Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS-Berechtigungen auslesen und Abteilungsverzeichnisse mit Freigaben und Berechtigungen erstellen

Erfahrungsbericht Microsoft Windows Server

Mitglied: zboson

zboson (Level 1) - Jetzt verbinden

22.03.2010, aktualisiert 19.10.2012, 35052 Aufrufe, 3 Kommentare

Vor einigen Wochen war ich auf der Suche nach einem Tool, um die Verzeichnisberechtigungen eines alten Servers aus einer Zweigniederlassung zu analysieren. Der Server wird mit anderen durch ein NAS ersetzt und abgeschaltet. Wir benötigen einen Überblick über die dort vorhandenen Berechtigungen, um die Daten sinnvoll migrieren zu können. Da wir für das NAS einheitliche Rechtevorgaben entwickelt haben, sind einige Umstrukturierungen notwendig, und dafür benötigen wir einen Einblick in die aktuell definierten Strukturen (die vermutlich nicht mehr wirklich konsistent sind).

Im Rahmen der Suche bin ich auf ein Programm mit Namen Parks Authorization Manager (PAM) gestoßen, mit dem man Verzeichnisberechtigungen und Active Directory-Gruppen verwalten kann. Wir haben unsere Server-Analyse dann erfolgreich durchführen können. In diesem Artikel möchte ich beschreiben, wie wir die Verzeichnisrechte analysiert und die neuen NAS-Berechtigungen aufgesetzt haben. Ich hoffe, dass unsere Lösungsansätze auch für andere interessant sind.

Das Programm verwaltet Verzeichnisstrukturen und Active Directory-Sicherheitsgruppen. Man definiert sich Beispielverzeichnisse mit Berechtigungen und nutzt diese dann, um Abteilungs- oder Projektverzeichnisse einzurichten. Das Programm PAM legt die Verzeichnisstrukturen an, erzeugt die benötigten Sicherheitsgruppen im AD und konfiguriert die Zugriffsrechte in den ACLs der Verzeichnisse (NTFS-Formatierung ist eine Voraussetzung für die Nutzung des Programms). Man kann dann über PAM das Verzeichnis im Netzwerk freigeben. Die Freigabeberechtigungen werden auch von PAM direkt konfiguriert.



Analyse des Altsystems

In einem ersten Schritt haben wir die Berechtigungen unseres alten Servers analysiert. Dazu konnte man einfach den Pfad des Startverzeichnisses angeben und das Programm hat dann dort die Analyse der Berechtigungen begonnen. Nach einigen Minuten war die Analyse abgeschlossen und PAM präsentierte die Ergebnisse in einem Baum, der die Verzeichnisstruktur darstellt. Mit Hilfe einer farblichen Markierung konnte man schnell sehen, ob eine Datei oder ein Verzeichnis geänderte Berechtigungen gegenüber einem übergeordneten Verzeichnis haben. Die Analyse ist schnell, ein großes Verzeichnis mit über 45.000 Dateien und vielen verschiedenen Berechtigungen wurde in ca. 30 Sekunden ausgewertet (siehe Bild).

ae9aa66634845e744522007741277290 - Klicke auf das Bild, um es zu vergrößern

Durch Anklicken eines Verzeichnisses oder einer Datei im Baum werden die Berechtigungen und Gruppen angezeigt (rechts im Bild). Durch Anklicken einer Gruppe, die wie im Internet Explorer als Link dargestellt wird, gelangt man in die Management-Konsole und hat dort direkten Zugriff auf die Benutzer, die der Gruppe zugeordnet sind.

Die analysierten Berechtigungen lassen sich auch in eine Textdatei exportieren, wenn man sie mit einem anderen Programm weiterverarbeitet will (MS Access o.ä.).


Planung der Verzeichnisstrukturen

Nachdem wir die alten Berechtigungen ausgelesen hatten, haben wir für Abteilungen und Projekte Verzeichnisstrukturen entworfen, die einheitlich sind und daher auch von Skripten erstellt werden können. Später können dann auf Anforderung der Fachabteilungen zusätzliche Unterverzeichnisse mit Berechtigungen erstellt werden. Hier können dann die alten Berechtigungen wieder einfließen.

Die Berechtigungen in den Verzeichnissen müssen nach den Rollen der Mitarbeiter getrennt werden. Wir erzeugen daher in jedem Abteilungsverzeichnis Unterverzeichnisse für die Mitarbeiter und die Abteilungs-/Projektleitung ein.

Mitarbeiter einer anderen Organisationseinheit können auf Antrag Leserechte erhalten, allerdings nur für die öffentlichen Verzeichnisse der Abteilung. Ein direkter Schreibzugriff darf aus Sicherheitsgründen nicht erteilt werden, die Mitarbeiter müssen sich dann per E-Mail verständigen (bei Einzelfällen) oder ein Projektverzeichnis beantragen. Ein Zugriff auf interne Verzeichnisse (Mitarbeiter oder Leitung) ist grundsätzlich ausgeschlossen.

Für die Verwaltung der neuen Verzeichnisse müssen zunächst Stammdaten in PAM angelegt werden.


Abteilungen erzeugen

Beim ersten Start des Programms gibt man den Namen des Unternehmens an, dessen Server verwaltet werden sollen. Für dieses Unternehmen können dann Organisationseinheiten erzeugt werden, z.B. Abteilungen oder Projekte. Es ist auch möglich, eine Liste von Abteilungen aus einer Textdatei zu importieren, was die Arbeit deutlich erleichtert.

63e96d10232aa3c4901dd28a7f35b054 - Klicke auf das Bild, um es zu vergrößern


Verzeichnisvorlage anlegen

Anschließend haben wir eine Verzeichnisvorlage erstellt, die die von uns gewünschte Struktur eines Abteilungsverzeichnisses enthält. Beim Erstellen der Verzeichnisvorlagen haben wir ein bisschen herumprobiert, aber es wurde uns doch schnell klar, wie das dann in PAM funktioniert.

In einer Verzeichnisvorlage definiert man zunächst die Verzeichnisstruktur, die jedes Abteilungs- oder Projektverzeichnis erhalten soll, das mit Hilfe dieser Vorlage erstellt wird. In PAM werden die Verzeichnisse allgemein Organisationsverzeichnisse genannt.

Für jeden Unterordner können Active Directory-Gruppen mit Berechtigungen definiert werden. Der Clou: über Platzhalter in den Namen der Gruppen kann bei der Erzeugung eines Verzeichnisses ein Gruppenname erzeugt werden, der den Abteilungs- oder Projektnamen enthält.

Für unsere neuen Abteilungsverzeichnisse haben wir uns eine einheitliche Struktur überlegt. Das Abteilungsverzeichnis enthält zwei Unterverzeichnisse R_Mitarbeiter und R_Leitung. In R_Mitarbeiter haben alle Mitglieder der Abteilung Zugriff, in R_Leitung nur der Abteilungsleiter und seine Assistenz. Im Hauptverzeichnis der Abteilung haben Mitglieder einer Gastrolle Leserechte.

Im Ergebnis ergibt sich folgende Struktur mit den entsprechenden Active Directory-Gruppen, die dann als Verzeichnisvorlage angelegt wird:

Verzeichnis AD-Gruppen und Rechte
/ O_$(OrgUnit)_Gast_R, O_$(OrgUnit)_Mitarbeiter_RWD
/R_Mitarbeiter O_$(OrgUnit)_Mitarbeiter_RWD
/R_Leitung O_$(OrgUnit)_Leitung_RWD

Der Gruppenname enthält den Platzhalter $(OrgUnit), der später durch den Abteilungsnamen ersetzt wird. Wenn mit dieser Vorlage ein Verzeichnis für die Abteilung "Buchhaltung" angelegt wird, heißen die erstellten Gruppen im Active Directory O_Buchhaltung_Gast_R, O_Buchhaltung_Mitarbeiter_RWD usw.

dd7e9606c0d2ca677d9c41b9e280f25b - Klicke auf das Bild, um es zu vergrößern

Durch die hierarchische Struktur können Gruppen im Active Directory in verschiedenen Organisationseinheiten erstellt werden, z.B. um eine Trennung nach Standorten zu implementieren.

7207c6173a17596342b892a7c5a354ce - Klicke auf das Bild, um es zu vergrößern


Stammverzeichnis für Abteilungen anlegen

Anschließend erzeugt man ein Stammverzeichnis, in dem die neuen Abteilungsverzeichnisse angelegt werden sollen.

b92b5c105abb57c577bb053aa56a0c41 - Klicke auf das Bild, um es zu vergrößern

Damit sind die Vorarbeiten abgeschlossen und wir können ein neues Abteilungsverzeichnis erstellen.


Das erste Abteilungsverzeichnis erzeugen

Um es zu testen haben wir uns erstmal eine Abteilung ausgesucht. Ein Wizard führt uns durch die Erstellung des Abteilungsverzeichnisses. Zunächst werden ein paar organisatorische Daten, wie Unternehmen und die Organisationseinheit eingestellt. Danach werden die zuvor erstellte Verzeichnisvorlage (mit den Verzeichnisstrukturen und Berechtigungen), das Stammverzeichnis, wo das ganze hinterher abgelegt werden soll und der neue Verzeichnispfad angegeben. Bevor alles durchgeführt wird, erscheint nochmal eine Vorschau, in der man kontrollieren kann, ob die Einstellungen korrekt waren. Wenn alles in Ordnung ist, kann man das Organisationsverzeichnis fertigstellen und das geplante Abteilungsverzeichnis mit Unterverzeichnissen und Berechtigungen wird automatisch angelegt.

eff66bc2ca25f51df4865d3eb9b54e23 - Klicke auf das Bild, um es zu vergrößern

88f8d41c3f4dac7f7e7c3d04e67bb419 - Klicke auf das Bild, um es zu vergrößern

75de7f218a76ed92d4d8f8b073476a00 - Klicke auf das Bild, um es zu vergrößern

So sehen die Berechtigungen des Unterverzeichnisses R_Leitung im neuen Abteilungsverzeichnisses aus:

05833788332537032bc42f9a4dc40d56 - Klicke auf das Bild, um es zu vergrößern

Übersicht der neu erzeugten Gruppen im Active Directory:

99c00407731531d0b837d57d9eb96038 - Klicke auf das Bild, um es zu vergrößern

Mit dieser Methode können jetzt alle weiteren Abteilungsverzeichnisse erstellt werden.


Fazit

Wenn man das System einmal durchschaut hat, ist es echt einfach. Das Programm ist verständlich und komfortabel, so dass man schnell hineinkommt.
Mitglied: Dani
24.03.2010 um 23:21 Uhr
Moin, Moin,
das ist ja echt mal schick...für kleine und mittelständische Unternehmen ist das sicherlich eine Arbeitserleichterung. Probier ich doch glatt mal in unserem Labor aus.


Grüße,
Dani
Bitte warten ..
Mitglied: SamvanRatt
31.03.2010 um 11:13 Uhr
Hallo
auch eine Methode; wir haben setacl im Einsatz um Umzüge und auch Neustrukturen anzulegen; nicht optisch reizvoll, aber die Auswertung und 1:1 Kopien auf neue Server ist beachtenswert.
Gruß
Sam
Bitte warten ..
Mitglied: zboson
18.10.2012 um 20:48 Uhr
Interessanter Blog-Artikel zum Thema, der mit Tipps und Tricks beschreibt, wie man Verzeichnisstrukturen für Server ganz allgemein definieren kann:
http://parks-informatik.de/blog-details/items/verzeichnisstrukturen-pro ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung (10)

Frage von Bierkasten zum Thema Microsoft ...

Windows Server
MSSQL 2012 User erstellen mit gewissen Berechtigungen (1)

Frage von rabo001 zum Thema Windows Server ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...