Einrichtung von AD-Account-Filtern: Blacklist und Whitelist für Berechtigungsverwaltung

Anmerkung: Dieser Artikel richtet sich an Kunden mit lizensiertem migRaven.24/7 Access Management.

Blacklist von Accounts, die nicht aus ACLs entfernt werden dürfen

Das migRaven.24/7 Access Management verfolgt das Ziel, die bisherigen Berechtigungen zu bereinigen und zu standardisieren, um eine „saubere“ ACL zu generieren. Aus diesem Grund werden alle Konten, die nicht in der Accounts Blacklist (1) eingepflegt sind, aus den verwalteten ACL entfernt, sobald Sie das erste Mal Berechtigungen mit dem migRaven.24/7 Access Management auf einem Verzeichnis verwalten. Dies gilt für alle Berechtigungsendpunkte, das Verzeichnis, auf das die Berechtigung gesetzt wird.

Verzeichnisse, die auf dem Weg zwischen Share und dem Berechtigungsendpunkt liegen, werden nicht bereinigt. Diese Verzeichnisse erhalten die notwendigen Listberechtigungen.

Zum Schutz von vorhandenen Berechtigungen, die niemals aus einer ACL entfernt werden dürfen, gibt es die Möglichkeit, eine Blacklist in dem Blacklist Tool unter C:\Program Files\migRavenDBServiceHost\migRavenBlacklistTool.exe Ihres migRaven Servers zu definieren. Im Reiter Accounts (1) ist eine Liste aller Konten mit Vollzugriff aufgeführt. Hier kann der migRaven Administrator konfigurieren, welche dieser Konten niemals aus einer ACL entfernt werden dürfen, indem er entsprechend die Blacklist Checkbox (2) markiert.

Das kann beispielsweise dann interessant sein, wenn sie z. B. eine Gruppe Fileserver Administratoren explizit auf einer Vererbungsunterbrechung berechtigen mussten.

Das migRaven Blacklist Tool zeigt alle Konten, die aktuell auf Ihren, bereits gescannten und in der migRaven Datenbank gespeicherten, Fileserverressourcen einen Vollzugriff haben.

Nach der Auswahl der Konten speichern Sie Ihre Konfiguration (3).


Automatischer Schutz von Listberechtigungen bei der Berechtigungsverwaltung

Berechtigungen mit der Propagation „Nur diesen Ordner“ und „Diesen Ordner, Unterordner“ werden grundsätzlich von der Bereinigung ausgeschlossen. Das migRaven.24/7 Access Management löscht diese Rechte nicht, weil es davon ausgeht, dass diese begründet existieren, um tiefere Berechtigungen zu ermöglichen.

Das ist immer dann der Fall, wenn Berechtigungen in verschiedenen Tiefen verwaltet werden. Z. B. in der ersten und zweiten Ebene eines Verzeichnisbaumes. Dann werden die Listberechtigungen der ersten Ebene für den Funktionserhalt der zweiten Ebene benötigt.


Wie kann man Benutzer oder Gruppen von der Suche ausschließen?

Mit diesen Filtern werden die Ergebnisse der Kontensuche, bei der Berechtigungsvergabe, eingeschränkt, damit dem berechtigenden Benutzer bei der Berechtigungsvergabe auf ein Verzeichnis nur die Benutzer oder Gruppen angeboten werden, die auch wirklich manuell berechtigt werden dürfen.

Die Filter, Blacklist und / oder Whitelist, werden teilweise im Active Directory, rekursiv, oder in dem eigenständigen migRaven Blacklist Tool, dynamisch, verwaltet.

(Dynamischer) Filter für Gruppenkonten (Blacklist oder Whitelist)(Direkt)

Der dynamische Filter wird in einem dedizierten Tool gepflegt, das Sie unter C:\Program Files\migRavenDBServiceHost\migRavenBlacklistTool.exe finden.
Unter dem Reiter Tokens (5) finden sie alle Affixe, Präfixe und Suffixe, die beim Scan Ihres Active Directory gefunden wurden und die Sie Ihrer Blacklist / Whitelist hinzufügen können, damit diese Gruppen in der Kontensuche nicht mehr gefunden werden können.

Die Funktionsweise basiert rein auf Bestandteilen von Gruppen. Einzelne Gruppen können nicht direkt ausgewählt werden.

Wenn Sie gezielt ganz bestimmte Gruppen verwenden wollen, dann sollten Sie diese Gruppen im Vorfeld sauber typisieren, z. B. durch einheitliche Präfixe. Beispielsweise RO_ für Rollengruppen in denen sich Benutzer wiederfinden, die die Funktion der Rolle ausüben, oder GRP_ in denen Sie Benutzer je nach Abteilungszugehörigkeit zusammenfassen.

Im Dropdown-Menü (6) können Sie zwischen Blacklist und Whitelist wechseln.

Wählen Sie in der Spalte Token (7) diejenigen aus, die Sie zur Blacklist hinzufügen wollen, definieren Sie in der Spalte Filteroption (8), ob es sich hierbei um einen Präfix, einen Suffix oder beides handelt unter dem Token Trennzeichen (9) geben Sie das entsprechende Trennzeichen an, das auf den Präfix folgt oder dem Suffix vorangestellt ist, hier sind Mehrfacheinträge möglich. Speichern (10) Sie abschließend Ihre Konfiguration.

Das dynamische Blacklisting wird direkt übernommen, anders als das Blacklisting über die AD Gruppen, das ein AD Rescan voraussetzt.


Hinweis: Der dynamische Filter wirkt nicht rekursiv.

Vorteil des dynamischen Blacklisting: Damit werden auch zukünftige Konten mit den entsprechenden Affixen automatisch berücksichtigt.

Filter für Active Directory Benutzer Konten (Blacklist/Whitelist) (Direkt/Indirekt)

Diese Filter werden direkt über Gruppen im Active Directory verwaltet.

Mit lizensiertem migRaven.24/7 Access Management sollten Sie zwei Gruppen direkt in der OU (11) erstellen, in der migRaven die Berechtigungsgruppen erzeugt. Diese Einstellungen, Ziel OU und Gruppennamenskonvention, werden im migRaven Admin Client in den Einstellungen konfiguriert.

Die Gruppen müssen zwingend diese Namen haben:

  • migRaven-FSS-Blacklist
  • migRaven-FSS-Whitelist


Wichtig: Diese Filter wirken rekursiv! Ist also eine Gruppe Mitglied der Blacklist-Gruppe, so werden die Mitglieder dieser Gruppe, Benutzerkonten, in der Kontosuche nicht mehr angezeigt werden. Die Wirkungsweise der Whitelist Gruppe ist identisch. Die Gruppen können namentlich in der Kontensuche weiterhin gefunden werden.

Die Filter für Gruppen werden weiter unten beschrieben.

Wichtig: Der Gruppentyp kann frei gewählt werden. Um volle Flexibilität zu gewährleisten, um z. B. Gruppen aus anderen Domänen zu blacklisten / whitelisten, empfehlen wir die Verwendung domänenlokaler Gruppen (12).


Zusätzlich zu der Backlist Gruppe sollten Sie immer auch einen Whitelist Gruppe erstellen, so dass Sie eine Teilmenge der Mitglieder, Benutzer, der Blacklist Gruppe in der Kontosuche verfügbar machen können.

Beispiel: Sie blacklisten die Gruppe ro_domänen_admins, müssen aber den Benutzer EDAdmin regelmäßig explizit berechtigen, dann machen Sie EDAdmin zum Mitglied der Whitelist Gruppe.

EDAdmin ist, nachdem Sie das Active Directory erneut gescannt haben, das einzige Mitglied der Gruppe ro_domänen_admins, das in der Kontensuche gefunden werden kann. Zum jetzigen Zeitpunkt kann auch die Gruppe ro_domänen_admins noch gefunden werden.

Hierbei empfehlen wir dringend, den Präfix ro_ dynamisch zu blacklisten, wie oben beschrieben!

Auch für die Whitelist Gruppe empfehlen wir den Gruppenbereich Lokal (in Domäne), um gegebenenfalls domänenübergreifend agieren zu können.

Ausnahme zur Anwendung der Blacklist Konfiguration

Vor dem Hintergrund, dass Folder Self Service Vorlagen durch Administratoren erstellt werden, findet die Verwendung der Blacklist hier, insbesondere bei Projektvorlagen mit Struktur, keine Anwendung.


Bitte wenden Sie sich an unseren Support zur Unterstützung bei der Verwendung des Blacklist und Filter Tools. support@migRaven.com

Permanentlink zu diesem Beitrag: https://help.migraven.com/blacklist-und-whitelist-filter-von-user-und-gruppen-fuer-die-berechtigungsverwaltung/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.