Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verzeichnisse und deren Inhalt auf NTFS Berechtigungen überprüfen

Frage Entwicklung VB for Applications

Mitglied: clever38

clever38 (Level 1) - Jetzt verbinden

15.07.2008, aktualisiert 14:41 Uhr, 12758 Aufrufe, 9 Kommentare

Hallo,

habe da folgendes Problem, soll Verzeichnisse und deren Inhalt (rekursiv) auf W2k3 NTFS Berechtigungen
überprüfen. Nur ein Bestimmte User bzw. Gruppe dürfen auf den Inhalt des
Verzeichnisses/Files zugreifen Es gibt diverse Software die diese aufgaben
übernehmen können ab die Kosten eine Menge Kohle.
Habe im Internet ein wenig rumgestöbert und bin immer wieder auf VBS gestoßen
Spezial WIN32_Share,Win32_Logical,Win32_ security.
Kurz zusammengefasst das Programm soll Verzeichnisse und der Inhalt
auf NTFS Berechtigungen überprüfen und Abweichungen ausgeben,
am einfachste währe es per Prompt anzugeben zb. "pruefung_ntfs Verzeichnisse User/Group".

Für einen Lösungsansatz währe ich sehr Dankbar.
Mitglied: Nailara
15.07.2008 um 09:40 Uhr
Hi,

versuch es erst gar nicht - die Software kostet wirklich sehr viel Geld und das aus gutem Grund.

Kannst Du nicht einfach die Berechtigungen zyklisch überbügeln? xcacls (http://support.microsoft.com/kb/318754/de) ist da sehr hilfreich und für ein bisserl Spass bei den Optionen sorgt eine GPL-Software, die Du auf Sourceforge finden kannst.

Was sich bei mir bewährt hat ist eine Umstellung in der Struktur der Daten mit folgenden Überlegungen:

a) es gibt ein privates Homeverzeichnis, auf das ausschließlich der User Zugriff hat.
b) es gibt ein Abteilungsverzeichnis, wo nur die Abteilung Zugriff hat
c) es gibt einen Austauschordner für alle, der regelmäßig geleert wird
d) es gibt n+1 Projektordner, die für das saubere Wegsortieren der Unterlagen genutzt werden

Für jeden Ordner gibt es eine korrespondierende AD-Gruppe, wo die berechtigten User eingetragen werden. Diese korrespondierende Gruppe wird auf das Filesystem als Rechtegruppe übertragen. Zur Unterscheidung gibt es maximal noch <Gruppenname>-RO und <Gruppenname>-RW. RO für ReadOnly, RW für ReadWrite. Damit kannte das Berechtigung prüfen dann auch Skripten und das sehr bequem und Du weisst immer, wer welche Rechte hat - durch die Zuordnung zu AD-Gruppen taucht bei dem User in der Gruppenübersicht jeweils die Mitgliedschaft auf und die kannste verfolgen .

Die User müssen dann ein bisser mitdenken - zugegeben, wenn Du das aber durchsetzen kannst, hast Du sehr leichtes Spiel und der Adminaufwand senkt sich maßgeblich.

Grüße Mathias
Bitte warten ..
Mitglied: clever38
15.07.2008 um 09:58 Uhr
Hallo Nailara (Mathias Herbst)

erst mal Danke für deine Schnelle Hilfe, Ich möchte keine Rechte Setzen ich möchte Sie nur
Kontrollieren, Hintergrund ist das Verzeichnis A die Konkurrierenden Firma von
Verzeichnis B ist also wäre es verhängnisvoll wenn einer auf Dateien des jeweiligen Konkurrierenden Firma zugreifen kann, aus diesem Grund muss ich die Verzeichnisse
in regelmäßigen abständen überprüfen. (es sind ca. 30000 bis 90000 Files die überprüft werden müssen).
Bitte warten ..
Mitglied: 60730
15.07.2008 um 10:03 Uhr
Moin,

besorg dir aus dem W2k Reskit das Xcacls.exe
bau dir eine Batch - sinnngemäß:

01.
xcalcs.exe %windir% /t >\\server\freigabe\%computername% 
02.
xcalcs.exe %programfiles% /T >>\\server\freigabe\%computername%
http://support.microsoft.com/kb/318754/de

edit:

*upps* der gleiche Link, wie der von Nailara (Mathias Herbst) - wobei mein Augenmerk auf "Verwenden von "Xcacls.exe" zum Anzeigen von Berechtigungen" war.
Bitte warten ..
Mitglied: Nailara
15.07.2008 um 10:29 Uhr
Hi ...

naja - ob nun konkurrierende Firma oder konkurrierende Abteilung - das kommt auf das gleiche raus - daher macht eine solche Aufteilung auch bei unterschiedlichen Firmen Sinn - analog übertragen versteht sich.

Die beste Methode ist wahrscheinlich, auf die Freigabe selbst eine Berechtigung zu setzen und damit dafür zu sorgen, dass Firma A definitiv keinen Zugriff auf Verzeichnis von Firma B bekommt. Damit sind die darunter liegenden NTFS-Rechte eher nebensächlich.

Einzig problematisch ist das Verschieben von Dateien innerhalb des Filesystems von Verzeichnis A nach Verzeichnis B. Beim Verschieben innerhalb einer Partition bleiben die Rechte erhalten und wahrscheinlich kann das nur der Admin machen und den kennste persönlich .

Ansonsten sind es immer Kopieraktionen und dabei werden die Rechte vom Zielordner übernommen. Voraussetzung ist jedoch in der Tat, dass aus Firma A niemand Zugriff auf Firma B hat und umgekehrt. Kritisch würde es werden bei einem Azubi, der rumgereicht wird oder bei einer geshareten Sekretärin

Also wäre ein gangbarer Weg, die Rechte einmal mit xcacls neu und richtig zu setzen, die Freigaben einzuschränken und dann nach Malle zu düsen und monatlich acht Stunden Überprüfung abzurechnen

Mathias
Bitte warten ..
Mitglied: Admin666
15.07.2008 um 14:41 Uhr
Vielleicht hilft dir dieses Tool weiter?

http://www.heise.de/software/download/dumpsec/55505
Bitte warten ..
Mitglied: 98094
23.08.2011 um 21:37 Uhr
Hi,

ich kann mich nur der Meinung von Mathias anschließen. Es gibt in der Regel einen Grund, warum die Hersteller für ihre Lösungen Geld verlangen. Einer der wichtigsten Gründe hängt mit dem Ziel der Auswertung zusammen. Du willst letztlich ein "Security Audit" durchführen. Also in regelmäßigen Abständen Berechtigungen auswerten, gegenüberstellen und vor allem bewerten.

Jedesmal wenn um Bewertung von Informationen geht, kommt es vor allem darauf an, wie die Daten aufbereitet sind. Es gibt nichts schlimmeres als kryptische Daten, die man nicht vernünftig verwenden kann. Sicherheitsprobleme müssen einem ins Auge stechen und nicht erst zusammengesammelt werden. Dann muss man nämlich wissen, was man überhaupt sucht. Und da liegt der Hase im Pfeffer!

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller um die Richtigkeit der Daten kümmert.
Vor allem wenn es um kritische Daten geht, wäre hier am falschen Ende gespart.

Viele Grüße,
Thomas Gomell
aikux.com
Bitte warten ..
Mitglied: 60730
24.08.2011 um 10:46 Uhr
Zitat von 98094:
Hi,

Es gibt nichts schlimmeres als ...

Servus,

Sei mir nicht böse, aber in meinen Augen gibts nix schlimmeres, als undokumentierte Netze und Totengräber, die Threads ausgraben, die älter als mein Kind ist.

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller um die Richtigkeit der Daten kümmert.

Sagt wer? - der Hersteller?
  • Und wenn du schon Werbung für dein Produkt machst, nenn doch mal die Anforderungen an Hard & Software und die Preise.

Denn - ich habe deine Seite gestern mal besucht - um so schnell zu sein, ist die Abfrage / oder das Video dazu - entweder (was ich nicht unterstellen will) getürkt, läuft nur über eine Platte, die kleiner ist, als jede Notebookplatte - oder da läuft eine interne DB mit, rein NTFS kann es nicht sein.

gruß
Bitte warten ..
Mitglied: 98094
24.08.2011 um 11:22 Uhr
Hi,

Sei mir nicht böse, aber es gibt immer mehrere Wege um zum Ziel zu kommen. Ich bin seit Jahren als Consultant im IT-Security umfeld tätig und habe da schon einiges gemacht und einiges gesehen. Es gibt schnelle Lösungen, die für den Augenblick sinnvoll sind und es gibt Lösungen die für größere Strukturen mit mehreren hundert Usern, zig Server und für den täglichen und dauerhaften Betrieb konzipiert wurden.

Ich habe volle Hochachtung vor allen erfahren Administratoren, die sich auch über Scripte helfen können. Aber....

Ich selber bin kein Hersteller sondern nur Partner des Herstellers und kann über das Produkt nur gutes berichten.


Zitat von 60730:
> Zitat von 98094:
> ----
> Hi,
>
> Es gibt nichts schlimmeres als ...

Servus,

Sei mir nicht böse, aber in meinen Augen gibts nix schlimmeres, als undokumentierte Netze und Totengräber, die Threads
ausgraben, die älter als mein Kind ist.

> Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten, vor allem, weil sich dann auch der Hersteller
um die Richtigkeit der Daten kümmert.

Sagt wer? - der Hersteller?
  • Und wenn du schon Werbung für dein Produkt machst, nenn doch mal die Anforderungen an Hard & Software und die Preise.

Denn - ich habe deine Seite gestern mal besucht - um so schnell zu sein, ist die Abfrage / oder das Video dazu - entweder (was ich
nicht unterstellen will) getürkt, läuft nur über eine Platte, die kleiner ist, als jede
Notebookplatte - oder da läuft eine interne DB mit, rein NTFS kann es nicht sein.
Fallst du dich mit dieser Aussage auf die Performance der Aplikation im Film beziehst, ist es in der Tat so, das da eine Datenbank im Hintergrund läuft. Es wäre gar nicht möglich diese Auswertungen in Echtzeit gegen den Fileserver und das AD laufen zu lassen. Gehen wir nur mal von dem Fall aus, dass es eine tiefe Verschachtelung der Gruppen gibt, über die die Berechtigungen vergeben wurden oder gar schleifen innerhalb der Gruppen. Das würde eine Auswertung gegen ein großes Echtsystem zu einem Jahrhundertprojekt machen. Oder noch besser, wenn ich eine komplette Auswertung über 50 oder 100 Fileserver in einem Unternehmen mit verteilten Standorten durchführen möchte.8MAN kann sowas ohne Probleme.
8MAN ist eine Enterprise Applikation, die mit einer Multitierumgebung läuft. Es gibt im Hintergrund einen SQL-Server der regelmäßig mit Daten versorgt wird. Ein Kollector sammelt die Daten vom AD und von den Fileservern ein, führt diese in der Datenbank zusammen und macht sie so auswertbar.

Je nach Größe des zu überwachenden Systems gibt es auch verschiedene Anforderungen. Grundsätzlich benötigt man aber einen MS-SQL Server(Express bis 500 MA). Ansonsten läuft 8MAN als Dienst auf einem Windows Server mit. Die GUI ist in .net gschrieben.

Was den Preis angeht, kann ich hier nur so viel sagen, dass 8MAN über die Anzahl der User im Unternehmen lizensiert wird. An dieser Stelle einen Preis veröffentlichen ist ungünstig, weil diese einer Veränderung unterliegen, dieser Text aber für die Ewigkeit ist. Der Hersteller oder auch ich geben da gern Auskunft. Und es macht eh Sinn, sich erstmal über die Funktionen ein Bild zu machen, bevor man über Preise spricht.

gruß

Viele Grüße, Thomas Gomell
http://www.aikux.com
Bitte warten ..
Mitglied: Biber
24.08.2011 um 19:14 Uhr
Moin lieber tgomell,

gestern abend bat ich dich in insgesamt drei ausgegrabenen Zombie-Beiträgen (insgesamt so alt, dass ich in öffentlichen Verkehrsmitteln meinen Sitzplatz anbieten würde), doch bitte nicht noch mehr SEO-Blasen abzusondern.

Ich weiss, es ist ja nicht dein Produkt, sondern du siehst den Hersteller nur jeden zweiten Dienstag mal in der Kantine.

Und du schlägst ja auch keine SEO-Blasen, sondern zeichnest allerfeinste blumige Bilder in den tristen Admin- und Forumsalltag.

So diese Wortspiele, die ich heute schon zweimal laut rezitiert habe
Zitat von 98094:
Sicherheitsprobleme müssen einem ins Auge stechen und nicht erst zusammengesammelt werden.
Dann muss man nämlich wissen, was man überhaupt sucht. Und da liegt der Hase im Pfeffer!

Aus dieser Betrachtung heraus muss ich zu einem kostenpflichtigen Tool raten,
Von dem stechenden Hasenpfeffer auf die Schlussfolgerung (d)eines kostenpflichtigen Tools zu kommen - hat schon was.

Ich hab ja auch nix gegen euer Tool oder gegen rostfreie Teppichnägel oder Toilettenpapier mit Himbeergeschmack oder sonstige putzige kleine Werkzeuge.

Aber mach doch nicht so'n Larry davon.
Darf ich mal -mit deinen Worten- kurz die Luft aus dem Käse drücken?
Ein Kollector sammelt die Daten vom AD und von den Fileservern ein, führt diese in der Datenbank zusammen und macht sie so auswertbar. [...]
Grundsätzlich benötigt man aber einen MS-SQL Server(Express bis 500 MA). Ansonsten läuft 8MAN als Dienst auf einem Windows Server mit. Die GUI ist in .net gschrieben.

Ja -so what??? Isses nobelpreisverdächtig? Ein architektonisches Novum?
Was daran hältst du jetzt für eine Topstory, für die breaking news des Tages?

Mach du doch bitte dein Consulting statt drittklassiges SimsalaSEO
Und wenn es dich nicht auslastet, dann sag deinem Cheffe, dass du grad nix zu tun hast.

Letzte freundliche Bitte: Halt dich bitte zurück.

Grüße
Biber
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung (9)

Frage von Bierkasten zum Thema Microsoft ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Exchange Server
Inhalt von Postfächern in Exchange löschen (9)

Frage von m.reeger zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...