus) für Shares oder Verzeichnisse als Data Owner eingetragen sein.
– In der Rollenverwaltung (Konfiguration) müssen dem Data Owner Aktionen (unter Analytics) zugeordnet und in der Kopfzeile mit Kommentar und „Save Changes“ gespeichert sein.
– Unter „Kontenverwaltung“ muss Ihr Account der Data Owner-Rolle zugewiesen sein.
Java Script muss aktiv sein.

 

Bei der AD-Statistik werden die Gruppennamen nicht angezeigt.
Bei den Windows-Features muss unter den WCF-Diensten die HTTP-Aktivierung ausgewählt werden.