«

»

Integration von 8MAN mit migRaven – Arbeitsanleitung

migRaven und 8MAN (aktualisiert 26.10.2016)

Für die Einführung von 8MAN in Strukturen mit mehr als 150 Users ist es meist notwendig, den vorhandenen Fileserver so vorzubereiten, damit er überhaupt mit 8MAN verwaltet werden kann. 8MAN hat einen hohen Grad an Automatisierung, die sich vollständig um das Management aller benötigten Berechtigungsgruppen kümmert. Aber damit dies funktioniert, müssen alle bisherigen Berechtigungen einmal komplett auf den 8MAN Algorithmus umgestellt werden! Da 8MAN immer nur verzeichnisweise arbeitet, gibt es das Programm migRaven, das hunderte oder tausende Verzeichnisse in einem Arbeitsgang mit neuen 8MAN konformen Berechtigungen versehen kann.

Schema einer Migration eines Fileservers mit migRaven für die Nutzung mit 8MAN

Schema der Migration eines Fileservers mit migRaven für die Nutzung mit 8MAN

            Bild 1: Übersicht

1. Grundlagen

Ziel dieser Anleitung ist es, migRaven und 8MAN so zu konfigurieren, dass 8MAN die von migRaven erstellten Berechtigungsgruppen übernimmt und mit diesen arbeitet. Es geht also darum, die Berechtigungsgruppen in Namen und Ort so zu gestalten, dass 8MAN die von migRaven angelegten Gruppen akzeptiert.

Betroffen sind zahlreiche Parameter zur Namensgestaltung und zum Ablageort der Gruppen. Teils sind in einem Programm feste Werte vorgegeben, die im anderen Programm eingestellt werden müssen. Teils besteht in beiden Programmen Spielraum, sodass mehrere Varianten möglich sind. Nicht alle Varianten sollen hier durchgespielt werden, ich möchte eher eine durchgängige und nachvollziehbare Beispiellösung vorstellen. Ich werde immer, wenn mehrere Varianten zur Auswahl stehen, einen Wert für diese Beispiellösung auswählen, der in beiden Programmen zum gleichen Ergebnis führt.

2. Voraussetzungen

Um die Zusammenarbeit von migRaven und 8MAN zu gewährleisten, müssen folgende Voraussetzungen erfüllt werden:

a)  gleicher Gruppentyp der zu generierenden Berechtigungsgruppen

b)  gleicher Speicherort im AD für diese Gruppen

c)  gleiche Namensbildung der Gruppen in beiden Programmen

d)  wo sollen Listrechte gesetzt werden

e)  Berechtigungsendpunkt schützen (Modify Plus bzw. Eingeschränktes Ändern)

 

Allgemeine Hinweise zu den Voraussetzungen

a) Der Gruppentyp

Bei der Namensbildung sind von migRaven folgende Kurzzeichen für die drei Gruppentypen vorgesehen:
dl– für domänenlokale Gruppen
u – für universelle Gruppen
g – für globale Gruppen.
In dieser Anleitung habe ich die domänenlokale Gruppe als Gruppentyp für die Berechtigungsgruppen ausgewählt. Die Auswahl des Gruppentyps ist bei 8MAN nur anfangs möglich.

b) Der Speicherort

Der Speicherort für die zu erstellenden 8MAN-Gruppen ist eine AD-OU (Organisationseinheit im Active Directory). Die Berechtigungsgruppen sollten von beiden Programmen in der gleichen AD-OU angelegt und genutzt werden. Als Speicherort habe ich die OUs „8MAN\servername“ vorgesehen. In migRaven wird nur test.local/8MAN angegeben, da darunter automatisch eine OU mit dem Servernamen generiert wird. In 8MAN muss OU=win-server,OU=8MAN angegeben werden.

Hier möchte ich ergänzen, dass Berechtigungsgruppen problemlos in andere OUs des Active Directory verschoben werden können. Man kann die Berechtigungsgruppen auch auf mehrere OUs aufteilen. Das ist dann sinnvoll, wenn es Firmenbereiche gibt, die von eigenen Data Ownern administriert werden. Bei einer Firma, die komplett von einem oder mehreren Administratoren betreut wird, sollte man die Berechtigungsgruppen in einer OU zusammenfassen. Bei einer großen Firma, in der Administratoren nur für Teilbereiche zuständig sind, kann die Verteilung der Berechtigungsgruppen auf mehrere OUs sinnvoll sein.

c) Die Namensbildung

Der Gruppenname wird aus mehreren durch Trennzeichen verbundenen Elementen zusammengesetzt.

  1. Präfix – Das Präfix ist frei wählbar, in diesem Beispiel wähle ich  „8M“ als Präfix.
  2. Gruppentyp – Als Gruppentyp wurde oben schon „dl“ für domänenlokale Gruppen favorisiert.
  3. Freigabename – Dieser erscheint zwar nicht notwendig. Er ist aber sehr hilfreich, wenn man im AD nach den Namen der Berechtigungsgruppen sortiert und alle Gruppen einer Freigabe zusammen hat. Problematisch kann es ohne den Freigabenamen werden, wenn man unter verschiedenen Freigaben gleiche Unterverzeichnisse hat. Das führt zu gleichnamigen Berechtigungsgruppen. Und das geht nicht.
  4. Verzeichnis – Es folgt das Verzeichnis, bei migRaven ist es obligatorisch. Es kann durch Freigabe- und Server-Namen erweitert werden.
  5. Suffix für Zugriffsrechte – Als Suffix sind Kurzzeichen für die Zugriffsrechte vorgesehen. Bei migRaven sind diese Kurzbezeichnungen  veränderbar. Deshalb ist es in migRaven möglich, sich an die 8MAN-Einstellungen anzupassen. Dieses Suffix ist wie das Verzeichnis obligatorisch. Folgende Zugriffsrechte sind vorgesehen:
    read-execute  - re
    write         - w
    modify        - m
    modify plus   - mx (wie modify, verhindert aber zusätzlich das Verschieben und Löschen des Berechtigungsendpunktes)
    full control  - f
    Listrechte    - li (wird nicht manuell vergeben)
  6. Trennzeichen – Als Trennzeichen habe ich den Unterstrich gewählt.
  7. Überschreitet der Gruppenname eine Länge von 60 Zeichen, wird der Name auf max. 60 Zeichen gekürzt. Dazu werden die überzähligen Zeichen aus der Mitte des Namens entfernt und durch das Zeichen „…“ ersetzt.

d) Die Listgruppen

Die Ebenen, in denen Listgruppen angelegt werden, müssen bei beiden Programmen gleich sein. Hier möchte ich die Ebenen 1 bis 2 für diese Listgruppen festlegen. Die Erstellung von Listgruppen auf dem Share (Ebene 0) ist bei beiden Programmen nicht möglich.

In 8MAN werden die Listrechte ressourcenbezogen eingestellt.
In migRaven können die Listrechte projektbezogen von der Basiskonfiguration abweichend konfiguriert werden.
Diese Abweichungen können sinnvoll sein, erfordern aber einen erhöhten Koordinierungsaufwand.

e) Modify Plus / Eingeschränktes Ändern

Beide Programme bieten eine Rechtekonfiguration, die das Löschen und Verschieben eines Verzeichnisses, auf das der Benutzer Ändern-Rechte hat, verhindert. Das sollte bei beiden Programmen genutzt werden. Mit den neuesten Versionen nutzen beide Programme das gleiche Verfahren. Das Ändern-Recht auf das zu schützende Verzeichnis wird derart verändert, daß statt der Berechtigung „Löschen“ die Berechtigung „Unterordner und Dateien löschen“ gesetzt wird. Das bewirkt, dass das Verzeichnis, auf dem diese Berechtigung gesetzt wind, nicht gelöscht werden kann.

3. migRaven

a) Namenskonventionen

Von migRaven und 8MAN müssen die Namen der Berechtigungsgruppen genau gleich erzeugt werden.
Konfiguriert wird der Name in migRaven unter „Gruppenkonfiguration“. Interessant für uns sind die Reiter „Type“, „Name“, „List-Recht“ und „Rechte“.

b) Unter dem Reiter „Type“ Gruppentyp und Speicherort

migRaven bietet alle drei Gruppen-Typen an. In diesem Beispiel wähle ich domänenlokale Gruppen aus.

Im Feld „in der OU (kanonischer Name):“ wird die OU im AD festgelegt, in der die Berechtigungsgruppen abgelegt werden. Bei migRaven ist zu beachten, dass unter dem angegebenen Namen automatisch noch eine OU mit dem Server-Namen angelegt wird. Ich trage hier als Beispiel „test.local/8MAN“ ein. Die AD-OU für die gemeinsamen Berechtigungsgruppen ist dann „test.local/8MAN/win-server“.

Es ist möglich, die automatische Erzeugung und Verwendung einer OU mit dem Servernamen unter der angegebenen OU zu verhindern.  Das können Sie in der migRaven.exe.config mit dem Parameter „ServerOU“ einstellen. Aber bei jeder Neuinstallation von migRaven muss der Parameter neu gesetzt werden.

GruKonf Type8

        Bild 2: Gruppen-Typ und Ablageort (AD-OU)

c) Unter dem Reiter „Name“ Gestaltung des Gruppennamens

Als Gruppenpräfix trage ich „8MAN“ ein. Dieses Präfix ist bei migRaven und 8MAN änderbar, er muss nur bei beiden gleich sein. Als Bestandteil des Gruppennamens sind bei migRaven sechs Elemente möglich. Auf „Server“  möchte ich in meinem Beispiel verzichten. Die „Verzeichnisse“ und „Suffix“ sind obligatorisch, also nicht abwählbar.

Ich wähle folgende 5 Elemente, deren Reihenfolge mit dem Button „nach oben“ und „nach unten“ genau so eingestellt werden muss:

  • Präfix (Gruppenpräfix: 8M)
  • Gruppentyp (u,dl,g sind möglich, wir hatten domänenlokal – dl – gewählt)
  • Freigabe
  • Verzeichnisse (obligatorisch)
  • Suffix (obligatorisch, und unter dem Reiter „Rechte“ einstellbar)
  • Als Trennzeichen zwischen den Elementen sind der Unterstrich, der Bindestrich oder das Leerzeichen möglich. Ich wähle als Trennzeichen den Unterstrich ‚_‘.
  • In der Vorschau für die Gruppennamen wird uns angezeigt:  8MAN_dl_<Freigabe>_<Verzeichnisse>_<Suffix>

 Gruppen-Name

       Bild 3: Gruppen-Name

d) Der Reiter „List-Recht“

Unter dem Reiter „List-Recht“ tragen wir ein, in welchen Verzeichnis-Ebenen explizite Listberechtigungsgruppen erstellt werden sollen. Darunter werden die Hauptberechtigungsgruppen des darunter liegenden Berechtigungsendpunktes mit Listrechten verwendet.

Listgruppen wollen wir in der 1. und 2.Ebene bilden.

List-Rechte

        Bild 4: List-Gruppen

e) Unter dem Reiter „Rechte“ werden die Suffixe festgelegt

Die Suffixe sind Kurzzeichen für die Zugriffsrechte der zu erstellenden Berechtigungsgruppen. An diesem Suffix erkennen Sie jederzeit, welches Zugriffsrecht diese Berechtigungsgruppe hat. Unter dem Reiter „Rechte“ können Sie diese Kurzzeichen festlegen. In unserem Fall müssen sie mit denen in 8MAN übereinstimmen. Sie können hiermit migRaven an die Einstellungen in 8MAN anpassen.

Die Suffixe können maximal 4 Zeichen lang sein und gleichnamige Suffixe sind nicht möglich.

Speichern nicht vergessen.

Rechte und Suffixe

Bild 5: Rechte-Suffix

f) Das Modify Plus-Recht

Im Bild 5 sehen wir ein spezielles Recht, das Modify Plus-Recht. Es entspricht dem Modify-Recht, verhindert aber zusätzlich das Verschieben und Löschen des Berechtigungsendpunktes durch den Nutzer mit Modify-Rechten. Dieses Recht können Sie gezielt dort setzten, wo Sie es für notwendig halten. Für die Nutzer-Home-Verzeichnisse ist es unbedingt zu empfehlen.

g) Die Beschreibung zur Berechtigungsgruppe

Aber nicht nur die Namen, auch die Beschreibungen zu den Gruppen müssen gleich sein. Die Berechtigungsgruppen werden im Active Directory abgelegt. Zu jeder Berechtigungsgruppe finden wir eine Beschreibung. Diese ist im AD bei der Gruppe einsehbar. Diese Beschreibung ist nicht nur Kommentar. Sie enthält den Namen des Verzeichnisses, für das die Gruppe angelegt wurde und IDs für die Kennzeichnung. Diese IDs sind für 8MAN wichtig.

Die Verzeichnisangabe im Beschreibungsfeld muss mit dem zukünftigen Pfad übereinstimmen, andernfalls übernimmt 8MAN diese Berechtigungsgruppe nicht.

Beschreibungsfeld im AD

Bild 6: Berechtigungsgruppen mit Feld „Beschreibung“ im AD. Der Verzeichnisname im Beschreibungsfeld muss dem vorgesehenen Pfad entsprechen. Besonders der Freigabename für den Ziel-Pfad (hier gekennzeichnet) muss korrekt sein.

Projekt-Aufruf

Beim Projekt-Aufruf ist der Standardmodus zu wählen, nur bei ihm werden Berechtigungsgruppen angelegt. Weiterhin ist hier ein wichtiger Parameter. „Einrichten für die sofortige Verwendung in 8MAN von protected networks.com“ bewirkt, dass die Beschreibung zur Berechtigungsgruppe 8MAN-konform erstellt wird, sodass die Gruppen als 8MAN-Gruppen erkannt werden. Auch werden durch diese Einstellung die von 8MAN genutzten .id.8MAN-Dateien angelegt.

Projekt-Aufruf

Bild 7: Mit dem Parameter „Einrichten für sofortige Verwendung mit 8MAN…“  8MAN-kompatible Beschreibungen und .id.8MAN-Gruppen anlegen.

4. 8MAN – Konfiguration des Gruppenassistenten für die automatische Verwaltung aller Berechtigungsgruppen

a) Grundeinstellungen

Alle Einstellungen werden im Programm „8MAN-Konfiguration“ durchgeführt. Unter dem Button „Ändern-Konfiguration“ finden wir den für „Fileserver“. Konfigurationen können für jede Ressource separat eingestellt werden. Zu den Grundeinstellungen gelangen wir durch Anklicken von „Fileserver“ im Fenster „Ressourcen“.

Grundeinstellungen

Bild 8: Die Grundeinstellungen erfolgen über den Aufruf der Ressource „Fileserver“.

In den „Grundeinstellungen“ aktivieren wir den Group Wizard. Er legt automatisch Benutzergruppen (8MAN-Gruppen) an, sobald Berechtigungen mit 8MAN geändert werden.

Als Gruppen-Typ wählen wir domänenlokale Gruppen, wie in migRaven. Diese Auswahl ist nur einmalig möglich. Nach dem ersten Speichern der Konfiguration ist der Gruppentyp nicht mehr änderbar!

b) Gruppensuffixe

Im Fenster „Zugriffskategorien“ legen wir die Suffixe der Berechtigungsgruppen fest. Sie müssen mit denen von migRaven übereinstimmen:

f       Vollzugriff
m     Ändern
mx   Eingeschränktes Ändern (wird am Ende der Dokumentation beschrieben), entspricht Modify Plus
re     Lesen und Ausführen
w     Schreiben
li      Ordnerinhalt auflisten (nur dieser Ordner), wird aber nicht manuell vergeben

 

Suffixe

Bild 9: 8MAN-Suffixe

c) 8MAN-Gruppen Namensgestaltung

Die „8MAN-Gruppen“ passen wir denen von migRaven an. Wir tragen folgende gruppenspezifische Zeichen ein: „g“ für globale Gruppen, „dl“ für domänenlokale, „u“ für universelle Gruppen.

Für Listgruppen tragen wir anstelle von „li“ den Gruppentyp ein, den wir für unsere Berechtigungsgruppen vorgesehen haben. In unserem Beispiel also „dl“ für domänenlokale Gruppen.

Als Trennzeichen wählen wir den Unterstrich.

Das Listgruppen-Suffix ändern wir in „li“ anstelle von „lst“.

Unter „Pfadverwendung im Gruppennamen“ konfigurieren wir den Bestandteil „Pfad“ im Gruppennamen. Wir nehmen den „Pfad ab Server“. Sowohl bei migRaven als auch bei 8MAN könnte man den Servernamen hinzufügen. Der Pfadname soll aus „Allen Verzeichnissen“ bestehen. Bei migRaven ist das obligatorisch und eine kürzere Verzeichnis-Form nicht möglich. Überschreitet der Gruppenname die Länge von 60 Zeichen wird er von beiden Programmen auf unter 60 Zeichen gekürzt. Dazu werden Zeichen aus der Mitte des Namens entfernt und durch das Zeichen „…“ ersetzt.

Im Punkt „Namensformat“ bestimmen wir die Reihenfolge der vier Namensbestandteile. Wie in migRaven legen wir folgende Reihenfolge fest:

Gruppenpräfix x Gruppenkennung x Pfad x Kategoriekennzeichen

Als Trennzeichen hatten wir bereits den Unterstrich gewählt.

Wir aktivieren „Namen von 8MAN-Gruppen automatisch bei Änderungsaktionen aktualisieren“.

Die Vorschau für den Gruppennamen zeigt uns „8GP_g_Ordner1_Ordner2_Ordner3_Ordner4_f“. 8GP ist die Variable für das 8MAN-Gruppenpräfix. Im nächsten Abschnitt sehen wir, wie diese Variable gefüllt wird. Das Suffix (hier „f“) variiert in Abhängigkeit von den vorgegebenen Zugriffskategorien.

 

Namensaufbau

Bild 10: Namensbildung in 8MAN

d) Ablageort im AD und Gruppenpräffix festlegen

Active Directory

Bevor wir das Gruppenpräfix festlegen, werden wir im AD die OU für die Berechtigungsgruppen anlegen. Im AD tragen wir unter der Domäne (z.B. test.local) die OU „8MAN“ und darunter die OU „win-server“ ein (OU=win-server,OU=8MAN). Wenn wir zuvor mit migRaven gearbeitet haben, müssten diese OUs schon vorhanden sein.

In 8MAN Ablageort und Gruppenpräfix eintragen

In der Namens-Vorschau von 8MAN wird als Gruppenpräfix „8GP“ angezeigt. Das ist ein Platzhalter, der definiert werden muss. Für die Festlegung des Gruppenpräfix und der AD-OU für die Ablage der Berechtigungsgruppen müssen wir in der „8MAN-Konfiguration“ zu „Scans“ wechseln. Dort bei der Domäne „Details einblenden“. Im letzten Satz, der mit „8MAN-Gruppen werden in…“ beginnt, können wir Ablageort und Präfix der Berechtigungsgruppen, die der Administrator anlegt, festlegen.

Hier ist die OU auszuwählen, unter der 8MAN die erzeugten Berechtigungsgruppen anlegen soll: OU=win-server,OU=8MAN. Das 8MAN-Gruppenpräfix (8GP), mit dem alle Berechtigungsgruppen beginnen sollen, wird in der untersten Zeile festgelegt: 8M.

AD-OU und 8GP

Bild 11: Aufruf und Eintragung des Gruppenablageorts im AD und des 8MAN-Gruppenpräfix (8GP)

Mein Windows-Server hat den Namen „WIN-PLTC1P179JB“. In der Dokumentation verwende ich der Einfachheit halber die Bezeichnung „win-server“ für den Servernamen. Daher der Unterschied zwischen Dokumentation und Screenshots.

e) Listrechte

Im Programm „8MAN-Konfiguration“ unter „Ändern-Konfiguration“ und „Fileserver“ wird eingestellt, wie die Listrechte vergeben werden sollen. Diese werden nicht global sondern für jede Ressource separat eingestellt.

Hier können die Listrechte konfiguriert werden:

Wir sorgen dafür, dass die „Listrechte (Ordnerinhalt anzeigen) automatisch verwaltet“ werden.
Wir wählen den Modus: „Direkte Listgruppen-Mitgliedschaft“.
Listgruppen werden beginnend bei Ebene 1 für 2 Ebenen erzeugt.
Auf den folgenden Ebenen werden die 8MAN-Gruppen der darunterliegenden Berechtigungsendpunkte mit Listrechten immer für das jeweilige Verzeichnis berechtigt.

Listrechte

Bild 12: Aufruf und Einstellungen für die Listgruppenbildung, separat für jede Ressource.

f) Eingeschränktes Ändern

Hier geht es darum zu verhindern, dass der mit modify-Rechten ausgestattete Nutzer nicht seinen Berechtigungsendpunkt verschieben oder gar löschen kann.

Früher hat 8MAN das mit zusätzlichen Listgruppen realisiert. Diese Variante nutzen wir nicht. Daher schalten wir unter „Verzeichnisebene einer Berechtigungsänderung“ die Funktionen  „Erstellen von Listgruppen…“ und „Schütze Verzeichnisse…durch einen Eintrag…für die Listgruppe“ aus (Bild 10).

 

Eingeschränktes Ändern

Bild 13:  Eingeschränktes Ändern in 8MAN

Die neue Variante zum Schutz des Berechtigungsendpunktes heißt „Eingeschränktes Ändern“. Wir finden sie unter dem Button „Ändern-Konfiguration“, dann  „Fileserver“ und „Zugriffskategorien“. Diese Funktion entspricht dem ModifyPlus von migRaven. Das Suffix ist frei wählbar, hier verwenden wir „mx“.

5. Troubleshooting

8MAN erzeugt Gruppennamen mit dem Anhang „_1“

Ursache: Es gibt bereits eine gleichnamige Gruppe im AD.

1. Möglichkeit

Die gleichnamige Gruppe befindet sich in einer anderen OU des AD. Die Ablage-OUs von migRaven und 8MAN sind nicht gleich.
Lösung: Die Berechtigungsgruppen, die migRaven erzeugt hat, können in die OU verschoben werden, in der 8MAN sie erwartet oder in 8MAN den Ablageort einstellen, wo sich die Gruppen befinden.

2.Möglichkeit

Die gleichnamige Gruppe befindet sich in der gleichen OU des AD. Die Beschreibung der Gruppen ist nicht gleich. Der Verzeichnisname in einer Gruppen-Beschreibung ist falsch. Der Verzeichnisname wird bei der Migration als Freigabepfad abgefragt und beim Anlegen der Berechtigungs-Gruppe im AD in der Beschreibung hinterlegt.

Lösung: Für richtige Verzeichnisnamen in der Beschreibung der Gruppen sorgen.

8MAN erzeugt eine neue Gruppe, obwohl eine Gruppe mit gleichen Funktionen schon vorhanden ist

1. Möglichkeit

Der Inhalt des Beschreibungsfeldes wird von 8MAN nicht akzeptiert.

2.Möglichkeit

Überschreitet der Gruppenname eine Länge von 60 Zeichen, wird dieser Name auf max. 60 Zeichen gekürzt. Möglicherweise verkürzen migRaven und 8MAN nicht gleichartig. Das sollte aber behoben sein.

 

Mehr zum Thema:

 

Bitte kommentieren Sie diesen Betrag mit eigenen Erfahrungen/Meinungen.
(Sachdienliche Hinweise nehmen übrigens an unserer Verlosung eines google Nexus 7 teil!)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">