Filter für eine fehlerfreie Suche nach Accounts bei der Berechtigungsvergabe
Mit diesen Filtern werden die Ergebnisse der Kontosuche vorgefiltert, damit dem User bei der Berechtigungsvergabe auf ein Verzeichnis keine Gruppen oder Accounts angeboten werden, die für ihn nicht relevant sind (beispielsweise Service Accounts, User aus fremden Domänen, externe Accounts, etc.). Dadurch werden Fehler bei der Kontoauswahl erheblich minimiert.
Es gibt den Filter auf den Search in zwei Ausprägungen, den statischen Filter sowie den dynamischen Filter.
Die Filter, Blacklist und Whitelist werden teilweise direkt im Active Directory oder in eigenständigen Tool verwaltet und gepflegt.
Statischer Filter
Statische Filter werden direkt über Gruppen im Active Directory verwaltet.
Dazu müssen zwei Gruppen direkt in der OU erstellt werden, in der migRaven die Berechtigungsgruppen erzeugt. Diese Einstellung wird im Admin Client in den zentralen Einstellungen eingerichtet.
Die Gruppen müssen zwingend diese Namen haben:
- migRaven-FSS-Blacklist
- migRaven-FSS-Whitelist
Wichtig: Diese Filter wirken rekursiv: Ist eine Gruppe Mitglied der Blacklist-Gruppe, so werden auch alle Mitglieder dieser nicht mehr bei der Kontosuche auffindbar sein. Die Wirkungsweise der Whitelist-Gruppe ist identisch.
Wichtig: Diese migRaven Blacklist-Gruppe muss zwingend den Namen „migRaven-FSS-Blacklist“ haben. Der Gruppentyp kann frei gewählt werden. Um volle Flexibilität zu gewährleisten, um z.B. Gruppen aus anderen Domänen aufzunehmen, wird eine domänenlokale Gruppe empfohlen.
Neben der Blacklist-Gruppe kann zusätzlich eine Whitelist-Gruppe im Active Directory erstellt werden. Dies dient dazu, um einzelne Benutzer hinzuzufügen, welche ansonsten auf Grund ihrer Mitgliedschaft einer in der Blacklist bestehenden Gruppe nicht in der Kontosuche in den Berechtigungsverwaltungen über migRaven angezeigt würden.
Wichtig: Der Gruppenname der Whitelist muss zwingend mit "migRaven-FSS-Whitelist" angegeben werden. Auch hier gilt: der Gruppentyp kann frei gewählt werden. Um volle Flexibilität zu gewährleisten, um z.B. Gruppen aus anderen Domänen aufzunehmen, wird eine domänenlokale Gruppe empfohlen.
Dynamischer Filter
Der dynamische Filter wird in einem kleinen dedizierten Tool gepflegt (Pfad: „C:\Program Files\migRavenDBServiceHost\migRavenBlacklistTool.exe“). Unter dem Reiter „Token“ werden die Token verwaltet. An allen Trennzeichen („_“, „-“ , „Leerstelle“) werden die Namen der Domänengruppen aufgetrennt.
Es können nun Pre- und Suffixe definiert werden (z.B. ro- oder _mx), was dafür sorgt, dass Konten, die diese entsprechend konfigurierten Pre-/Suffixe im Namen haben, bei der Kontosuche in den Berechtigungsverwaltungen nicht als Ergebnis zurück geliefert werden.
Hinweis: dieser Filter wirkt nicht rekursiv.
Vorteil der dynamischen Token-Liste: damit werden auch zukünftige Konten mit den entsprechenden Pre-/Suffixen automatisch berücksichtigt.
Filter für Anzeige von ausgewählten Berechtigungen
Des Weiteren gibt es im Admin Client eine ACL-View-Konfiguration, über die man einstellen kann, dass nur Konten mit bestimmten Zugriffsrechten dem Data Owner bei der Berechtigungsverwaltung in migRaven angezeigt werden. Zum Beispiel brauchen Data Owner Konten mit Vollzugriff nicht sehen und können daher ausgeblendet werden.
Mehr Informationen über die Anzeige der ACL View im Web Client gibt es unter https://help.migraven.com/acl-view-von-berechtigungen/
Blacklist von Accounts, die nicht aus ACLs entfernt werden dürfen
migRaven verfolgt das Ziel, die vorhandenen Berechtigungen zu bereinigen und zu standardisieren um eine „saubere“ ACL zu generieren. Aus diesem Grund werden alle Accounts, die nicht in der Blacklist eingepflegt sind, aus den verwalteten ACL entfernt. Dies gilt für alle Berechtigungsendpunkte. (Das Verzeichnis, auf das die Berechtigung gesetzt wird. Verzeichnisse, die auf dem Weg zwischen Share und dem Berechtigungsendpunkt liegen, werden nicht bereinigt. Diese Verzeichnisse erhalten nur die notwendigen Listberechtigungen. )
Zum Schutz von vorhandenen Berechtigungen, die niemals aus der ACL entfernt werden dürfen, gibt es die Möglichkeit, eine Blacklist in dem Blacklist Tool (Pfad: „C:\Program Files\migRavenDBServiceHost\migRavenBlacklistTool.exe“) zu definieren. Im Reiter „Konten“ ist eine Liste aller Konten mit Vollzugriff aufgeführt. Hier kann der Administrator bestimmen, welche dieser Konten niemals aus der ACL entfernt werden dürfen, indem er entsprechend die Blacklist Checkbox markiert.
Das Tool zeigt alle Accounts, die aktuell ein Vollzugriff haben. Die Informationen werden aus der migRaven Datenbank gezogen. Es kann also nur für die Bereiche wirken, die schon eingescannt wurden.
Automatischer Schutz von Listberechtigungen bei der Berechtigungsverwaltung
Berechtigungen mit der Propagationen „Nur diesen Ordner“ und „Diesen Ordner, Unterordner“ werden grundsätzlich auch von der Bereinigung ausgeschlossen. migRaven löscht diese Rechte nicht, weil er davon ausgeht, dass diese begründet existieren, um noch tiefere Berechtigungen zu ermöglichen.
Das ist immer dann der Fall, wenn Berechtigungen in verschiedenen Tiefen verwaltet werden. Z.B. in der ersten und zweiten Ebene eines Verzeichnisbaumes. Dann werden die Listberechtigungen der ersten Ebene für den Funktionserhalt der zweiten Ebene benötigt.
Bitte wenden Sie sich an unseren Support zur Unterstützung bei der Verwendung des Blacklist und Filter Tools. support@migRaven.com