migRaven Symlink Management konfigurieren

Was sind Symlinks und wie funktionieren sie?

Symlinks (auch Symbolischer Link oder Soft Link genannt) sind Verknüpfungsdateien, welche sich auf eine physische Datei oder einen anderen Ordner beziehen. Dabei fungieren Symlinks als virtuelle Dateien oder Ordner, die zur Verknüpfung mit einzelnen Dateien oder Ordnern verwendet werden können. Das Ergebnis: Die Dateien oder Ordner sehen so aus, als wären sie im Ordner mit den Symlinks gespeichert, obwohl die Symlinks nur auf ihren tatsächlichen Speicherort zeigen. Klickt man auf den Symlink, wird man zum aktuellen Speicherort der Datei geleitet.

Symlinks nehmen in migRaven Data Retention eine zentrale Rolle bei der Trennung von aktiven / passiven Daten auf unterschiedlichen Laufwerken ein. Die Daten werden in einen UNC-Pfad verschoben (funktioniert aktuell ausschließlich für Windows und EMC Shares). Voraussetzung für die Anwendung ist die automatische Erzeugung von Symlinks durch migRaven. In diesem Fall werden ausgewählte Dateien, die eine vordefinierte Altersbeschränkung überschreiten,
aus dem Produktivsystem in das definierte Zielverzeichnis (Archiv) verschoben. Alle anderen Daten bleiben weiterhin in ihren ursprünglichen Verzeichnissen/auf dem ursprünglichen Laufwerk. Mehr Information zur Definition der Zielverzeichnisse finden Sie unter http://help.migraven.com/datenaufbewahrung/.

Aufgrund der Sicherheitsanforderungen von Windows, müssen die migRaven Administratoren für die Erzeugung und Nutzung von Symlinks den Ressourcen Scan Account sowie die Benutzer mit Berechtigungen ausstatten.

Welche Ausnahmen gibt es für Netapp?

Der Einsatz von Data Retention mit Netapp muss mit dem migRaven Support abgestimmt werden.

GPO 1: Was ist notwendig, damit migRaven Symlinks erzeugen kann?

Einerseits muss der Ressourcen Scan Account auf den Fileservern die Berechtigung bekommen symbolische Links erzeugen zu können. Andererseits müssen Benutzer die Berechtigungen bekommen, die symbolischen Links nutzen zu können, um ins Archiv gelangen zu können. 

Um den Ressourcen Scan Account per GPO auf den Fileservern zu berechtigen,  sind folgende Schritte notwendig:

  • Öffnen Sie die Gruppenrichtlinienverwaltung (1) auf dem Domänen Controller 
  • Erstellen Sie über Gruppenrichtlinienverwaltung durch einen Rechtsklick auf der Domäne eine neue Gruppenrichtlinie:
  • Geben Sie der GPO einen Namen: 
  • Machen Sie einen rechten Mausklick auf die neu erstellte GPO und bearbeiten Sie diese. 
  • Navigieren Sie über “Computer Configuration – Policies – Windows Settings – Security Settings – Local Policies” zu “User Rights Assignment” (2) 
  • Finden Sie in den User Rights Assignment die Policy „Create symbolic links“ (3) 
  • Fügen Sie den Ressourcen Scan User hinzu. (4 und 5) 


Empfehlung: Wenden Sie die GPO gezielt auf die OU an, in der Sie Ihre Fileserver haben, um dem Least Privilege Gedanken folgen zu können. 

GPO 2: Was ist notwendig, damit die Benutzer den Symlink nutzen können?

Um den Benutzern die Berechtigungen zur Nutzung der symbolischen Links zu verschaffen, erstellen  Sie, wie oben beschrieben, eine weitere GPO. 

Vor dem Hintergrund, dass Sie noch in der Gruppenrichtlinieverwaltung (1) sind, machen Sie erneut einen Rechtsklick auf die Domäne und erstellen Sie eine weitere GPO und geben Sie dieser erneut einen Namen, zum Beispiel „Symlink Usage“. 

Machen Sie wieder einen rechten Mausklick auf die soeben erstellte GPO, um diese zu bearbeiten. 

  • Gehen Sie in die „Computer Verwaltung – Policies – Administrative Templates: … – System – Filesystem (2)“ 
  • Wählen Sie rechts unter Filesystem die Option „Selectively allow the evaluation of a symbolic link“ (3) und doppelklicken Sie die Option zur Bearbeitung. 
  • Aktivieren (4) Sie die Option und 
  • Wählen Sie die ersten drei Optionen (5) – auf einem Deutschsprachigen DC kann die Reihenfolge eine andere sein. 
  • Speichern Sie alle vorgenommenen Änderungen. 

Empfehlung: Wenden Sie diese Policy lediglich auf Ihre User OU an. 

Verknüpfung einer GPO mit einer OU:

Machen Sie einen rechten Mausklick auf OU der sie die GPO zuweisen wollen und wählen sie „Vorhandenes Gruppenrichtlinienobjekt verknüpfen …“


Für den Fall, dass Sie keine GPO zur Nutzung der symbolischen Links erstellen wollen, haben Sie auch die Möglichkeit, diese auf der Kommandozeile zu verifizieren und ggf. zu aktivieren. 

Evaluieren von Symlinks: 

fsutil behavior query SymlinkEvaluation 

Im Normalfall ist die Option „remote zu remote“ deaktiviert und muss aktiviert werden. 

Aktivierung der Option „remote zu remote“

Zur Aktivierung der Option „remote zu remote“ geben Sie unter der jeweiligen Benutzeranmeldung folgende Befehlszeile ein:

fsutil behavior set SymlinkEvaluation R2R:1 

Damit erreichen Sie das oben im Screenshot bereits dargestellte Ergebnis so, wie es sein muss. 

So aktivieren Sie Symbolische Links

Falls die remote to remote Einstellung deaktiviert ist, kann es bei den Benutzern zu Fehlermeldungen und Zugriffsverweigerungen kommen. Prüfen Sie, ob die Option eingeschaltet ist und benutzen Sie in diesem Fall eine Gruppenrichtlinie um alle Benutzer mit einzuschließen.

Die Standardeinstellung für die symbolischen Links sieht wie folgt aus:

Sie können den Status abrufen, indem Sie die Command-Konsole aufrufen und den Befehl fsutil behavior query SymlinkEvaluation ausführen.

Wenn der Quellpfad auf der lokalen Maschine liegt, ist dies ausreichend. Für die andere, remote to remote  ausgeführte Variante, müssen die symbolischen Links für remote to remote aktiviert werden.

Dies kann mit der Befehlszeile fsutil behavior set SymlinkEvaluation R2R:1 ausgeführt werden.

Permanentlink zu diesem Beitrag: http://help.migraven.com/migraven-symlink-management-konfigurieren/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.