zboson
Goto Top

NTFS-Berechtigungen auslesen und Abteilungsverzeichnisse mit Freigaben und Berechtigungen erstellen

Vor einigen Wochen war ich auf der Suche nach einem Tool, um die Verzeichnisberechtigungen eines alten Servers aus einer Zweigniederlassung zu analysieren. Der Server wird mit anderen durch ein NAS ersetzt und abgeschaltet. Wir benötigen einen Überblick über die dort vorhandenen Berechtigungen, um die Daten sinnvoll migrieren zu können. Da wir für das NAS einheitliche Rechtevorgaben entwickelt haben, sind einige Umstrukturierungen notwendig, und dafür benötigen wir einen Einblick in die aktuell definierten Strukturen (die vermutlich nicht mehr wirklich konsistent sind).

Im Rahmen der Suche bin ich auf ein Programm mit Namen Parks Authorization Manager (PAM) gestoßen, mit dem man Verzeichnisberechtigungen und Active Directory-Gruppen verwalten kann. Wir haben unsere Server-Analyse dann erfolgreich durchführen können. In diesem Artikel möchte ich beschreiben, wie wir die Verzeichnisrechte analysiert und die neuen NAS-Berechtigungen aufgesetzt haben. Ich hoffe, dass unsere Lösungsansätze auch für andere interessant sind.

Das Programm verwaltet Verzeichnisstrukturen und Active Directory-Sicherheitsgruppen. Man definiert sich Beispielverzeichnisse mit Berechtigungen und nutzt diese dann, um Abteilungs- oder Projektverzeichnisse einzurichten. Das Programm PAM legt die Verzeichnisstrukturen an, erzeugt die benötigten Sicherheitsgruppen im AD und konfiguriert die Zugriffsrechte in den ACLs der Verzeichnisse (NTFS-Formatierung ist eine Voraussetzung für die Nutzung des Programms). Man kann dann über PAM das Verzeichnis im Netzwerk freigeben. Die Freigabeberechtigungen werden auch von PAM direkt konfiguriert.



back-to-topAnalyse des Altsystems

In einem ersten Schritt haben wir die Berechtigungen unseres alten Servers analysiert. Dazu konnte man einfach den Pfad des Startverzeichnisses angeben und das Programm hat dann dort die Analyse der Berechtigungen begonnen. Nach einigen Minuten war die Analyse abgeschlossen und PAM präsentierte die Ergebnisse in einem Baum, der die Verzeichnisstruktur darstellt. Mit Hilfe einer farblichen Markierung konnte man schnell sehen, ob eine Datei oder ein Verzeichnis geänderte Berechtigungen gegenüber einem übergeordneten Verzeichnis haben. Die Analyse ist schnell, ein großes Verzeichnis mit über 45.000 Dateien und vielen verschiedenen Berechtigungen wurde in ca. 30 Sekunden ausgewertet (siehe Bild).

ae9aa66634845e744522007741277290

Durch Anklicken eines Verzeichnisses oder einer Datei im Baum werden die Berechtigungen und Gruppen angezeigt (rechts im Bild). Durch Anklicken einer Gruppe, die wie im Internet Explorer als Link dargestellt wird, gelangt man in die Management-Konsole und hat dort direkten Zugriff auf die Benutzer, die der Gruppe zugeordnet sind.

Die analysierten Berechtigungen lassen sich auch in eine Textdatei exportieren, wenn man sie mit einem anderen Programm weiterverarbeitet will (MS Access o.ä.).


back-to-topPlanung der Verzeichnisstrukturen

Nachdem wir die alten Berechtigungen ausgelesen hatten, haben wir für Abteilungen und Projekte Verzeichnisstrukturen entworfen, die einheitlich sind und daher auch von Skripten erstellt werden können. Später können dann auf Anforderung der Fachabteilungen zusätzliche Unterverzeichnisse mit Berechtigungen erstellt werden. Hier können dann die alten Berechtigungen wieder einfließen.

Die Berechtigungen in den Verzeichnissen müssen nach den Rollen der Mitarbeiter getrennt werden. Wir erzeugen daher in jedem Abteilungsverzeichnis Unterverzeichnisse für die Mitarbeiter und die Abteilungs-/Projektleitung ein.

Mitarbeiter einer anderen Organisationseinheit können auf Antrag Leserechte erhalten, allerdings nur für die öffentlichen Verzeichnisse der Abteilung. Ein direkter Schreibzugriff darf aus Sicherheitsgründen nicht erteilt werden, die Mitarbeiter müssen sich dann per E-Mail verständigen (bei Einzelfällen) oder ein Projektverzeichnis beantragen. Ein Zugriff auf interne Verzeichnisse (Mitarbeiter oder Leitung) ist grundsätzlich ausgeschlossen.

Für die Verwaltung der neuen Verzeichnisse müssen zunächst Stammdaten in PAM angelegt werden.


back-to-topAbteilungen erzeugen

Beim ersten Start des Programms gibt man den Namen des Unternehmens an, dessen Server verwaltet werden sollen. Für dieses Unternehmen können dann Organisationseinheiten erzeugt werden, z.B. Abteilungen oder Projekte. Es ist auch möglich, eine Liste von Abteilungen aus einer Textdatei zu importieren, was die Arbeit deutlich erleichtert.

63e96d10232aa3c4901dd28a7f35b054


back-to-topVerzeichnisvorlage anlegen

Anschließend haben wir eine Verzeichnisvorlage erstellt, die die von uns gewünschte Struktur eines Abteilungsverzeichnisses enthält. Beim Erstellen der Verzeichnisvorlagen haben wir ein bisschen herumprobiert, aber es wurde uns doch schnell klar, wie das dann in PAM funktioniert.

In einer Verzeichnisvorlage definiert man zunächst die Verzeichnisstruktur, die jedes Abteilungs- oder Projektverzeichnis erhalten soll, das mit Hilfe dieser Vorlage erstellt wird. In PAM werden die Verzeichnisse allgemein Organisationsverzeichnisse genannt.

Für jeden Unterordner können Active Directory-Gruppen mit Berechtigungen definiert werden. Der Clou: über Platzhalter in den Namen der Gruppen kann bei der Erzeugung eines Verzeichnisses ein Gruppenname erzeugt werden, der den Abteilungs- oder Projektnamen enthält.

Für unsere neuen Abteilungsverzeichnisse haben wir uns eine einheitliche Struktur überlegt. Das Abteilungsverzeichnis enthält zwei Unterverzeichnisse R_Mitarbeiter und R_Leitung. In R_Mitarbeiter haben alle Mitglieder der Abteilung Zugriff, in R_Leitung nur der Abteilungsleiter und seine Assistenz. Im Hauptverzeichnis der Abteilung haben Mitglieder einer Gastrolle Leserechte.

Im Ergebnis ergibt sich folgende Struktur mit den entsprechenden Active Directory-Gruppen, die dann als Verzeichnisvorlage angelegt wird:

Verzeichnis AD-Gruppen und Rechte
/ O_$(OrgUnit)_Gast_R, O_$(OrgUnit)_Mitarbeiter_RWD
/R_Mitarbeiter O_$(OrgUnit)_Mitarbeiter_RWD
/R_Leitung O_$(OrgUnit)_Leitung_RWD

Der Gruppenname enthält den Platzhalter $(OrgUnit), der später durch den Abteilungsnamen ersetzt wird. Wenn mit dieser Vorlage ein Verzeichnis für die Abteilung "Buchhaltung" angelegt wird, heißen die erstellten Gruppen im Active Directory O_Buchhaltung_Gast_R, O_Buchhaltung_Mitarbeiter_RWD usw.

dd7e9606c0d2ca677d9c41b9e280f25b

Durch die hierarchische Struktur können Gruppen im Active Directory in verschiedenen Organisationseinheiten erstellt werden, z.B. um eine Trennung nach Standorten zu implementieren.

7207c6173a17596342b892a7c5a354ce


back-to-topStammverzeichnis für Abteilungen anlegen

Anschließend erzeugt man ein Stammverzeichnis, in dem die neuen Abteilungsverzeichnisse angelegt werden sollen.

b92b5c105abb57c577bb053aa56a0c41

Damit sind die Vorarbeiten abgeschlossen und wir können ein neues Abteilungsverzeichnis erstellen.


back-to-topDas erste Abteilungsverzeichnis erzeugen

Um es zu testen haben wir uns erstmal eine Abteilung ausgesucht. Ein Wizard führt uns durch die Erstellung des Abteilungsverzeichnisses. Zunächst werden ein paar organisatorische Daten, wie Unternehmen und die Organisationseinheit eingestellt. Danach werden die zuvor erstellte Verzeichnisvorlage (mit den Verzeichnisstrukturen und Berechtigungen), das Stammverzeichnis, wo das ganze hinterher abgelegt werden soll und der neue Verzeichnispfad angegeben. Bevor alles durchgeführt wird, erscheint nochmal eine Vorschau, in der man kontrollieren kann, ob die Einstellungen korrekt waren. Wenn alles in Ordnung ist, kann man das Organisationsverzeichnis fertigstellen und das geplante Abteilungsverzeichnis mit Unterverzeichnissen und Berechtigungen wird automatisch angelegt.

eff66bc2ca25f51df4865d3eb9b54e23

88f8d41c3f4dac7f7e7c3d04e67bb419

75de7f218a76ed92d4d8f8b073476a00

So sehen die Berechtigungen des Unterverzeichnisses R_Leitung im neuen Abteilungsverzeichnisses aus:

05833788332537032bc42f9a4dc40d56

Übersicht der neu erzeugten Gruppen im Active Directory:

99c00407731531d0b837d57d9eb96038

Mit dieser Methode können jetzt alle weiteren Abteilungsverzeichnisse erstellt werden.


back-to-topFazit

Wenn man das System einmal durchschaut hat, ist es echt einfach. Das Programm ist verständlich und komfortabel, so dass man schnell hineinkommt.

Content-Key: 138876

Url: https://administrator.de/contentid/138876

Ausgedruckt am: 30.03.2024 um 00:03 Uhr

Mitglied: Dani
Dani 24.03.2010 um 23:21:53 Uhr
Goto Top
Moin, Moin,
das ist ja echt mal schick...für kleine und mittelständische Unternehmen ist das sicherlich eine Arbeitserleichterung. Probier ich doch glatt mal in unserem Labor aus.


Grüße,
Dani
Mitglied: SamvanRatt
SamvanRatt 31.03.2010 um 11:13:19 Uhr
Goto Top
Hallo
auch eine Methode; wir haben setacl im Einsatz um Umzüge und auch Neustrukturen anzulegen; nicht optisch reizvoll, aber die Auswertung und 1:1 Kopien auf neue Server ist beachtenswert.
Gruß
Sam
Mitglied: zboson
zboson 18.10.2012 um 20:48:18 Uhr
Goto Top
Interessanter Blog-Artikel zum Thema, der mit Tipps und Tricks beschreibt, wie man Verzeichnisstrukturen für Server ganz allgemein definieren kann:
http://parks-informatik.de/blog-details/items/verzeichnisstrukturen-pro ...