Powered by ZigaForm version 4.0

Category: Sonstiges

Rollen und Rechte – Erweiterte Einstellungen

2.4.1 Erweiterte Einstellungen

migRaven.24/7 verfügt über ein eigenes Rollen- und Rechtesystem. Damit User tätig werden können, müssen ihnen die entsprechenden Rollen zugewiesen werden. Die Eigenschaften der Rollen können angepasst werden. Es gibt ein festes Set an Rollen mit festgelegten Namen. Die Rechte und Funktionen innerhalb der Rollen können individuell angepasst werden.
Hinweis: die Rollen wirken sich ausschließlich auf die Funktionen des Web-Client aus. Müssen aber im Konfigurations-Client eingestellt werden.

 

1. Rollen Designer

Im ersten Schritt sind 8 Rollen namentlich vordefiniert:

Vordefinierte Rollen
Enterprise Administrator Hat alle Rechte im Webclient. Kann alle Daten einsehen.
Data Owner Rolle wird automatisch gefüllt, wenn einem Account die Ownerschaft für ein Verzeichnis zugewiesen wird. Ownerschaft zuweisen….
Deputy Data Owner Stellvertreter des Data Owner. (aktuell noch nicht in Verwendung)
Requester Account, der sich einloggen und über Folder Self Service Verzeichnisse erstellen kann. Nach der ersten Erstellung eines Verzeichnisses erhält dieser User auch die Rolle des Data Owners. Empfehlung: Zuweisung der Gruppe Domänen-Benutzer.

Hinweis: muss gesetzt sein, um Folder Self Service nutzen zu können
Revision Revision, z.B. für Wirtschaftsprüfer bzw. Steuerprüfer
Administrator 1 z.B. Helpdesk
Administrator 2 z.b.V.
Administrator 3 z.b.V.

Diesen Rollen können Sie hier differenzierte Rechte erteilen.
Vorrangig werden Rechte auf Menüpunkte des Web Clients gegeben, die entsprechend ein- bzw. ausgeblendet werden.
Dem Enterprise Administrator wurden schon alle Rechte gegeben, er kann den WebClient in vollem Umfang nutzen. Er kann als einziger alle Bereiche einsehen.

Um einem Data Owner den Zugriff auf seine Bereichsdaten zu ermöglichen, sind ihm folgende Rechte zu gewähren:

Wichtig:
Der Eintrag wird erst wirksam, wenn Sie in der Kopfzeile bei „Kommentar (benötigt):“ einen Kommentar eintragen und rechts mit „Änderungen speichern“ den Eintrag bestätigen. Dieses Kommentarfeld ist sehr nützlich. Sie können hier hinterlegen, z.B. auf wessen Veranlassung der Nutzer als Data Owner berechtigt wurde.

Rollen Designer

Für den Data Owner empfohlene Standardeinstellungen. Änderungen werden nur mit Eingabe eines Kommentars in der Kopfzeile und Betätigen des Buttons „Änderungen speichern“ desichert..

2. Kontenverwaltung

Im zweiten Schritt werden den Rollen Nutzer zuordnet.
Es können jeder Rolle mehrere Accounts zugeordnet werden.

Hinweis: der installierende Administrator von migRaven sollte als erster "Enterprise Administrator" von migRaven eingetragen werden. Damit erhält der Account auch die Rechte zum Login in den Web-Client von migRaven.

Nach den ersten Buchstaben zeigt migRaven Ihnen eine Liste der infrage kommenden Accounts. Der ausgewählte Account wird mit „Add Account“ bestätigt. Das reicht aber nicht. In der Kopfzeile muss der Eintrag mit einem Kommentar und „Save Changes“ bestätigt werden.

Manage Accounts
Auch dieser Eintrag muss unbedingt in der Kopfzeile mit einem Kommentar und „Save Change“ bestätigt werden.

3. Dem Data Owner auf Verzeichnisse Berechtigungen geben

Hat der Data Owner nun auf alle Verzeichnisse diese Rechte?

Nein!  Auf welche Verzeichnisse er die festgelegten Rechte erhält, wird in der Projektverwaltung im View- oder Drag&Drop-Modus festgelegt, mit der Funktion „Data Owner auswählen…“.

Permanentlink zu diesem Beitrag: https://help.migraven.com/rollen-und-rechte-erweiterte-einstellungen/

Obsolete Data Analyse


Obsolete Data Analyse

Die Obsolete Data Analyse gibt Aufschluss über das Alter der abgelegten Daten. Sie können somit identifizieren wie viele und welche Dateien möglicherweise unnötigen Speicherplatz in den Verzeichnissen belegen. Dies ist insbesondere relevant für die Data Retention.

Wählen Sie ein Projekt, den Filter für das Alter der Daten und klicken Sie auf Start

Sie erhalten verschiedene Grafiken, die Ihnen die Aufteilung des Datenalters (nach Vorgabe des Filters) im Bezug auf ihre Grösse darstellen. Hier lässt sich übersichtlich feststellen, wie viel Potenzial für das Verschieben nicht mehr relevanter Daten vorhanden ist.



Permanentlink zu diesem Beitrag: https://help.migraven.com/obsolete-data-analyse/

Data Retention log wird nicht gespeichert

In einer früheren Version von migRaven war es möglich den Pfad für die
Log-Aufzeichnungen innerhalb des Verzeichnisses zu setzen.
Dieser war bei der Standardeinstellung auf \ProgramData\migRaven\archiveLog


Bei einem Update auf eine neuere Version wird diese Einstellung nicht entsprechend migriert.

Seit Version 6.3.19351 wird ausdrücklich ein Pfad dafür verlangt.
Wenn ein Update durchgeführt wurde kann es also zu Fehlern in der
neueren Version kommen, dh. das Log wird nicht angelegt.

Prüfen Sie ob ein ein entsprechender Ordner angegeben ist und setzen
Sie einen fest falls dies nicht der Fall ist.

Relevant für den Data Owner

Die Protokolldateien werden weiterhin unter „ProgramData\migRaven\archiveLog“ angelegt und sind ggf. nicht durch den Data Owner zu erreichen.

Bitte konfigurieren Sie eine Freigabe, auf der auch das Konto „Authentifizierte Benutzer“ Leserechte hat, da diese Protokolldateien vom Anwender über die Aufgabenüberwachung heruntergeladen werden können.

Alte Oberfläche

Neue Oberfläche

Permanentlink zu diesem Beitrag: https://help.migraven.com/data-retention-log-wird-nicht-gespeichert/

4.5 Kontoberechtigungen – Analyse

Häufig wird an die IT die Frage herangetragen, wo ein Benutzer überall berechtigt ist. Diese normalerweise sehr aufwändig zu beantwortende Frage wird von der Kontoberechtigungen Analyse schnell und ausführlich beantwortet. Bei Bedarf kann das Ergebnis nach Excel exportiert werden, um es z.B. mit Vorgesetzten, dem CSO oder Data Ownern zu besprechen.

Der große Vorteil dieser Analyse ist, dass alle wesentlichen Details zu den Berechtigungen ausgegeben werden. Zu jedem Verzeichnis, auf dem das Konto berechtigt ist, wird der komplette Berechtigungspfad dargestellt, also über welche Gruppenmitgliedschaft(en) das Recht gesetzt ist oder ob der Benutzer direkt berechtigt ist. Zusätzlich können auch Detailinformationen zu jedem Berechtigungseintrag (ACE) analysiert werden.

Wählen Sie das Konto (Benutzer oder Gruppe), für welches Sie die Berechtigungen analysieren möchten.

Als erstes wird Ihnen eine Vorschau auf die zu erwartende Liste angezeigt, aufgrund derer Sie entscheiden können, ob Sie sich die Liste im Webclient anschauen möchten oder ob Sie direkt den Export anstoßen möchten. Den Export können Sie aber auch später noch aus der Listenansicht starten.“

Über „View“ kann nun die Detailliste generiert bzw. sofort der Excel Export angestoßen werden.

Permanentlink zu diesem Beitrag: https://help.migraven.com/account-berechtigungs-report/

4.4 Gruppenmitgliedschaft – Analyse

Gruppenverschachtelungen sind mit Microsoft Bordmitteln nur sehr schwierig nachzuvollziehen. Diese Analyse bietet eine Übersicht über die effektiven Mitglieder und Mitgliedschaften von Gruppen und Benutzerkonten.

Nachdem Sie das gewünschte Konto gesucht haben, werden im linken Feld alle Gruppen angezeigt, in denen das ausgewählte Konto Mitglied ist. Dabei werden sowohl direkte als auch indirekte Mitgliedschaften berücksichtigt. Sollte ein Konto direkt und indirekt Mitglied sein, werden beide Informationen angezeigt.

Auf der rechten Seite werden alle Konten angezeigt, die Mitglied im ausgewählten Konto sind. Auch hier werden sowohl direkte als auch indirekte Mitgliedschaften berücksichtigt. Diese Information ist natürlich nur für Gruppen verfügbar, bei einem ausgewählten Benutzerkonto bleibt die rechte Seite leer. Mit einem Klick auf das Lupensymbol nehmen Sie das entsprechende Konto in den Fokus und können sich für dieses die Mitgliedschaften anzeigen lassen

Permanentlink zu diesem Beitrag: https://help.migraven.com/gruppen-mitgliedschaft-report/

4.3 Alle Benutzerkonten – Analyse

Neben Gruppen sind auch Benutzerkonten ständigen Änderungen unterworfen. Besonders die Konten von Mitarbeitern, die das Unternehmen verlassen haben, stellen eine große Gefahr dar. Unbefugte Zugriffe auf das interne Netzwerk sollten
vermieden werden.

Diese Analyse liefert eine Liste aller Benutzerkonten, deren Status und der letzten Anmeldung. Auf dieser Basis können schnell alle Konten identifiziert werden, die scheinbar nicht mehr verwendet und somit deaktiviert werden können.“

Navigation zum „All User Accounts“ Reports

Zur leichten Weiterverwendung kann dieser Report als Excel-Datei exportiert werden.

Empfehlung: gleichen Sie diese Liste mit der HR Abteilung regelmäßig ab. Besser wäre noch die Einführung eines IAM Systems
welches dafür sorgt, dass Konten automatisch nach dem Austritts eines Mitarbeiters aus dem Unternehmen deaktiviert oder gelöscht werden.

Permanentlink zu diesem Beitrag: https://help.migraven.com/alle-user-accounts-report/

4.1 Active Directory Statistik

Auf dieser Seite finden Sie eine globale Übersicht über die Benutzerkonten und Gruppen in der ausgewählten Domäne.

Durch das Auswählen der Domäne (falls mehr als eine vorhanden ist) können alle Details angezeigt werden lassen.

User Accounts:
Zeit die Anzahl der aktivierten und deaktivierten Accounts an, aufgeteilt zwischen
Benutzer-Account und Admin-Account.

Security Groups:
Hier wird die Anzahl der Sicherheitsgruppen angezeigt.

Universal Groups
Global Groups
Domain Local Groups
Build-In Groups


Beim Klick auf eine der Kennzahlen erhalten Sie eine Detailansicht der relevanten Konten, die auf Wunsch exportiert werden kann.“

Bestimmte Bereiche sind interaktiv und öffnen Detaillisten auf der rechten Seite.

Identifizieren Sie u.a. administrative Konten, Gruppen ohne Mitglieder und behalten Sie die Größe des Kerberos Tokens im Auge.

Der Tokensize Report berechnet über die Anzahl der Gruppenmitgliedschaft unter Berücksichtigung der Gruppentypen die Kerberos Tokensize Größe. Es werden nur die Top 5 angezeigt. Es kann aber auch ein Excel Report mit den Details über alle Benutzer erzeugt werden.

Permanentlink zu diesem Beitrag: https://help.migraven.com/active-directory-statistik/

4.2 Konten ohne Berechtigung

Genau wie im Dateisystem ist es auch im AD notwendig, in regelmäßigen Abständen Cleanups durchzuführen. Neben den Benutzerkonten gibt es oft ein Vielfaches an Gruppen im Active Directory. Viele dieser Gruppen entstehen durch das Setzen von Berechtigungen auf Verzeichnissen. Aber auch das Verzeichnisstruktur unterliegt ständigem Wandel, weshalb viele Gruppen nach kurzer Zeit wieder verwaisen.

Sie können gezielt suchen über:

  • einen aufgabentypischen Namensteil suchen z.B. dem Präfix „fs_“
  • einen speziellen Ablageort im AD

Als Ergebnis wird eine Liste aller Gruppen erzeugt, die aktuell in keiner ACL mehr verwendet werden. Voraussetzung dafür ist, dass sich alle ACLs in der DB von migRaven befinden dh. die Verzeichnisse müssen als Projekt in migRaven eingelesen sein.
Ansonsten können keine Verzeichnise von migRaven analysiert werden.

Menu

Über dieses Menü können Sie die Suche optimieren.

Wenn Sie nach direkt berechtigten Gruppen suchen, wählen Sie diese Form.


Results

Die Liste kann zur weiteren Verwendung zb. in PowerShell Skripten als Excel-Datei exportiert werden.
Vor der Löschung der Konten sollte aber auf jeden Fall Rücksprache gehalten werden, damit nicht Konten gelöscht werden die noch benötigt werden.

Permanentlink zu diesem Beitrag: https://help.migraven.com/verwaiste-berechtigungsgruppen/

Reports und Analysen von migRaven

migRaven.24/7 bietet an verschiedenen Stellen die Möglichkeit grafische Analysen oder Excel Reports zu generieren. Außerdem ist die zentrale „Aufgabenüberwachung“ ein zentraler Punkt um eine Übersicht über alle Archivierungs- und Verzeichniserstellungsaufträge zu bekommen.

SIe erhalten Sie nachfolgend eine Übersicht über die verschiedenen Reports die in migRaven.24/7 angeboten werden.

Visualisierung der Datenstruktur – Sprecher: Thomas Gomell

Permanentlink zu diesem Beitrag: https://help.migraven.com/reports-und-analysen-von-migraven/

Verzeichniserstellung als Self Service

Siehe Userguide

Permanentlink zu diesem Beitrag: https://help.migraven.com/verzeichniserstellung-als-self-service/

Load more