«

»

Einführung eines IDM – Arbeitsanleitung

1. Projekt erstellen und Verzeichnisse einlesen

Neues Projekt anlegen – Verzeichnisse und Berechtigungen einlesen

In migRaven wird immer mit Projekten gearbeitet. Ein Projekt ist die logische Einheit, die bearbeitet werden soll. Z.B. ein Share oder einer Verzeichnis unterhalb eines Shares. Am Besten immer der Punkt, der auch bei den Usern gemountet oder im DFS eingebunden wird. Dadurch wird sichergestellt, dass alle Berechtigungen – einschließlich der Listberechtigungen – korrekt durch migRaven erstellt werden. Über die Kachel „Projekte verwalten“ kommen Sie an den Punkt, wo neue Projekte angelegt, bearbeitet und gelöscht werden können.

Die Voraussetzung für das Anlegen von neuen Projekten ist, dass mindestens einmal die Domäne gescannt wurde.

Projekt Start
 

Best Practice: Pro Share ein neues Projekt anlegen.

Wenn Sie die einzelnen Shares als eigenständige Projekte definieren, haben Sie Zeit, diese in Ruhe abzuarbeiten und „Step by Step“ die Daten in die neuen Verzeichnisse zu kopieren und diese dann den Usern zuzuweisen.

z.B.  Projekt1: „\\Server\Daten\Verwaltung\Buchhaltung“

Projekt2: „\\Server\Daten\Verwaltung\Einkauf“      etc.

Dann geben Sie den UNC Pfad bis zum einzuscannenden Verzeichnis (Projekt) ein. Bitte prüfen Sie noch einmal, ob dieser Pfad auch erreichbar ist, vor allem auch mit Ihren Anmeldedaten.

Zu beachten: Entsprechend Ihrer Windows-Anmeldung kann MigRaven nur die Verzeichnisse scannen, auf die Sie auch zugreifen dürfen, deshalb müssen Sie das Programm immer als Administrator ausführen.

Scantiefe und Threads zum Scan:

Diese Einstellungen haben entscheidende Auswirkungen auf die Größe der Datenbank und die Geschwindigkeit des Scans.

Scantiefe:

Wählen Sie die Scantiefe nur so tief, wie Sie auch die Berechtigungen in den Ordnern auslesen und setzen wollen. (Je tiefer ein Scan zielt, desto länger dauert der Scan und um so größer wird die Datenbank.)

Threads zum Scan:

Je mehr Threads Sie auswählen, um so höher wird die Prozessorauslastung. Empfehlung: max. 2 Threads/Core. Sie spüren unmittelbar beim Scan, ob es zu viele sind. Es macht sich am Java-Prozess bemerkbar.

 

2. Alle relevanten Verzeichnisse in migRaven identifizieren

 

3. Alle Verzeichnisse exportieren, die in Zukunft berechtigt sein sollen

 

4. Liste in einer Tabellenkalkulation vervollständigen

 

5. Import der Liste in migRaven

 

6. Neue Gruppen in migRaven vorbereiten

In diesem Schritt werden die Gruppen von migRaven innerhalb der Datenbank gebildet und verschachtelt.

Dazu müssen in der Gruppenkonfiguration zuerst folgende Einstellungen festgelegt werden:

  • der Typ der Gruppen
  • die Benennung der Gruppen
  • wie weit sollen Listrechte gesetzt werden
  • der Speicherort (OU) der Gruppen

Der letzte Schritt findet noch nicht im AD bzw. auf dem Filesystem statt, was den Vorteil hat, dass man sich die entstandene Struktur vorher noch einmal in migRaven ansehen und im Bedarfsfall überarbeiten kann, bevor dann:

  • die Gruppen von migRaven automatisch im AD erstellt und verschachtelt werden und
  • die tatsächliche Umsetzung im Filesystem stattfindet.

Hierbei richtet sich migRaven nach der Gruppenkonfiguration (Domänenlokale oder Universelle Gruppen, Listeberechtigungen oder nicht etc.)

 

7. Neue Gruppen im AD erstellen und verschachteln

In diesem Schritt werden letztendlich die Gruppen im AD erstellt und verschachtelt.

migRaven vollzieht dabei folgende Schritte:

  • die Gruppen werden LIVE im AD erstellt,
  • die Berechtigungsgruppen mit den Listgruppen werden verschachtelt und
  • die Benutzer/Gruppen werden in die Berechtigungsgruppen aufgenommen.
  • Die Berechtigungs-/Listgruppen werden automatisch in einer OU abgespeichert, die in der Gruppenkonfiguration definiert werden muss.

Wenn diese Schritte abgeschlossen sind, hat man eine fertige Gruppenstruktur im AD erzeugt, die im nächsten Schritt durch migRaven berechtigt wird. Dabei ist Vorsicht geboten, da nun auch die Zahl der Gruppenmitgliedschaften der User ansteigt. Bitte besonderes Augenmerk auf die Größe des Kerberostokens haben.

Deploy Groups

 

8. Neue Berechtigungen in die Verzeichnisse schreiben lassen

In diesem Schritt werden die neuen Verzeichnisse erstellt und den zuvor erstellten Berechtigungsgruppen Rechte darauf gegeben.

Folgende Schritte werden abgearbeitet:

  • Es werden die Verzeichnisse angelegt, für die Berechtigungen vorgesehen sind.
  • Verzeichnisse, für die Listrechte vorgesehen sind, werden Listgruppen zugeordnet mit Listrechten nur für diesen Ordner.
  • Darunterliegende zu durchquerende Verzeichnisse werden entsprechend unserer Konfiguration mit Berechtigungsgruppen ausgestattet. Die Gruppen sind für den Berechtigungsendpunkt erstellt worden, erhalten hier aber nur Listrechte.
  • Bei berechtigten Verzeichnissen können mehrere Berechtigungsgruppen eingetragen werden, eine mit read-execute-Rechten, eine mit read-write-Rechten und eine mit modify-Rechten. Berechtigungsgruppen mit fullcontrol-Rechten sollten die Ausnahme sein.
  • Diese Rechte werden auf die untergeordneten Verzeichnisse vererbt.
  • Untergeordnete Verzeichnisse können weitere Berechtigungsgruppen erhalten.

9. Ergebniskontrolle

Kontrolle, ob die neu erzeugten Berechtigungen in der Grünen Wiese den Erwartungen entsprechen

Nach dem erfolgreichen Erzeugen der „Grünen Wiese“ durch migRaven sollte das Ergebnis überprüft werden. Das ist am einfachsten möglich, in dem man ein neues Projekt mit dem neu erstellten Verzeichnisbaum erzeugt.

Grüne Wiese
Im „View“-Bereich von migRaven kann dann das Ergebnis betrachtet werden.

 

10. Export der relevanten Daten und Import in Ihr IDM (z.B. FIM, Varonis, Omada)