Powered by ZigaForm version 3.9.9.8.9

Category: 7. Know How

Data Retention log wird nicht gespeichert

In einer früheren Version von migRaven war es möglich den Pfad für die
Log-Aufzeichnungen innerhalb des Verzeichnisses zu setzen.
Dieser war bei der Standardeinstellung auf \ProgramData\migRaven\archiveLog


Bei einem Update auf eine neuere Version wird diese Einstellung nicht entsprechend migriert.

Seit Version 6.3.19351 wird ausdrücklich ein Pfad dafür verlangt.
Wenn ein Update durchgeführt wurde kann es also zu Fehlern in der
neueren Version kommen, dh. das Log wird nicht angelegt.

Prüfen Sie ob ein ein entsprechender Ordner angegeben ist und setzen
Sie einen fest falls dies nicht der Fall ist.

Relevant für den Data Owner

Die Protokolldateien werden weiterhin unter „ProgramData\migRaven\archiveLog“ angelegt und sind ggf. nicht durch den Data Owner zu erreichen.

Bitte konfigurieren Sie eine Freigabe, auf der auch das Konto „Authentifizierte Benutzer“ Leserechte hat, da diese Protokolldateien vom Anwender über die Aufgabenüberwachung heruntergeladen werden können.

Alte Oberfläche

Neue Oberfläche

Permanentlink zu diesem Beitrag: https://help.migraven.com/data-retention-log-wird-nicht-gespeichert/

Data Retention wird nicht ausgeführt

Möglicherweise bleibt der Status der Archivierung auf „Wird ausgeführt“ hängen und verändert sich nicht mehr.

Falls dies der Fall ist, prüfen Sie ob evtl. der Anti-Virus Scanner die DataRetention.exe in die Quarantäne veschoben hat.

Um sicherzugehen ist es empfehlenswert die ganzen Folder MigRavenResourceScanServiceHost auf die Whitelist zu setzen

Starten Sie anschliessend die Dienste neu.

Permanentlink zu diesem Beitrag: https://help.migraven.com/data-retention-wird-nicht-ausgefuehrt/

Flatten in der Datenbank

Mit dieser Anpassung werden die bisherigen Accounts aus der einen Domäne ausgelesen und direkt in die neuen Accounts umgewandelt.

Diese Variante lässt sich auch immer einsetzen, wenn Accounts z.B. umbenannt wurden und der bisherige SAM vielleicht in einem anderen Feld zu finden ist.

Die Cypher-Eingabe sieht wie folgt aus:

<add key=“Flatten“ value=“y.type =’person‘ with collect(y.sAMAccountName) as col match (y:ADAccount{domain:’axusr.net‘}) where y.sAMAccountName in col and y.isactive=’True‘ and not y.sAMAccountName starts with ‚S-1-‚ and not y.objectGUID=““ />

Permanentlink zu diesem Beitrag: https://help.migraven.com/flatten-in-der-datenbank/

Anpassungen einer fremden Datenbank für die Lokale Nutzung

Um eine fremde Datenbank nutzen zu können, sind einige Anpassungen in der Datenbank selbst zu tätigen.

Dafür müssen alle lokalen Maschinennamen angepasst werden.

Dies betrifft 16 Propetries:

Node <Services> PropName (String) PropValue (String)
migRavenDBServiceHost neo4jdatabasemachine PC-02
migRavenDBServiceHost databaseserviceurl net.tcp://PC-02:10291
migRavenDBServiceHost resourcescanimportpath \\PC-02\c$\ProgramData\migRaven\ResourceScanService\Import
migRavenDBServiceHost admonitorimportpath \\PC-02\c$\ProgramData\migRaven\AdMonitorService\Import
migRavenDBServiceHost machine PC-02
migRavenDBServiceHost adscanimportpath \\PC-02\c$\ProgramData\migRaven\AdScanService\Import
migRavenADScanServiceHost adscanserviceurl http://PC-02:8099
migRavenADScanServiceHost machine PC-02
migRavenADScanServiceHost exportpath \\PC-02\c$\ProgramData\migRaven\AdScanService\Export
Services coreserviceurl net.tcp://PC-02:8999
Services machine PC-02
migRavenWeb reportexportpath \\PC-02\c$\Program Files\migRavenWeb\Downloads
migRavenWeb machine PC-02
migRavenResourceScanServiceHost resourcescanserverurl http://pc-02:8077
migRavenResourceScanServiceHost machine pc-02
migRavenResourceScanServiceHost exportpath \\pc-02\c$\ProgramData\migRaven\ResourceScanService\Export



Permanentlink zu diesem Beitrag: https://help.migraven.com/anpassungen-einer-fremden-datenbank-fuer-die-lokale-nutzung/

Neo4j Datenbankabfragen

Unter den folgenden Verlinkungen sind die einzelnen Cypher-Befehle für die beschriebenen Datanbankabfragen zu finden.

AD-Account mit Activ und Lastlogin / Tokensize
Welcher Account ist meinem am ähnlichesten?
Alle Rechte und Gruppenmitgliedschaften einer Abteilung
Rollen Cross-Check
Token-Size berechnen
Rollengruppen mit mehrfacher Berechtigung finden
Mehrfache Gruppenverschachtelung auflösen
Gruppenverschachtelungen Komplexizität
Gruppen in Rekursionen
Löschen von grossen Mengen in Schleifen
Umstellen der Services auf lokale Maschine
Serverlokale Gruppen importieren
ACL-Knoten für Auswertungen bilden
Duplikate/mehrfache Verzeichnisse/Verzeichnisketten finden
Menge an Daten pro Account
Verzeichnisse die keine Dateien enthalten
Verzeichnisse mit verwaisten ACEs

Auswertung aller effektiven Berechtigungen auf Verzeichnissen (inkl. Unterverzeichnisse mit exp. Rechten)

Ermitteln aller Verzeichnisse mit expliziten Rechten
Verzeichnisse mit expliziten Berechtigungen und Alter
Altersanalyse für Verzeichnisse und Dateien älter als (x)
Verwaiste Gruppen
Identifikation der OU eines Accounts

Permanentlink zu diesem Beitrag: https://help.migraven.com/neo4j-datenbankabfragen/

Projekt wird nicht im UI angezeigt

Nach dem Scan werden die Daten in der Neo4j-Datenbank abgespeichert. Sobald dieser Prozess abgeschlossen ist (Speichert zur Db) wird das Projekt auf den Status 0 gesetzt, davor sollte migRaven auf keinen Fall beendet werden.

Continue reading

Permanentlink zu diesem Beitrag: https://help.migraven.com/projekt-wird-nicht-angezeigt/

Ordner/Pfade/Dateien von Scan ausschliessen

Bei jedem ResourcenScanServiceHost existieren unter dem Label Service 3 Attribute:

excludedfolders
excludedfiles
s.excludedpaths

Um gewünschte Pfade, Ordner oder Dateien vom Scan auszuschliessen müssen die jeweiligen Werte hier eingetragen werden. Alle Projekte die nach dieser Änderung gescannt oder neu gescannt werden sind dem Filter unterworfen.

Continue reading

Permanentlink zu diesem Beitrag: https://help.migraven.com/ordner-von-scan-ausschliessen/

HTTP Error 403.14

Wenn der Browser beim aufrufen des Webclients die Fehlermeldung 403.14 auswirft ist die Ursache in den Windows-Features zu suchen:

Continue reading

Permanentlink zu diesem Beitrag: https://help.migraven.com/http-error-403-14/

Datenbank – Heap size anpassen

Je nach Konfiguration des migRaven Servers ist es empfehlenswert den heap size in der Datenbank-Config anzupassen, da ansonsten Schwierigkeiten mit dem Speichern in der Datenbank auftreten könnten.

Continue reading

Permanentlink zu diesem Beitrag: https://help.migraven.com/datenbank-heap-size-anpassen/

Serverlokale Gruppen importieren



Mindestanforderung von migRaven ist die Version 1849

Voraussetzung: migRaven Version 6.4.1848 vom 30.11.2018 

Ziel: Migration aller Serverlokalen Berechtigungsgruppen in Domänenrechte übersetzen 

Wie: migRaven Redesignprojekt mit aktivierter Flatten Funktion.

Voraussetzung: es müssen die Server lokalen Gruppen mit ihren Mitgliedern vorher in die migRaven DB importiert werden. 

Für Windows Server gibt es das untere Script. Für Netapps müssen die NetApp Powershell Tools genutzt werden. 

Ergebnis: neue Domänen Berechtigungsgruppen, die die User flach enthalten. Wenn vorher auch D-Gruppen berechtigt waren, werden diese auch geflattet. Wenn man dies nicht möchte, kann man die Gruppen anhand ihrer Eigenschaft im Folgenden Key ausschließen: 



Anpassung der c:\program files\migraven\migraven.exe.config

Ohne Ausschluss

<add key=“Flatten“ value=“y.type=’person‘ and y.isactive=’True‘ “ />

Mit Ausschluss von bestimmten Gruppen: 

<add key=“Flatten“ value=“y.type=’person‘ and y.isactive=’True‘ and not (y. userprincipalname =~‘.*@ads0003.*‘ or y. userprincipalname =~‘.*@ADS0003.*‘)“ /> 

Exportieren der CSV-Dateien für die Serverlokalen Gruppen:

Mit diesem Script werden alle Serverlokalen Gruppen auf Windows ausgelesen und dann die Member ermittelt 

Es werden 2 CSV erzeugt, die dann wiederum über den CSV Import nach migRaven importiert werden

 


$Computer = "SERVER"
$gruppen = get-wmiobject win32_group -filter "LocalAccount='True'" -ComputerName $Computer
foreach($groupName in $gruppen){
$Gname = $groupName.Name
#$Gname
$Group= [ADSI]"WinNT://$Computer/$Gname,group"
#$Group
$members = $Group.psbase.Invoke("Members")
$name = $members | ForEach-Object { $_.GetType().InvokeMember("Name", 'GetProperty', $null, $_, $null) }
if($groupName.Description -eq "" )
{$groupName.Description = "leer" }
 
[System.Guid]::NewGuid().ToString() + "t" + $groupName.SID + "t" + $groupName.Name +  "t" + $Computer + "t" + $groupName.Description  | out-file  -filePath "c:\temp\lokaleGruppen.csv" -Append
#$name
#$members
foreach ($n in $name){
if (  $n.ToString() -notcontains "System." ) {
      write-host $n
        $memb = (New-Object System.Security.Principal.NTAccount($n)).Translate([System.Security.Principal.SecurityIdentifier]).value
        $groupName.SID + "," + $memb | out-file  -filePath "c:\temp\MemberGruppen.csv" -Append
      }
 
}
}

Entfernen der verwaisten ACEs vor dem ausführen der abschliessenden Scripts mit Ausführen von :
MATCH (n:ADAccount) where n.objectSID ends with ‚-1009‘  detach delete n         (für alle betroffenen ObjectIDs) 

MATCH (n:ACE) where not (n)-[:rel_ace]->() detach delete n ) für alle in der Datenbank

Aus der CSV müssen alle „build-in“ Einträge entfernt werden!

LOAD CSV FROM ‚file:///C:/temp/lokaleGruppen.csv‚ AS line FIELDTERMINATOR ‚\t‘ with line,  

‚merge (l:ADAccount {objectGUID:“‚ +  line[0] + ‚“ }) on create set l.objectSID=“‚ + line[1] +'“ set l.name=“‚+ line[2] + ‚“ set l.domain=“‚ + line[3] + ‚“ set l.commonsid=“0″ set l.type=“group“ set l.sAMAccountName=“‚ + line[2] + ‚“ set l.cn=“‚+ line[2] +'“ set l.distinguishedname=““ set l.isactive=“True“ set l.department=““ set l.description=“‚+ line[4] + ‚“ set l.displayname=““ set l.givenName=““ set l.grouptype=““ set l.sn=““ set l.sAMAccountType=“SAM_NON_SECURITY_GROUP_OBJECT“ set l.ad=“1″ set l.grouptype=“Universal_Security_Group“ set l.adspath=“LDAP://‘ + line[3] + ‚/CN=‘ + line[2]  + ‚,CN=Users,DC=‘ + line[3] + ‚“‚  as cypher  CALL apoc.cypher.doIt(cypher,{}) yield value return value 

Optional, wenn die Rechte nach dem Scan nicht angezeigt werden. Dann muss die ACE mit dem AD Account verbunden werden:

USING PERIODIC COMMIT 1000 LOAD CSV FROM ‚file:///c:/temp/lokaleGruppen.csv‚ AS line FIELDTERMINATOR ‚\t‘ match (a:ACE)-[:rel_right0]->(o:ResourceSearch) where a.sid=line[1] with distinct a, line match (b:ADAccount) where b.objectSID=line[1] merge (a)-[:rel_ace]->(b)

USING PERIODIC COMMIT 1000 LOAD CSV FROM ‚file:///c:/temp/MemberGruppen.csv‚ AS line FIELDTERMINATOR ‚,‘ match (l:ADAccount {objectSID: line[0]}) match (d:ADAccount {objectSID:line[1]}) merge (l)-[:rel_member]->(d)

Wichtig: Damit lokale Konten in der Tabelle angezeigt werden

Es ist zu überprüfen ob die Parameter bei den übernommenen Konten vollständig gesetzt sind.

Dazu insbesondere der Wert adspath

An dieser Stelle sollte die Domäne stehen oder der Wert der unter domain hinterlegt ist.

Am Beispiel einer IP sollte die Cypher-Abfrage/ Änderung des adspath in der Datenbank so ausgeführt werden:

match (n:ADAccount) where n.domain=“10.116.9.38″ set n.adspath=“10.116.9.38″ return n



Permanentlink zu diesem Beitrag: https://help.migraven.com/neo4j-serverlokale-gruppen-importieren/

Load more