Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS-Berechtigungen auslesen und Abteilungsverzeichnisse mit Freigaben und Berechtigungen erstellen

Erfahrungsbericht Microsoft Windows Server

Mitglied: zboson

zboson (Level 1) - Jetzt verbinden

22.03.2010, aktualisiert 19.10.2012, 36718 Aufrufe, 3 Kommentare

Vor einigen Wochen war ich auf der Suche nach einem Tool, um die Verzeichnisberechtigungen eines alten Servers aus einer Zweigniederlassung zu analysieren. Der Server wird mit anderen durch ein NAS ersetzt und abgeschaltet. Wir benötigen einen Überblick über die dort vorhandenen Berechtigungen, um die Daten sinnvoll migrieren zu können. Da wir für das NAS einheitliche Rechtevorgaben entwickelt haben, sind einige Umstrukturierungen notwendig, und dafür benötigen wir einen Einblick in die aktuell definierten Strukturen (die vermutlich nicht mehr wirklich konsistent sind).

Im Rahmen der Suche bin ich auf ein Programm mit Namen Parks Authorization Manager (PAM) gestoßen, mit dem man Verzeichnisberechtigungen und Active Directory-Gruppen verwalten kann. Wir haben unsere Server-Analyse dann erfolgreich durchführen können. In diesem Artikel möchte ich beschreiben, wie wir die Verzeichnisrechte analysiert und die neuen NAS-Berechtigungen aufgesetzt haben. Ich hoffe, dass unsere Lösungsansätze auch für andere interessant sind.

Das Programm verwaltet Verzeichnisstrukturen und Active Directory-Sicherheitsgruppen. Man definiert sich Beispielverzeichnisse mit Berechtigungen und nutzt diese dann, um Abteilungs- oder Projektverzeichnisse einzurichten. Das Programm PAM legt die Verzeichnisstrukturen an, erzeugt die benötigten Sicherheitsgruppen im AD und konfiguriert die Zugriffsrechte in den ACLs der Verzeichnisse (NTFS-Formatierung ist eine Voraussetzung für die Nutzung des Programms). Man kann dann über PAM das Verzeichnis im Netzwerk freigeben. Die Freigabeberechtigungen werden auch von PAM direkt konfiguriert.



Analyse des Altsystems

In einem ersten Schritt haben wir die Berechtigungen unseres alten Servers analysiert. Dazu konnte man einfach den Pfad des Startverzeichnisses angeben und das Programm hat dann dort die Analyse der Berechtigungen begonnen. Nach einigen Minuten war die Analyse abgeschlossen und PAM präsentierte die Ergebnisse in einem Baum, der die Verzeichnisstruktur darstellt. Mit Hilfe einer farblichen Markierung konnte man schnell sehen, ob eine Datei oder ein Verzeichnis geänderte Berechtigungen gegenüber einem übergeordneten Verzeichnis haben. Die Analyse ist schnell, ein großes Verzeichnis mit über 45.000 Dateien und vielen verschiedenen Berechtigungen wurde in ca. 30 Sekunden ausgewertet (siehe Bild).

ae9aa66634845e744522007741277290 - Klicke auf das Bild, um es zu vergrößern

Durch Anklicken eines Verzeichnisses oder einer Datei im Baum werden die Berechtigungen und Gruppen angezeigt (rechts im Bild). Durch Anklicken einer Gruppe, die wie im Internet Explorer als Link dargestellt wird, gelangt man in die Management-Konsole und hat dort direkten Zugriff auf die Benutzer, die der Gruppe zugeordnet sind.

Die analysierten Berechtigungen lassen sich auch in eine Textdatei exportieren, wenn man sie mit einem anderen Programm weiterverarbeitet will (MS Access o.ä.).


Planung der Verzeichnisstrukturen

Nachdem wir die alten Berechtigungen ausgelesen hatten, haben wir für Abteilungen und Projekte Verzeichnisstrukturen entworfen, die einheitlich sind und daher auch von Skripten erstellt werden können. Später können dann auf Anforderung der Fachabteilungen zusätzliche Unterverzeichnisse mit Berechtigungen erstellt werden. Hier können dann die alten Berechtigungen wieder einfließen.

Die Berechtigungen in den Verzeichnissen müssen nach den Rollen der Mitarbeiter getrennt werden. Wir erzeugen daher in jedem Abteilungsverzeichnis Unterverzeichnisse für die Mitarbeiter und die Abteilungs-/Projektleitung ein.

Mitarbeiter einer anderen Organisationseinheit können auf Antrag Leserechte erhalten, allerdings nur für die öffentlichen Verzeichnisse der Abteilung. Ein direkter Schreibzugriff darf aus Sicherheitsgründen nicht erteilt werden, die Mitarbeiter müssen sich dann per E-Mail verständigen (bei Einzelfällen) oder ein Projektverzeichnis beantragen. Ein Zugriff auf interne Verzeichnisse (Mitarbeiter oder Leitung) ist grundsätzlich ausgeschlossen.

Für die Verwaltung der neuen Verzeichnisse müssen zunächst Stammdaten in PAM angelegt werden.


Abteilungen erzeugen

Beim ersten Start des Programms gibt man den Namen des Unternehmens an, dessen Server verwaltet werden sollen. Für dieses Unternehmen können dann Organisationseinheiten erzeugt werden, z.B. Abteilungen oder Projekte. Es ist auch möglich, eine Liste von Abteilungen aus einer Textdatei zu importieren, was die Arbeit deutlich erleichtert.

63e96d10232aa3c4901dd28a7f35b054 - Klicke auf das Bild, um es zu vergrößern


Verzeichnisvorlage anlegen

Anschließend haben wir eine Verzeichnisvorlage erstellt, die die von uns gewünschte Struktur eines Abteilungsverzeichnisses enthält. Beim Erstellen der Verzeichnisvorlagen haben wir ein bisschen herumprobiert, aber es wurde uns doch schnell klar, wie das dann in PAM funktioniert.

In einer Verzeichnisvorlage definiert man zunächst die Verzeichnisstruktur, die jedes Abteilungs- oder Projektverzeichnis erhalten soll, das mit Hilfe dieser Vorlage erstellt wird. In PAM werden die Verzeichnisse allgemein Organisationsverzeichnisse genannt.

Für jeden Unterordner können Active Directory-Gruppen mit Berechtigungen definiert werden. Der Clou: über Platzhalter in den Namen der Gruppen kann bei der Erzeugung eines Verzeichnisses ein Gruppenname erzeugt werden, der den Abteilungs- oder Projektnamen enthält.

Für unsere neuen Abteilungsverzeichnisse haben wir uns eine einheitliche Struktur überlegt. Das Abteilungsverzeichnis enthält zwei Unterverzeichnisse R_Mitarbeiter und R_Leitung. In R_Mitarbeiter haben alle Mitglieder der Abteilung Zugriff, in R_Leitung nur der Abteilungsleiter und seine Assistenz. Im Hauptverzeichnis der Abteilung haben Mitglieder einer Gastrolle Leserechte.

Im Ergebnis ergibt sich folgende Struktur mit den entsprechenden Active Directory-Gruppen, die dann als Verzeichnisvorlage angelegt wird:

Verzeichnis AD-Gruppen und Rechte
/ O_$(OrgUnit)_Gast_R, O_$(OrgUnit)_Mitarbeiter_RWD
/R_Mitarbeiter O_$(OrgUnit)_Mitarbeiter_RWD
/R_Leitung O_$(OrgUnit)_Leitung_RWD

Der Gruppenname enthält den Platzhalter $(OrgUnit), der später durch den Abteilungsnamen ersetzt wird. Wenn mit dieser Vorlage ein Verzeichnis für die Abteilung "Buchhaltung" angelegt wird, heißen die erstellten Gruppen im Active Directory O_Buchhaltung_Gast_R, O_Buchhaltung_Mitarbeiter_RWD usw.

dd7e9606c0d2ca677d9c41b9e280f25b - Klicke auf das Bild, um es zu vergrößern

Durch die hierarchische Struktur können Gruppen im Active Directory in verschiedenen Organisationseinheiten erstellt werden, z.B. um eine Trennung nach Standorten zu implementieren.

7207c6173a17596342b892a7c5a354ce - Klicke auf das Bild, um es zu vergrößern


Stammverzeichnis für Abteilungen anlegen

Anschließend erzeugt man ein Stammverzeichnis, in dem die neuen Abteilungsverzeichnisse angelegt werden sollen.

b92b5c105abb57c577bb053aa56a0c41 - Klicke auf das Bild, um es zu vergrößern

Damit sind die Vorarbeiten abgeschlossen und wir können ein neues Abteilungsverzeichnis erstellen.


Das erste Abteilungsverzeichnis erzeugen

Um es zu testen haben wir uns erstmal eine Abteilung ausgesucht. Ein Wizard führt uns durch die Erstellung des Abteilungsverzeichnisses. Zunächst werden ein paar organisatorische Daten, wie Unternehmen und die Organisationseinheit eingestellt. Danach werden die zuvor erstellte Verzeichnisvorlage (mit den Verzeichnisstrukturen und Berechtigungen), das Stammverzeichnis, wo das ganze hinterher abgelegt werden soll und der neue Verzeichnispfad angegeben. Bevor alles durchgeführt wird, erscheint nochmal eine Vorschau, in der man kontrollieren kann, ob die Einstellungen korrekt waren. Wenn alles in Ordnung ist, kann man das Organisationsverzeichnis fertigstellen und das geplante Abteilungsverzeichnis mit Unterverzeichnissen und Berechtigungen wird automatisch angelegt.

eff66bc2ca25f51df4865d3eb9b54e23 - Klicke auf das Bild, um es zu vergrößern

88f8d41c3f4dac7f7e7c3d04e67bb419 - Klicke auf das Bild, um es zu vergrößern

75de7f218a76ed92d4d8f8b073476a00 - Klicke auf das Bild, um es zu vergrößern

So sehen die Berechtigungen des Unterverzeichnisses R_Leitung im neuen Abteilungsverzeichnisses aus:

05833788332537032bc42f9a4dc40d56 - Klicke auf das Bild, um es zu vergrößern

Übersicht der neu erzeugten Gruppen im Active Directory:

99c00407731531d0b837d57d9eb96038 - Klicke auf das Bild, um es zu vergrößern

Mit dieser Methode können jetzt alle weiteren Abteilungsverzeichnisse erstellt werden.


Fazit

Wenn man das System einmal durchschaut hat, ist es echt einfach. Das Programm ist verständlich und komfortabel, so dass man schnell hineinkommt.
Mitglied: Dani
24.03.2010 um 23:21 Uhr
Moin, Moin,
das ist ja echt mal schick...für kleine und mittelständische Unternehmen ist das sicherlich eine Arbeitserleichterung. Probier ich doch glatt mal in unserem Labor aus.


Grüße,
Dani
Bitte warten ..
Mitglied: SamvanRatt
31.03.2010 um 11:13 Uhr
Hallo
auch eine Methode; wir haben setacl im Einsatz um Umzüge und auch Neustrukturen anzulegen; nicht optisch reizvoll, aber die Auswertung und 1:1 Kopien auf neue Server ist beachtenswert.
Gruß
Sam
Bitte warten ..
Mitglied: zboson
18.10.2012 um 20:48 Uhr
Interessanter Blog-Artikel zum Thema, der mit Tipps und Tricks beschreibt, wie man Verzeichnisstrukturen für Server ganz allgemein definieren kann:
http://parks-informatik.de/blog-details/items/verzeichnisstrukturen-pro ...
Bitte warten ..
Ähnliche Inhalte
Windows Server
Berechtigungen für ein Attribut eines Users setzen
Anleitung von 91863Windows Server

Auf Domäne Delegate Control Gruppe oder User auswählen die das Recht bekommt Create a custom task to delegate General ...

Exchange Server
Exchange 2013 alte Berechtigungen auf Mailboxen aufräumen - Get-MailboxPermission Powershell
Anleitung von SystembastlerExchange Server1 Kommentar

Servus Exchange Admins, nachdem ich jetzt einige Zeit mit Recherche von verwaisten Berechtigungen auf Mailboxebene zugange war, teile ich ...

Batch & Shell
Systemdaten auslesen mit Powershell
Tipp von AnkhMorporkBatch & Shell2 Kommentare

Hallo zusammen, oft werden Fragen zu Problemen gestellt, ohne das betroffene System hinreichend vorzustellen. Keine Lust, keine Ahnung, keine ...

Windows Netzwerk
Heimnetzgruppe erstellen und Probleme mit VMWare
Erfahrungsbericht von hanni007Windows Netzwerk

Hallo liebe Community, seit einigen Tagen saß ich nun an einem Problem und wusste auf Teufel komm raus nicht ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 4 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 9 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 9 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 21 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...