Inhaltsverzeichnis
1. Notwendigkeit für Listberechtigungen
In der Regel werden Zugriffsrechte auf NTFS-Fileservern nicht tiefer als bis zur 1. Verzeichnisebene vergeben. Sobald dies aber der Fall ist, muss man dafür sorgen, dass der User auch durch das Filesystem zum entsprechenden Verzeichnis browsen kann. Hier gibt es verschiedene Möglichkeiten mit unterschiedlichen Auswirkungen.
2. Varianten der Vergabe von Listrechten
Zum Browsen durch das Verzeichnissystem kann migRaven flexibel Listberechtigungen aufbauen. Dazu werden grundsätzlich zwei Möglichkeiten angeboten:
- Für die Listberechtigungen werden eigene Berechtigungsgruppen gebildet, die z.B. die “Ändern”-Berechtigungsgruppen aus den unteren Ebenen aufnehmen.
- In den Verzeichnissen unter den Listgruppen bis zu dem explizit berechtigten Ordner (Berechtigungspunkt = BEP) werden die Berechtigungsgruppen (des BEP) für die Vergabe der Listberechtigungen verwendet.
Der optimale Weg ist die Kombination aus beiden Möglichkeiten. Er sollte aber nicht bis in zu tiefe Ebenen hinein verwendet werden, weil sonst der Account in zu vielen Gruppen Mitglied wird. Gleichzeitig darf auch nicht auf Position Eins verzichtet werden, weil sonst in den ACLs der oberen Verzeichnisse zu viele Einträge enthalten sind. Eine ACL kann maximal 1800 ACEs aufnehmen. Zu viele ACL-Einträge machen den Zugriff auf die Verzeichnisse langsam.
3. Listberechtigungen – der technische Aufbau
Die Vergabe der Listberechtigungen sollte nach bestimmten Richtlinien erfolgen. Zum einen gilt hier die Regel dass Berechtigungen nur über Gruppen vergeben werden, niemals direkt (siehe: Direktberechtigungen). Außerdem sollte die Wirksamkeit der Berechtigung auf den entsprechenden Ordner beschränkt werden. Das wird durch die Einstellung “Nur diesen Ordner” bei “Anwenden auf” erreicht:
Rechte einer Listgruppe: entspricht read-execute-Recht, aber angewendet „Nur auf diesen Ordner“
4. Listberechtigungen in migRaven
Man kann einstellen, wo man Listgruppen erzeugt, oder wo man die Berechtigungsgruppen des Berechtigungsendpunktes (BEP) wiederverwendet.
Automatischer Erstellung von Listgruppen im gekennzeichneten Bereich (Ebene 1 bis 3 unterm Share). Darunter werden automatisch Berechtigungsgruppen (des BEP) mit Listrechten bis vor den Berechtigungsendpunkt angelegt.
Konfigurieren können Sie die Werte über den Slider. Der blaue Balken bestimmt von und bis zu welcher Ebene migRaven gesonderte Listgruppen erzeugt. Zwischen 0 = Share und dem linke Ende des blauen Balkens wird von migRaven keine Listberechtigung aufgebaut. Vom rechten Ende des Balkens bis zur expliziten Berechtigung in der von Ihnen konfigurierten Ebene werden die expliziten Berechtigungsgruppen für die Vergabe der Listberechtigungen verwendet.
- Ebene 0: Es werden keine Listrechte erstellt.
- 1. bis 3. Ebene: Es werden Listberechtigungsgruppen erzeugt, welche die Berechtigungsgruppen (z.B. für Read und Modify) der Berechtigungsendpunkte aufnehmen.
- Unter der 3. Ebene: Es werden die Berechtigungsgruppen (z.B. für Read oder Modify) des Berechtigungsendpunktes wiederverwendet, allerdings nur mit Listrechten. Etwas irritierend ist, dass diese Gruppen Suffixe wie m, mx oder w haben, aber oberhalb des BEP nur Listrechte besitzen.
- Für beide Gruppenarten gilt: die Rechte werden nur für diesen Ordner angewandt. D.h. es muss für jede Ebene mind. eine Listgruppe angelegt werden.
5. Auswirkungen am Beispiel eines Modify-Rechtes in der 7. Ebene
Um es vorweg zu nehmen: So tiefe Rechte sind nicht empfehlenswert. Wir sehen in unseren Projekten aber immer wieder Zugriffsrechte dieser Art, häufig bei historisch gewachsenen Rechtestrukturen. Also, was ist nun schlecht oder auch gut am Modify-Recht in der 7. Ebene?
- Der Account wird auf einen Schlag in 4 verschiedenen Gruppen Mitglied: Eine Gruppe für Modify, 3 Gruppen für List –> Erhöhung des Tokensize
- Das Setzen der Berechtigungen geht sehr schnell auf den Ebenen 1-3, weil nur Änderungen im AD anfallen (Gruppenmitgliedschaft)
- Das Setzen der Zugriffsrechte ab Ebene 4 dauert (abhängig von der Anzahl der Dateien) sehr lange
- Die Anzahl der ACEs in der ACL in den Ebenen 1-3 ist gering: gut für die gefühlte Performance beim Zugriff; mehr als 20 – 30 sind spürbar
- Die Anzahl der ACEs ab Ebene 4 kann die empfohlene Anzahl überschreiten lassen
Es können mit migRaven bis in die 10. Ebene automatisch Listberechtigungen aufgebaut werden. Die Methode ist so gewählt, dass sie sich immer selbst bereinigt. Wenn also ein User aus einer bestimmten Berechtigungsgruppe für “Ändern” entfernt wird, dann wird gleichzeitig die Listberechtigung aufgehoben. Wird eine komplette Berechtigungsgruppe für “Ändern” gelöscht, bleibt in dem hier zu sehenden Fall auf den Ebenen 4, 5 und 6 eine verwaiste SID zurück. Die Listberechtigungen der Ebenen 1-3 sind aber komplett sauber.
6. Fazit
Es ist wichtig sich vor dem Aufbau bzw. der Neugestaltung der Listberechtigungen über die genannten Punkte Gedanken zu machen und die einzelnen Auswirkungen gegeneinander abzuwägen. Grundsätzlich empfiehlt es sich mit flachen Berechtigungsstrukturen zu arbeiten weil es die Komplexität der Problematik, nicht nur bei der Vergabe von Listberechtigungen, deutlich verringert. Allerdings kann man mit einer Berechtigungsmanagement-Software auch getrost Wünschen nachkommen, die differenzierte Berechtigungen fordern und damit schnell tiefer als bis zur 3. oder 4. Ebene eines Verzeichnisbaumes gehen.
Sprechen Sie uns an, wenn Sie Fragen zu dem Thema haben!
- Schritt für Schritt – Die Anleitung für die Zusammenarbeit von 8MAN und migRaven
- Video-Empfehlung: Best Practice NTFS Berechtigungen – die große Webinaraufzeichnung!
Bitte kommentieren Sie diesen Betrag mit eigenen Erfahrungen/Meinungen.