clever38
Goto Top

Verzeichnisse und deren Inhalt auf NTFS Berechtigungen überprüfen

Hallo,

habe da folgendes Problem, soll Verzeichnisse und deren Inhalt (rekursiv) auf W2k3 NTFS Berechtigungen
überprüfen. Nur ein Bestimmte User bzw. Gruppe dürfen auf den Inhalt des
Verzeichnisses/Files zugreifen Es gibt diverse Software die diese aufgaben
übernehmen können ab die Kosten eine Menge Kohle.
Habe im Internet ein wenig rumgestöbert und bin immer wieder auf VBS gestoßen
Spezial WIN32_Share,Win32_Logical,Win32_ security.
Kurz zusammengefasst das Programm soll Verzeichnisse und der Inhalt
auf NTFS Berechtigungen überprüfen und Abweichungen ausgeben,
am einfachste währe es per Prompt anzugeben zb. "pruefung_ntfs Verzeichnisse User/Group".

Für einen Lösungsansatz währe ich sehr Dankbar.

Content-Key: 92035

Url: https://administrator.de/contentid/92035

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: Nailara
Nailara 15.07.2008 um 09:40:16 Uhr
Goto Top
Hi,

versuch es erst gar nicht - die Software kostet wirklich sehr viel Geld und das aus gutem Grund.

Kannst Du nicht einfach die Berechtigungen zyklisch überbügeln? xcacls (http://support.microsoft.com/kb/318754/de) ist da sehr hilfreich und für ein bisserl Spass bei den Optionen sorgt eine GPL-Software, die Du auf Sourceforge finden kannst.

Was sich bei mir bewährt hat ist eine Umstellung in der Struktur der Daten mit folgenden Überlegungen:

a) es gibt ein privates Homeverzeichnis, auf das ausschließlich der User Zugriff hat.
b) es gibt ein Abteilungsverzeichnis, wo nur die Abteilung Zugriff hat
c) es gibt einen Austauschordner für alle, der regelmäßig geleert wird
d) es gibt n+1 Projektordner, die für das saubere Wegsortieren der Unterlagen genutzt werden

Für jeden Ordner gibt es eine korrespondierende AD-Gruppe, wo die berechtigten User eingetragen werden. Diese korrespondierende Gruppe wird auf das Filesystem als Rechtegruppe übertragen. Zur Unterscheidung gibt es maximal noch <Gruppenname>-RO und <Gruppenname>-RW. RO für ReadOnly, RW für ReadWrite. Damit kannte das Berechtigung prüfen dann auch Skripten und das sehr bequem und Du weisst immer, wer welche Rechte hat - durch die Zuordnung zu AD-Gruppen taucht bei dem User in der Gruppenübersicht jeweils die Mitgliedschaft auf und die kannste verfolgen face-smile.

Die User müssen dann ein bisser mitdenken - zugegeben, wenn Du das aber durchsetzen kannst, hast Du sehr leichtes Spiel und der Adminaufwand senkt sich maßgeblich.

Grüße Mathias
Mitglied: clever38
clever38 15.07.2008 um 09:58:34 Uhr
Goto Top
Hallo Nailara (Mathias Herbst)

erst mal Danke für deine Schnelle Hilfe, Ich möchte keine Rechte Setzen ich möchte Sie nur
Kontrollieren, Hintergrund ist das Verzeichnis A die Konkurrierenden Firma von
Verzeichnis B ist also wäre es verhängnisvoll wenn einer auf Dateien des jeweiligen Konkurrierenden Firma zugreifen kann, aus diesem Grund muss ich die Verzeichnisse
in regelmäßigen abständen überprüfen. (es sind ca. 30000 bis 90000 Files die überprüft werden müssen).
Mitglied: 60730
60730 15.07.2008 um 10:03:50 Uhr
Goto Top
Moin,

besorg dir aus dem W2k Reskit das Xcacls.exe
bau dir eine Batch - sinnngemäß:

xcalcs.exe %windir% /t >\\server\freigabe\%computername%
xcalcs.exe %programfiles% /T >>\\server\freigabe\%computername%
http://support.microsoft.com/kb/318754/de

edit:

*upps* der gleiche Link, wie der von Nailara (Mathias Herbst) - wobei mein Augenmerk auf "Verwenden von "Xcacls.exe" zum Anzeigen von Berechtigungen" war.
Mitglied: Nailara
Nailara 15.07.2008 um 10:29:34 Uhr
Goto Top
Hi ...

naja - ob nun konkurrierende Firma oder konkurrierende Abteilung - das kommt auf das gleiche raus - daher macht eine solche Aufteilung auch bei unterschiedlichen Firmen Sinn - analog übertragen versteht sich.

Die beste Methode ist wahrscheinlich, auf die Freigabe selbst eine Berechtigung zu setzen und damit dafür zu sorgen, dass Firma A definitiv keinen Zugriff auf Verzeichnis von Firma B bekommt. Damit sind die darunter liegenden NTFS-Rechte eher nebensächlich.

Einzig problematisch ist das Verschieben von Dateien innerhalb des Filesystems von Verzeichnis A nach Verzeichnis B. Beim Verschieben innerhalb einer Partition bleiben die Rechte erhalten und wahrscheinlich kann das nur der Admin machen und den kennste persönlich face-wink.

Ansonsten sind es immer Kopieraktionen und dabei werden die Rechte vom Zielordner übernommen. Voraussetzung ist jedoch in der Tat, dass aus Firma A niemand Zugriff auf Firma B hat und umgekehrt. Kritisch würde es werden bei einem Azubi, der rumgereicht wird oder bei einer geshareten Sekretärin face-wink

Also wäre ein gangbarer Weg, die Rechte einmal mit xcacls neu und richtig zu setzen, die Freigaben einzuschränken und dann nach Malle zu düsen und monatlich acht Stunden Überprüfung abzurechnen face-wink

Mathias
Mitglied: Admin666
Admin666 15.07.2008 um 14:41:49 Uhr
Goto Top
Vielleicht hilft dir dieses Tool weiter?

http://www.heise.de/software/download/dumpsec/55505
Mitglied: 98094
98094 23.08.2011 um 21:37:27 Uhr
Goto Top
Hi,

ich kann mich nur der Meinung von Mathias anschließen. Es gibt in der Regel einen Grund, warum die Hersteller für ihre Lösungen Geld verlangen. Einer der wichtigsten Gründe hängt mit dem Ziel der Auswertung zusammen. Du willst letztlich ein "Security Audit" durchführen. Also in regelmäßigen Abständen Berechtigungen auswerten, gegenüberstellen und vor allem bewerten.

Jedesmal wenn um Bewertung von Informationen geht, kommt es vor allem darauf an, wie die Daten aufbereitet sind. Es gibt nichts schlimmeres als kryptische Daten, die man nicht vernünftig verwenden kann. Sicherheitsprobleme müssen einem ins Auge stechen und nicht erst zusammengesammelt werden. Dann muss man nämlich wissen, was man überhaupt sucht. Und da liegt der Hase im Pfeffer!

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller um die Richtigkeit der Daten kümmert.
Vor allem wenn es um kritische Daten geht, wäre hier am falschen Ende gespart.

Viele Grüße,
Thomas Gomell
aikux.com
Mitglied: 60730
60730 24.08.2011 um 10:46:55 Uhr
Goto Top
Zitat von @98094:
Hi,

Es gibt nichts schlimmeres als ...

Servus,

Sei mir nicht böse, aber in meinen Augen gibts nix schlimmeres, als undokumentierte Netze und Totengräber, die Threads ausgraben, die älter als mein Kind ist.

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller um die Richtigkeit der Daten kümmert.

Sagt wer? - der Hersteller?
  • Und wenn du schon Werbung für dein Produkt machst, nenn doch mal die Anforderungen an Hard & Software und die Preise.

Denn - ich habe deine Seite gestern mal besucht - um so schnell zu sein, ist die Abfrage / oder das Video dazu - entweder (was ich nicht unterstellen will) getürkt, läuft nur über eine Platte, die kleiner ist, als jede Notebookplatte - oder da läuft eine interne DB mit, rein NTFS kann es nicht sein.

gruß
Mitglied: 98094
98094 24.08.2011 um 11:22:29 Uhr
Goto Top
Hi,

Sei mir nicht böse, aber es gibt immer mehrere Wege um zum Ziel zu kommen. Ich bin seit Jahren als Consultant im IT-Security umfeld tätig und habe da schon einiges gemacht und einiges gesehen. Es gibt schnelle Lösungen, die für den Augenblick sinnvoll sind und es gibt Lösungen die für größere Strukturen mit mehreren hundert Usern, zig Server und für den täglichen und dauerhaften Betrieb konzipiert wurden.

Ich habe volle Hochachtung vor allen erfahren Administratoren, die sich auch über Scripte helfen können. Aber....

Ich selber bin kein Hersteller sondern nur Partner des Herstellers und kann über das Produkt nur gutes berichten.


Zitat von @60730:
> Zitat von @98094:
> ----
> Hi,
>
> Es gibt nichts schlimmeres als ...

Servus,

Sei mir nicht böse, aber in meinen Augen gibts nix schlimmeres, als undokumentierte Netze und Totengräber, die Threads
ausgraben, die älter als mein Kind ist.

> Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller
um die Richtigkeit der Daten kümmert.

Sagt wer? - der Hersteller?
  • Und wenn du schon Werbung für dein Produkt machst, nenn doch mal die Anforderungen an Hard & Software und die Preise.

Denn - ich habe deine Seite gestern mal besucht - um so schnell zu sein, ist die Abfrage / oder das Video dazu - entweder (was ich
nicht unterstellen will) getürkt, läuft nur über eine Platte, die kleiner ist, als jede
Notebookplatte - oder da läuft eine interne DB mit, rein NTFS kann es nicht sein.
Fallst du dich mit dieser Aussage auf die Performance der Aplikation im Film beziehst, ist es in der Tat so, das da eine Datenbank im Hintergrund läuft. Es wäre gar nicht möglich diese Auswertungen in Echtzeit gegen den Fileserver und das AD laufen zu lassen. Gehen wir nur mal von dem Fall aus, dass es eine tiefe Verschachtelung der Gruppen gibt, über die die Berechtigungen vergeben wurden oder gar schleifen innerhalb der Gruppen. Das würde eine Auswertung gegen ein großes Echtsystem zu einem Jahrhundertprojekt machen. Oder noch besser, wenn ich eine komplette Auswertung über 50 oder 100 Fileserver in einem Unternehmen mit verteilten Standorten durchführen möchte.8MAN kann sowas ohne Probleme.
8MAN ist eine Enterprise Applikation, die mit einer Multitierumgebung läuft. Es gibt im Hintergrund einen SQL-Server der regelmäßig mit Daten versorgt wird. Ein Kollector sammelt die Daten vom AD und von den Fileservern ein, führt diese in der Datenbank zusammen und macht sie so auswertbar.

Je nach Größe des zu überwachenden Systems gibt es auch verschiedene Anforderungen. Grundsätzlich benötigt man aber einen MS-SQL Server(Express bis 500 MA). Ansonsten läuft 8MAN als Dienst auf einem Windows Server mit. Die GUI ist in .net gschrieben.

Was den Preis angeht, kann ich hier nur so viel sagen, dass 8MAN über die Anzahl der User im Unternehmen lizensiert wird. An dieser Stelle einen Preis veröffentlichen ist ungünstig, weil diese einer Veränderung unterliegen, dieser Text aber für die Ewigkeit ist. Der Hersteller oder auch ich geben da gern Auskunft. Und es macht eh Sinn, sich erstmal über die Funktionen ein Bild zu machen, bevor man über Preise spricht.

gruß

Viele Grüße, Thomas Gomell
http://www.aikux.com
Mitglied: Biber
Biber 24.08.2011 um 19:14:50 Uhr
Goto Top
Moin lieber tgomell,

gestern abend bat ich dich in insgesamt drei ausgegrabenen Zombie-Beiträgen (insgesamt so alt, dass ich in öffentlichen Verkehrsmitteln meinen Sitzplatz anbieten würde), doch bitte nicht noch mehr SEO-Blasen abzusondern.

Ich weiss, es ist ja nicht dein Produkt, sondern du siehst den Hersteller nur jeden zweiten Dienstag mal in der Kantine.

Und du schlägst ja auch keine SEO-Blasen, sondern zeichnest allerfeinste blumige Bilder in den tristen Admin- und Forumsalltag.

So diese Wortspiele, die ich heute schon zweimal laut rezitiert habe
Zitat von @98094:
Sicherheitsprobleme müssen einem ins Auge stechen und nicht erst zusammengesammelt werden.
Dann muss man nämlich wissen, was man überhaupt sucht. Und da liegt der Hase im Pfeffer!

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten,
Von dem stechenden Hasenpfeffer auf die Schlussfolgerung (d)eines kostenpflichtigen Tools zu kommen - hat schon was.

Ich hab ja auch nix gegen euer Tool oder gegen rostfreie Teppichnägel oder Toilettenpapier mit Himbeergeschmack oder sonstige putzige kleine Werkzeuge.

Aber mach doch nicht so'n Larry davon.
Darf ich mal -mit deinen Worten- kurz die Luft aus dem Käse drücken?
Ein Kollector sammelt die Daten vom AD und von den Fileservern ein, führt diese in der Datenbank zusammen und macht sie so auswertbar. [...]
Grundsätzlich benötigt man aber einen MS-SQL Server(Express bis 500 MA). Ansonsten läuft 8MAN als Dienst auf einem Windows Server mit. Die GUI ist in .net gschrieben.

Ja -so what??? Isses nobelpreisverdächtig? Ein architektonisches Novum?
Was daran hältst du jetzt für eine Topstory, für die breaking news des Tages?

Mach du doch bitte dein Consulting statt drittklassiges SimsalaSEO
Und wenn es dich nicht auslastet, dann sag deinem Cheffe, dass du grad nix zu tun hast.

Letzte freundliche Bitte: Halt dich bitte zurück.

Grüße
Biber