Zum Bewahren eines angemessenen Sicherheitsniveaus in Ihrer Windows Server Struktur, empfehlen wir Ihnen, die drei migRaven Dienste, die im Kontext eines Dienstkontos ausgeführt werden müssen, zu differenzieren.
Verwenden Sie migRaven.24/7 ausschließlich für die Analyse Ihrer Daten, reicht es, dass die Dienstkonten lesend auf den entsprechenden Ressourcen berechtigt werden.
Wollen Sie mit migRaven.24/7 Änderungen im Dateisystem und / oder Active Directory vornehmen, benötigen die Dienstkonten entsprechend höhere Berechtigungen auf den zu ändernden Ressourcen.
Diese Dienstkonten werden sowohl bei einer Neuinstallation als auch bei einem Update des migRaven.24/7 abgefragt. Sollte es erforderlich sein, ein Dienstkonto zu ändern, muss das über das Setup, im Zuge eines Updates, erfolgen.
Ändern sie diese Dienstkonten bitte niemals einfach so in den Windows Diensten! Wenden sie sich in diesen Fällen gerne an unseren Support.
Beachten Sie beim Erstellen der Dienstkonten, dass die Benutzeranmeldenamen die Länge von 20 Zeichen nicht überschreiten dürfen.
Für die Funktion / Dienste sollten die Rechte entsprechend aufgeteilt werden:
- Windows AD Benutzer mit lokalen Administratorrechten zur Ausführung des Admin Clients auf dem migRaven Server.
- migRavenDBServiceHost Dienstkonto: Domänenkonto mit lokalen Administratorrechten.
Zum Lesen aus der und schreiben in die Datenbank.
Beispiel: sa_migRavenDBSH, abhängig von Ihrer Namenskonvention. - migRavenADScanServiceHost Dienstkonto: Domänenkonto mit lokalen Administratorrechten. * Ggf. erweiterte Rechte!
AD Dienstkonto mit lesenden Rechten auf das Active Directory, wenn Sie migRaven.24/7 Analyzer mit migRaven.24/7 Data Retention verwenden, womit keine Änderungen im AD vorgenommen werden.
* AD Dienstkonto mit schreibenden Rechten. Wenn Sie Berechtigungen über den migRaven.24/7 Access Manager verwaltet, benötigt dieses Konto mindestens Schreibrechte in der OU, in der die Berechtigungsgruppen erzeugt werden, und er braucht schreibenden Rechte auf die Konten, die Mitglieder dieser Gruppen werden sollen.
Beispiel: sa_migRavenADSH, abhängig von Ihrer Namenskonvention. - migRavenResourceScanServiceHost Dienstkonto: Domänenkonto mit lokalen Administratorrechten. ** Ggf. erweiterte Rechte!
Für die einfache Analyse der File Server Ressourcen mit dem migRaven.24/7 Analyzer reichen Leserechte auf den Freigaben und in den NTFS Berechtigungen der zu scannenden Ressourcen.
** Dienstkonto mit Vollzugriffsberechtigungen auf den zu scannenden Freigaben und deren NTFS Berechtigungen. Der Dienst erzeugt mit der Data Retention Symlinks, setzt Berechtigungen und verschiebt Daten.
Beispiel: sa_migRavenRSSH, abhängig von Ihrer Namenskonvention.
Der Resource Scan Service wird nach der Installation als Teil der Konfiguration eingerichtet.