«

»

Gruppenrichtlinien-Projekt

Neu ab migRaven-Version 5.0:        Share-Migration über Gruppenrichtlinien

Wir haben eine neue Projektart entwickelt:  die Migration der Berechtigungen über Gruppenrichtlinien !

Dabei werden die Berechtigungen direkt auf dem Quell-Share über Gruppenrichtlinien migriert ohne die Verzeichnisse und Daten zu verändern oder zu kopieren. Es wird kein Ziel-Share angelegt. Der Vorteil dieser Projektart ist, dass die Vergabe der Berechtigungen sehr schnell erfolgt.

Im Unterschied zur Projektart „ReDesign / Ressource scannen“ wird anstelle des „Deploy ACL“ in der Gruppenrichtlinienverwaltung ein Gruppenrichtlinienobjekt angelegt, das die neuen Berechtigungen für den gescannten Share enthält. Um dieses Objekt zu aktivieren, muss der Nutzer es über AD und Gruppenrichtlinienverwaltung mit dem zu migrierenden Server verlinken.

1. Vorteile, Beschränkungen und Funktionen

1.1. Vorteile

Bei dieser Herangehensweise ergeben sich folgende Vorteile:

  • Die Berechtigungen werden über windowseigene systemnahe Funktionen realisiert, die Gruppenrichtlinien.
  • Daher erfolgt die Berechtigungsvergabe sehr schnell. Z.B. ein Windows Filer mit 100.000 Verzeichnissen, 10 Mio Dateien und 300 neuen Berechtigungen =  zwischen 10 und 60 Minuten.
  • Da dies auf dem physikalischen Pfad des Shares (c:\Verzeichnis) erfolgt, entfällt der Prozessschritt über die „Grüne Wiese“.
  • Der für das Kopieren der Daten vorzuhaltender Speicherplatz ist nicht erforderlich!
  • Es erfolgt direkt auf dem produktiven Laufwerk.

1.2. Randbedingungen

Aufgrund der speziellen Funktionsweise ergeben sich einige Randbedingungen:

  • Es können keine Verzeichnisse umgelegt werden, also keine Verzeichnis-Restrukturierung
  • Auch kein Umbenennen oder Verschieben von Verzeichnissen.
  • Die Zielverzeichnisse müssen vorhanden sein. Das ist das Quell-Verzeichnis.
  • Diese Projektart ist nur für die Migration eines vorhandenen NTFS-Shares bzw. -Verzeichnisses nutzbar, nicht für Tabellen-Import und Novell-Migration.
  • migRaven muss das Recht haben und über die technischen Voraussetzungen verfügen, Gruppenrichtlinien anzulegen.

1.3. Nutzbare Funktionen

sind:

  • Migration eines vorhandenen NTFS-Shares bzw. -Verzeichnisses oder eines DFS
  • Tabellen-Modus
  • Drag&Drop-Modus
  • neue Ordner anlegen
  • 8MAN-Kompatibilität herstellen, Anlegen der id.8MAN-Datei

2. Voraussetzungen

2.1. Sicherung der Berechtigungen

Obwohl wir noch keine schlechten Erfahrungen gemacht haben, sollten die Berechtigungen des Quellpfades vor der Migration gesichert werden, z.B. mit icacls.exe.

Beispiel für die Sicherung:                  icacls c:\Daten\Verkauf\* /save aclfile  /T /C

Beispiel für die Wiederherstellung:   icacls c:\Daten\Verkauf\  /restore c:\icacls-Backup\aclfile /T /C

2.2. AD-OU für zu migrierenden Server

Im AD legen wir eine OU an, z.B. „GPO-Projekt“. In diese ziehen wir den zu migrierenden Server.

AD-OU

2.3. Gruppenrichtlinienverwaltung auf Client installieren (RSAT)

Wenn wir mit migRaven auf einem Client arbeiten, müssen wir den Server remote steuern können, zumindest die Gruppenrichtlinien. Dazu installieren wir die Remoteserver-Verwaltungstools (RSAT) von Microsoft für das Client-Betriebssystem ( Windows 7, Windows 8, Windows 8.1, Windows10).

Danach muss der Client neu gestartet werden.

Vom RSAT benötigt migRaven unbedingt die „Tools für die Gruppenrichtlinienverwaltung“.

Kontrollieren Sie in der Systemsteuerung unter Programme, „Windows-Features aktivieren und deaktivieren“ die Einstellungen der Remoteserver-Verwaltungstools. Die „Tools für die Gruppenrichtlinienverwaltung“ müssen vor dem Start von migRaven aktiv sein.

Wird eine neue Windows-Version überinstalliert, muss auch die entsprechende RSAT-Version nachinstalliert werden !

Windows-Features

rsat-ToolsRSAT f.Win10

Aktiviertes Tool für die Gruppenrichtlinienverwaltung in RSAT (Windows 8.1 und Windows 10)

 

3. migRaven

3.1 Projektstart: „G“ für GPO

Start GPO-Projekt

Ein Gruppenrichtlinienprojekt wird mit dem Button „G“ gestartet.

GPO Modus

Bei der Projektbezeichnung ist ein Text anzugeben, der Ihr Projekt charakterisiert.

GPO Pfad

Bei Quellpfad geben Sie Ihren Share oder ein Unterverzeichnis des Shares an. Ein Ziel-Share ist nicht erforderlich. Die Migration erfolgt direkt auf dem Quell-Share. Zuvor die Berechtigungen des Quellpfades zu sichern kann nie verkehrt sein (siehe „2.1. Sicherung der Berechtigungen“).

GPO Zusammenfassung

Beim letzten Reiter sehen Sie eine Zusammenfassung aller Parameter. Mit „Einlesen starten“ beginnen Sie den Scan Ihres Shares.

Die folgenden Arbeitsschritte:

  • Anzeige der gelesenen Struktur (View)
  • Berechtigungsvergabe im Tabellen- oder Drag&Drop-Modus
  • Sollzustand herstellen
  • Deploy Groups

entsprechen den anderen Projektarten.

Erst der nachfolgende Schritt, das „Deploy GPO„, weicht von den anderen Projektarten ab und ist ausschließlich Bestandteil des Gruppenrichtlinien-Projekts.