«

»

Tabellen-Modus im Migration Client

Sie füllen die Tabelle mit Ihren Berechtigungsdaten, egal ob aus einem gescannten Share, ob Novell-Berechtigungen oder aus einer selbst erstellten Excel-Tabelle. Sie können die Berechtigungen Ihren Notwendigkeiten und Vorstellungen entsprechend bearbeiten und verändern. Sie können Verzeichnisse entfernen und hinzufügen. Auf diese Verzeichnisse können Sie Nutzer und Gruppen mit den fünf Standardrechten berechtigen. Sie können Vererbungsunterbrechungen veranlassen und beim Redesign-Projekt Verzeichnisse umlegen.

1. Rechte-Mapping.

Bei einem Redesign-Projekt ist der erste Schritt im Tabellen-Modus das Rechte-Mapping. Dabei müssen die vorhandenen Rechte auf die fünf Standardrechte geändert werden.

Erst danach gelangen Sie für die Berechtigungsvergabe in den Tabellenmodus.

2. Tabelle füllen

Je nach Projekt-Art werden hier die Daten eingefügt. Beim Ressource scannen werden mit dem Button „Tabelle füllen“ die Daten aus dem Ausgangsstatus übernommen. Bei Tabellen-Import und Novell-Migration können Tabellen im xlsx-Format eingelesen werden.

Weiterhin ist es bei allen Projekt-Arten möglich, manuell Zeilen einzufügen und Werte zu ändern. Dabei muss man die Syntax der Feldinhalte und die Spaltenüberschriften beachten.

auszuschließende Accounts

2.1  Optionen

Vor der Übernahme der Daten gibt es einige Optionen, mit der wir die Datenübernahme beeinflussen können.

Zu übernehmende Verzeichnisse

Voreingestellt ist, dass die drei Ebenen unter dem Share importiert werden, also Verzeichnisse und Berechtigungen. Haben Sie auch darunter noch Berechtigungen, die Sie übernehmen möchten, können Sie bis zu 10 Ebene einlesen.

Auszuschließende Accounts

Diese Funktion wirkt wie ein Filter. Die hier eingetragenen Nutzer und Gruppen werden nicht übernommen. Es kann sein, dass man aus gewachsenen Strukturen Gruppen oder Nutzer entfernen möchte, oder dass  unten berechtigte Admins entfernt werden  um sie einmalig  auf dem Share zu berechtigen. Bei der Eingabe der ersten Zeichen werden passende Objekte aus dem AD in einer Liste angeboten. Mit Tab oder Enter können Sie Objekte auswählen und die Suche fortsetzen. Die Anzahl der Einträge ist nicht begrenzt.

Filter3_2

Auch Verzeichnisse mit ausschließlich vererbten Berechtigungen

Bei dieser Funktion werden nicht nur die Verzeichnisse übernommen, die explizit berechtigt sind, sondern auch die mit vererbten Berechtigungen. Bei Fortsetzung des Programms werden aus diesen vererbten Berechtigungen explizite. Das ist so meist nicht sinnvoll. Diese Funktion ist eher dafür nützlich, die Pfadnamen ohne mühseliges Eintippen zu übernehmen, dafür muss man aber ggfs. wieder viel löschen. Das ist unbedingt zu beachten, sonst werden zahlreiche überflüssige ACL-Einträge erzeugt.

Füllen starten

Hiermit wird die gescannte Ausgangsstruktur, unter Beachtung der eingestellten Optionen, in die Tabelle übernommen. Grundsätzlich werden nur explizit berechtigte Verzeichnisse eingelesen (ausser voriger Paramter wird genutzt). Unknown SIDs werden ignoriert.

Unknown SIDs,

also SIDs, zu denen in migRaven keine Objektnamen aus den gescannten Domänen gefunden wurden, werden nicht in die Tabelle  übernommen. Unknown SIDs können entstehen, wenn Objekte aus der Domäne gelöscht werden, deren SIDs aber in den Verzeichnis-ACLs als Berechtigte bestehen bleiben. In migRaven können weitere „unknowns SIDs“ auftreten, wenn migRaven zu einer SID keinen Namen findet. Die Ursache kann sein, dass es sich um einen Nutzer oder eine Gruppe aus einer anderen von migRaven nicht gescannten Domäne oder um einen lokalen Benutzer bzw. eine lokale Gruppe handelt. Kontrollieren können Sie das mit den Windows-Bordmitteln. Wird unter Windows die SID statt des Berechtigten angezeigt, ist es eine echte unknown SID, das Objekt wurde gelöscht. Wird unter Windows ein Objektname angezeigt, erkennen Sie am Klammerwert, aus welcher nicht gescannten Domäne das Objekt stammt.

-> Um in migRaven richtige Berechtigungsginformationen zu erhalten, sollten Sie unbedingt alle Domänen scannen, aus denen Objekte in Ihrem Projekt-Bereich berechtigt sein können.

Zur Validierung

Werden Daten nicht über das Füllen aus der Ausgangsstruktur übernommen, sondern durch manuelle Einträge, kommt man mit „Zur Validierung“ (in der Kopfzeile) zum nächsten Arbeitsschritt.

3. Bearbeiten der Tabelle

Berechtigungs-Tabelle

Zielpfad

  • Beim Projektstart wurde ein Zielpfad angeben. Dieser setzt sich zusammen aus dem Server und dem Freigabe-Namen. Er kann durch einen Verzeichnisnamen ergänzt werden.
  • Über der Tabelle wird der Zielpfad angezeigt.

a. leere Spalte

  • Hier können mit der Maus mehrere Zeilen markiert werden.

b. Markierungskästchen

  • Mit diesen Kästchen können einzelne Zeilen markiert werden. So können alle markierten Zeilen gemeinsam gelöscht werden.

c. Tiefe

  • Dieser Wert gibt die Tiefe des Verzeichnisses unter dem Share an. Der Share hat die Tiefe 0.
  • migRaven berechnet diesen Wert.
  • Eine manuelle Änderung hat keine Auswirkung.

Vererbungsunterbrechung

d. Vererbungsunterbrechung

In der 3.Spalte kann durch Markieren der Box für diesen Pfad eine Vererbungsunterbrechung veranlasst werden. Bedingung ist, dass für das betroffene Verzeichnis mind. eine explizite Berechtigung vergeben wird, da die Validierung für diese Zeile sonst einen Fehler bringt.

Wie wirkt diese Vererbungsunterbrechung? Bei Windows gibt es mehrere Varianten der Vererbungsunterbrechung. Bei migRaven nur eine.

Die Unterbrechung bewirkt, dass auf diesem Pfad geerbte Rechte hier enden und nicht nach unten weitergereicht werden.  Wir gehen davon aus, dass zu diesem Zweck die Vererbungsunterbrechung gesetzt wird.

Nach unten vererbt werden:

  • Berechtigungen, die auf diesen Pfad explizit gesetzt werden.
  • Listrechte (Listgruppen und mit Listrechten versehene Berechtigungsgruppen)  für darunter liegende Berechtigungsendpunkte
  • Alle Rechte, die zum Zeitpunkt der Migration auf dem Ziel-Share bestehen. Das gewährleistet, dass Admins ihre Rechte nicht verlieren.

In dem Beispiel auf dem Screenshot wird beim Verzeichnis “Hauptbuchhalter” die Vererbung unterbrochen und dem Hauptbuchhalter auf dieses Verzeichnis “Modify Plus”-Recht gegeben. Dadurch wird der Gruppe “buchhaltung_g” das Recht genommen, das Verzeichnis des Hauptbuchhalters einzusehen.

e. Pfad

  • In der Tabelle können Pfade angegeben werden, die mit „\“ beginnen und von migRaven unter dem oben angegebenen Zielpfad erstellt werden. Zielpfad und Pfad ergeben den kompletten Pfadnamen.
  • Verzeichnispfade bearbeiten (mit F2): In der Spalte „Pfad“ sind die gelesenen Pfadangaben eingetragen, diese können hier auch bearbeitet werden. Zu beachten ist, dass ein Pfad nicht doppelt auftreten darf.
  • Pfade Löschen (Zeilen löschen): Zeilen können markiert und komplett gelöscht werden, sollten nur die Inhalte gelöscht werden und eine leere Zeile bleibt in der Tabelle stehen, erscheint bei der Validierung eine Fehlermeldung.
  • Zeilen können mit den Kästchen der 1.Spalte markiert werden. Einen Bereich kann man markieren, indem man in der leeren Spalte links neben den Kästchen den gewünschten Bereich mit gedrückter Maustaste markiert.
  • Neue Pfade hinzufügen: Unter der Kopfzeile bei „+ Click here to add new item“ können neue Zeilen zum Projekt hinzugefügt und entsprechend den Vorgaben gefüllt werden.
  • Zu jedem Pfad muss mindestens eine Berechtigung angegeben werden.

Abweichendes Zielverzeichnis

f. Abweichendes Zielverzeichnis

  • Es ist möglich, Verzeichnisse samt Unterverzeichnisse an einen anderen Ort unter dem angegebenen Zielpfad zu legen.
  • Einzelheiten werden in dem Artikel „Abweichende Zielverzeichnisse“ beschrieben.
  • Auch beim Kopieren der Daten wird diese Verzeichnis-Verlagerung mit entsprechenden Robocopy-Jobs unterstützt (Deploy Data).

g. Berechtigungen bearbeiten

Vorbereitung:

Nachdem in der ersten Spalte der Pfad eingetragen wurde, kann in den nachfolgenden Spalten die Berechtigung / die Berechtigungen entsprechend Ihren Anforderungen gesetzt werden.

migRaven bietet in der Konfiguration zwei Varianten der Berechtigungsvergabe an:

  1. migRaven erstellt neue Gruppen: Bei dieser Vorgabe können Sie in der Berechtigungspalte Benutzer und Gruppen eintragen, da diese automatisch zu einer Berechtigungs-Gruppe hinzugefügt werden.
  2. Wenn durch migRaven KEINE neuen Gruppen erzeugt werden sollen, also „Gruppen wiederverwenden“ konfiguriert wurde, ist es empfehlenswert, nur Gruppen einzutragen und keine Benutzer, da migRaven diese  auch direkt in die ACE schreibt. Generell sollen Berechtigungen durch Gruppen erfolgen, deshalb ist vom Berechtigen einzelner Benutzer abzuraten.

Berechtigungen bearbeiten (mit F2)

  1. migRaven verwendet die Standard-Rechte: „Read and Execute“, „Write“, „Modify“, „Modify Plus“ und „Full Control“. Die zu Berechtigenden sind den entsprechenden Spalten zuzuordnen. Andere Rechte können mit migRaven nicht vergeben werden.
  2. Mehrere Eintragungen in einer Berechtigungsspalte: Wenn in einem Feld mehrere Objekte berechtigt werden sollen, müssen die einzelnen Accounts durch ein Semikolon (;) getrennt werden, Leerzeichen daneben sind nicht zulässig. Leerzeichen in Objektnamen sind davon ausgenommen. Hinter dem letzten Objekt darf kein Zeichen stehen, vor allem kein Semikolon.
  3. Das Löschen einzelner Zeichen in einem Feld mit der ENTF- bzw. DEL-Taste kann zum Löschen den Feldinhalts führen. Hier sollte die Backspace-Taste verwendet werden.
  4. Das Format der Gruppen oder User, die eingetragen werden, muss „netbios-Domain\SAMAccount“ sein, z.B. aikux\f.hans.
  5. Well-Known Security Principals (Pseudogruppen, Systemgruppen), wie „Jeder“, „System“, „Authentifizierte Benutzer“, „Ersteller/Besitzer“, „Netzwerk“ und „Interaktive Benutzer“ dürfen nicht berechtigt werden.

Empfehlungen

  • Tragen Sie nur Berechtigungen an den Berechtigungsendpunkten ein, weil die Berechtigungen  vom Share bis hinunter zum eigentlichen Berechtigungsendpunkt automatisch gesetzt werden. Es genügt, die überflüssigen Zeilen aus der Tabelle zu löschen.
  • Beschränken Sie sich bei den Berechtigungen auf die Standardrechte wie „Read and Execute“, „Write“, „Modify“ und „Modify Plus“. Die Rechte für „Full Control“ für die Systemaccounts sollten außerhalb von migRaven direkt auf dem obersten Verzeichnis, auf dem Share, eingetragen werden. Diese werden bis in die untersten Ebenen durchvererbt. Falls Sie Einträge in dieser Tabelle in der Spalte für Vollzugriff haben, löschen Sie diese gegebenenfalls oder ändern sie diese in „Modify Plus“.
  • Starten Sie migRaven immer mit einem Account, der das Recht hat, die Berechtigungen der entsprechenden Verzeichnisse zu schreiben.

4. Validieren

„Pfade werden auf ihre Existenz geprüft“ sollten Sie abwählen, da meist neue Pfade angelegt werden, die natürlich noch nicht vorhanden sind.

Beim Validieren werden die syntaktische Richtigkeit und die Existenz der verwendeten Gruppen und Accounts geprüft. Diese müssen vorhanden sein. Fehler werden in der Statusspalte angezeigt. Fehlerursachen können sein:

  • fehlende oder falsch geschriebene Gruppen und Accounts
  • Leerzeichen bei der Aufzählung von Objekten in einem Feld
  • Pfad ohne Berechtigungen

Objekte, die Sie nachträglich im AD anlegen, sind damit noch nicht in migRaven bekannt. Sie müssen dann noch mit „Rescan“ das AD in die migRaven-eigene Datenbank einlesen. Erst dann kennt migRaven die neuen Objekte. Danach müssen Sie das „Design & Work“ für dieses Projekt wiederholen.

migRaven muss immer mit einem Account ausgeführt werden, der mit hinreichenden Rechten ausgestattet ist (Domänen-Administrator).

Fehlermeldungen:

Fehlermeldung mögliche Ursache
„Keine Verbindung zum Share“ Das Häkchen bei „Pfade werden auf ihre Existenz geprüft“ sollte entfernt werden.
„Gruppenverschachtelung nicht möglich“ Die angegebene Gruppe kann nicht in die Berechtigungsgruppe verschachtelt werden, z.B. können universelle Berechtigungsgruppen keine lokalen Nutzergruppen aufnehmen.
„Konto unbekannt …“ Das angegebene Objekt ist nicht bekannt. Es muss im AD angelegt und dann mit Rescan eingelesen werden. Vielleicht ist hier in der Tabelle auch nur ein Leerzeichen zu viel zwischen Objektnamen und Semikolon, bei der Aufzählung von Objekten.
„Konto nicht im AD-Graph gefunden“ Das angegebene Objekt ist nicht bekannt. Es muss im AD angelegt und dann mit Rescan eingelesen werden. Möglich ist auch, dass es hier nicht korrekt geschrieben wurde.

5. Speichern

5.1. Exportieren in eine CSV- Datei

Hier haben Sie die Möglichkeit, die gelesene Berechtigungsstruktur in Form einer CSV-Datei auszugeben. Sie könnten hier das Projekt beenden, in einer Tabellenkalkulation die Berechtigungsstruktur in Ruhe bearbeiten und danach per Tabellen-Import die Tabelle wieder einlesen.
Über die Bearbeitung der CSV-Datei gibt es einen eigenen Artikel.

5.2. Speichern des Arbeitsstandes und Weiterarbeit im Drag&Drop-Modus

  • Der aktuelle Arbeitsstand wird in die Neo4j-Datenbank gespeichert.
  • migRaven springt automatisch in den Drag&Drop-Modus bzw. in die Baumstruktur.
  • Die Projekt-Arten „Ressource scannen“ und „Tabellen-Import“ können im Drag&Drop-Modus weiter bearbeitet werden.
  • Bei der „Novell-Migration“ erfolgt die Berechtigungsvergabe komplett im Tabellen-Modus. Der Drag&Drop-Modus ist nicht verfügbar. Hier erfolgt mit dem  „Speichern des Arbeitsstandes“ die Berechnung der neuen Berechtigungsstruktur.