«

»

NTFS Berechtigungen aufräumen – Arbeitsanleitung

1. Projekt erstellen und Verzeichnisse einlesen

Neues Projekt anlegen – Verzeichnisse und Berechtigungen einlesen

In migRaven wird immer mit Projekten gearbeitet. Ein Projekt ist die logische Einheit, die bearbeitet werden soll. Z.B. ein Share oder einer Verzeichnis unterhalb eines Shares. Am Besten immer der Punkt, der auch bei den Usern gemountet oder im DFS eingebunden wird. Dadurch wird sichergestellt, dass alle Berechtigungen – einschließlich der Listberechtigungen – korrekt durch migRaven erstellt werden. Über die Kachel „Projekte verwalten“ kommen Sie an den Punkt, wo neue Projekte angelegt, bearbeitet und gelöscht werden können.

Die Voraussetzung für das Anlegen von neuen Projekten ist, dass mindestens einmal die Domäne gescannt wurde.

Projekt Start

Best Practice: Pro Share ein neues Projekt anlegen.

Wenn Sie die einzelnen Shares als eigenständige Projekte definieren, haben Sie Zeit, diese in Ruhe abzuarbeiten und „Step by Step“ die Daten in die neuen Verzeichnisse zu kopieren und diese dann den Usern zuzuweisen.

z.B.  Projekt1: „\\Server\Daten\Verwaltung\Buchhaltung“

Projekt2: „\\Server\Daten\Verwaltung\Einkauf“      etc.

Dann geben Sie den UNC Pfad bis zum einzuscannenden Verzeichnis (Projekt) ein. Bitte prüfen Sie noch einmal, ob dieser Pfad auch erreichbar ist, vor allem auch mit Ihren Anmeldedaten.

Zu beachten: Entsprechend Ihrer Windows-Anmeldung kann MigRaven nur die Verzeichnisse scannen, auf die Sie auch zugreifen dürfen, deshalb müssen Sie das Programm immer als Administrator ausführen.

Scantiefe und Threads zum Scan:

Diese Einstellungen haben entscheidende Auswirkungen auf die Größe der Datenbank und die Geschwindigkeit des Scans.

Scantiefe:

Wählen Sie die Scantiefe nur so tief, wie Sie auch die Berechtigungen in den Ordnern auslesen und setzen wollen. (Je tiefer ein Scan zielt, desto länger dauert der Scan und um so größer wird die Datenbank.)

Threads zum Scan:

Je mehr Threads Sie auswählen, um so höher wird die Prozessorauslastung. Empfehlung: max. 2 Threads/Core. Sie spüren unmittelbar beim Scan, ob es zu viele sind. Es macht sich am Java-Prozess bemerkbar.

2. Berechtigungen überarbeiten / neu definieren

Über den “Work & Design”-Screen können Sie alle expliziten Berechtigungen überprüfen, bearbeiten oder neu definieren.

Wählen sie hier die für Sie relevante Verzeichnistiefe. Wenn Sie nur Berechtigungen bis in die 3. Ebene vergeben möchten, dann brauchen Sie im Feld „Export bis Ebene“ auch nur 3 auswählen. Über den Button „Tabelle füllen“ werden die Daten aus der Datenbank geladen.

Es tauchen nur Verzeichnisse dieser Art in der Liste auf:

  • mit explizit vorhandenen Berechtigungen
  • nur Standardberechtigungen
  • nur Domänenaccounts (Lokale und „WellKnown“ User/Gruppen sind ausgeblendet; WellKnown-Accounts sind die Standardaccounts, die Microsoft immer enthält.)

In dieser Tabelle können nun alle relevanten Berechtigungen in den jeweiligen Verzeichnissen definiert werden.

Tragen Sie dazu in der Spalte, die das gewünschte Recht repräsentiert, die entsprechenden Accounts ein. Hier gibt es zwei Varianten zur Auswahl:

  1. Die Gruppen, die dort eingetragen werden, werden auch direkt in die ACL geschrieben. Das ermöglicht die Wiederverwendung schon vorhandener Berechtigungsgruppen.
  1. Es werden Accounts und Gruppen eingetragen, die dann Mitglied in einer von migRaven neu erstellten Berechtigungsgruppe werden. Das kann über die Gruppenkonfiguration eingestellt werden

Sie können in der Tabelle:

  • neue Zeilen einfügen, für Verzeichnisse, die auch berechtigt werden sollen, aber noch nicht enthalten sind
  • Accounts aus Spalten entfernen
  • Neue Accounts/Gruppen in Spalten hinzufügen im Format: Domain\Anmeldename (SAM) -> test\f.Kafka
    (Wenn Sie mehrere Accounts/Gruppen berechtigen möchten, dann sind diese mit einem Semikolon zu trennen.)
  • Spalten sortieren, filtern
  • Zeilen hinzufügen und löschen

Nach der Bearbeitung erfolgt die „Validierung“. Dabei werden die Werte der Tabelle auf Konsistenz geprüft. Es wird versucht, die Verzeichnispfade und die Accounts aufzulösen. Das geschieht gegen die echten Systeme.

Nach der erfolgreichen Validierung werden die Daten in die Datenbank übernommen. Gleichzeitig wird der Status des Projektes in der Datenbank angehoben, was die Voraussetzung dafür ist, dass die nächsten Schritte durchgeführt werden können.

3. Neue Gruppen in migRaven vorbereiten

In diesem Schritt werden die Gruppen von migRaven innerhalb der Datenbank gebildet und verschachtelt.

Dazu müssen in der Gruppenkonfiguration zuerst folgende Einstellungen festgelegt werden:

  • der Typ der Gruppen
  • die Benennung der Gruppen
  • wie weit sollen Listrechte gesetzt werden
  • der Speicherort (OU) der Gruppen

Der letzte Schritt findet noch nicht im AD bzw. auf dem Filesystem statt, was den Vorteil hat, dass man sich die entstandene Struktur vorher noch einmal in migRaven ansehen und im Bedarfsfall überarbeiten kann, bevor dann:

  • die Gruppen von migRaven automatisch im AD erstellt und verschachtelt werden und
  • die tatsächliche Umsetzung im Filesystem stattfindet.

Hierbei richtet sich migRaven nach der Gruppenkonfiguration (Domänenlokale oder Universelle Gruppen, Listeberechtigungen oder nicht etc.)

4. Neue Gruppen erstellen und verschachteln

In diesem Schritt werden letztendlich die Gruppen im AD erstellt und verschachtelt.

migRaven vollzieht dabei folgende Schritte:

  • die Gruppen werden LIVE im AD erstellt,
  • die Berechtigungsgruppen mit den Listgruppen werden verschachtelt und
  • die Benutzer/Gruppen werden in die Berechtigungsgruppen aufgenommen.
  • Die Berechtigungs-/Listgruppen werden automatisch in einer OU abgespeichert, die in der Gruppenkonfiguration definiert werden muss.

Wenn diese Schritte abgeschlossen sind, hat man eine fertige Gruppenstruktur im AD erzeugt, die im nächsten Schritt durch migRaven berechtigt wird. Dabei ist Vorsicht geboten, da nun auch die Zahl der Gruppenmitgliedschaften der User ansteigt. Bitte besonderes Augenmerk auf die Größe des Kerberostokens haben.
Deploy Groups

5. Grüne Wiese erstellen

Erstellt ein leeres, vollberechtigtes Duplikat der Verzeichnisse

Um den ganzen Prozess so einfach wie möglich zu gestalten, müssen die Berechtigungen nicht auf den originalen Pfad geschrieben werden, sondern migRaven erstellt eine leere Kopie des Verzeichnisbaumes mit den neuen Berechtigungen.

Über den Punkt „Deploy ACL“ wird ein neues und vollberechtigtes, aber leeres Duplikat des Verzeichnisbaumes erstellt. Das ist der neue endgültige Ablageort für Ihre Daten.

Bei diesem Schritt werden nur die Verzeichnisse, die explizite Berechtigungen über migRaven erhalten haben, neu erzeugt und mit den entsprechenden schon vorhandenen Gruppen berechtigt.

Vorbereitung

Es muss ein Pfad vorbereitet werden, der nach der Replikation der Daten die neue Datenablage ist. Das kann ein komplett neuer Share sein oder ein Verzeichnis in einem vorhandenen Share. Wenn Sie DFS einsetzen, empfiehlt es sich, einen neuen Share zu erstellen, der dann nur noch in das DFS verlinkt werden muss.

Es werden nur die Verzeichnisse in dem neuen Pfad erzeugt, die vorher auch bearbeitet wurden.

Wenn Source \\Server\share\ ist und sich dann darunter Verzeichnisse befinden, werden diese dann auch unter dem neuen Pfad geschrieben: \\Server_neu\Share\

Für die Definition des neuen Ablageortes füllen Sie bitte das vorgegebene Pflichtfeld aus.

Deploy ACL

Es gibt zwei mögliche Ansätze für die Verwendung der „Grünen Wiese“:

  1. Die „Grüne Wiese“ nimmt die alten Daten auf und fungiert als neuer Ablageort.
  2. Die „Grüne Wiese“ dient als Zwischenspeicher und Kontrollablage. Nachdem alles kontrolliert und für „OK“ befunden wurde, werden die neuen ACLs auf die alte Ablage übertragen.

6. Neue Berechtigungen in die Verzeichnisse schreiben lassen

In diesem Schritt werden die neuen Verzeichnisse angelegt und den zuvor erstellten Berechtigungsgruppen Rechte darauf gegeben.

Folgende Schritte werden abgearbeitet:

  • Es werden die Verzeichnisse angelegt, für die Berechtigungen vorgesehen sind.
  • Verzeichnisse, für die Listrechte vorgesehen sind, werden Listgruppen zugeordnet mit Listrechten nur für diesen Ordner.
  • Darunterliegende zu durchquerende Verzeichnisse werden entsprechend unserer Konfiguration mit Berechtigungsgruppen ausgestattet. Die Gruppen sind für den Berechtigungsendpunkt erstellt worden, erhalten hier aber nur Listrechte.
  • Bei berechtigten Verzeichnissen können mehrere Berechtigungsgruppen eingetragen werden, eine mit read-execute-Rechten, eine mit read-write-Rechten und eine mit modify-Rechten. Berechtigungsgruppen mit fullcontrol-Rechten sollten die Ausnahme sein.
  • Diese Rechte werden auf die untergeordneten Verzeichnisse vererbt.
  • Untergeordnete Verzeichnisse können weitere Berechtigungsgruppen erhalten.

 

7. Ergebniskontrolle

Kontrolle, ob die neu erzeugten Berechtigungen in der Grünen Wiese den Erwartungen entsprechen

Nach dem erfolgreichen Erzeugen der „Grünen Wiese“ durch migRaven sollte das Ergebnis überprüft werden. Das ist am einfachsten möglich, in dem man ein neues Projekt mit dem neu erstellten Verzeichnisbaum erzeugt.

Grüne Wiese

Im „View“-Bereich von migRaven kann dann das Ergebnis betrachtet werden.

8. Alte Daten in den neuen Verzeichnisbaum replizieren

Wenn die „Grüne Wiese“ Ihre Daten aufnehmen und als neuer Share fungieren soll, dann müssen nun die Daten in den neuen Bereich repliziert werden. Das kann nicht direkt über migRaven erfolgen.

Bitte kontrollieren Sie alle neu erzeugten Berechtigungen, ob sie Ihren Erwartungen entsprechen. Erst danach sollte die Replikation der Daten angestoßen werden. Dabei ist es wichtig, dass die alten Berechtigungen nicht mitgenommen werden!

Die Replikation kann auf verschiedenen Wegen erfolgen. Robocopy von Microsoft bietet sich bei geringeren Datenmengen an. Wenn der Verzeichnisbaum aber sehr viele Dateien enthielt, haben wir sehr gute Erfahrungen mit PeerSync gemacht. Das ist ein Tool, dass eine echte Realtime bytelevel-Replikation ermöglicht, ohne dass immer wieder Source und Target abgeglichen werden müssen. Ein weiterer Vorzug PeerSyncs ist die Unterstützung für NetApp.

Der Befehl mit Robocopy ist:
Robocopy [Quelle] [Ziel] /E  /Copy:DAT

Wenn die „Grüne Wiese“ nicht die neue Ablage werden soll, dann können die neuen ACLs auf den alten Bereich übertragen werden.

9. Shares für Userzugriff austauschen