«

»

Verwaiste/tote SIDs aus ACLs entfernen

Verwaiste/tote SIDs sind ein grundsätzliches Problem im Falle von Windows-Fileservern.

Auf fast jedem lassen sie sich finden. Dabei sind sie längst nicht nur ein “Schönheits”-Problem, sondern beeinträchtigen auch die Performance.

Screenshot tote SIDs

Wie entstehen verwaiste/tote SIDs?

Für die Steuerung der Zugriffsberechtigungen auf Fileserverressourcen empfiehlt sich die Nutzung von Domänen-Gruppen und Domänen-Accounts. Diese kann man direkt in die ACL der Verzeichnisse des Fileservers eintragen. So ein Domänen-Account oder eine Domänen-Gruppe besteht aus einer eineindeutigen Security-ID. Da diese SID für uns Menschen allerdings schlecht zu verwalten ist, gibt man dem Account auch noch einen Namen. Windows arbeitet intern mit der SID – wir arbeiten mit dem Namen. Wenn man jetzt einem User oder einer Gruppe eine Berechtigung zuweisen möchte, dann suchen wir uns den entsprechenden Account aus und weisen diesem auf dem Fileserver die Berechtigungen zu. Im System passiert jetzt noch etwas anderes: Auf Systemebene wird in der Access Control List (ACL) nicht der Name vermerkt sondern die SID.

Wenn nun ein Account aus dem Active Directory gelöscht wird, ohne daß vorher der Eintrag aus der ACL entfernt wurde, kann diese SID bei der nächsten Betrachtung der Sicherheitseinstellungen nicht mehr aufgelöst werden. Es steht kein Objekt im AD mit ihr in Referenz. Also kann und sollte dieser Eintrag auch entfernt werden.

Verwaiste/tote SIDs müssen entfernt werden! – Nur wie?

Nun kann es sein, dass verwaiste/ tote SIDs in hunderten von ACLs zu finden sind. Das macht ein manuelles Entfernen fast unmöglich.

Für alle Unternehmen, die 8MAN im Einsatz haben, ist das aber kein Problem, da 8MAN eine Funktion besitzt, die alle ACLs sichtbar macht, in denen sich verwaiste/tote SIDs befinden. Diese können in einem CSV-Report aus 8MAN exportiert werden. Der “ACL-Cleaner” von aikux.com ist ein neues Tool, das in der Lage ist, die identifizierten ACLs zu bereinigen. Dazu wird der Export an den ACL-Cleaner übergeben, der nun der Reihe nach alle ACLs bereinigt. Nach dem nächsten Scan von 8MAN sollten dann im Report für verwaiste/tote SIDs keine Einträge mehr zu finden sein. Der ACL-Cleaner von aikux.com kann Ihnen viele Stunden Arbeit und auch ein aufwendiges Scripting ersparen.

Vorlage mit allen Verzeichnissen die verwaiste/ tote SIDs enthalten

Sind verwaiste/tote SIDs auf Ihren Systemen zu finden, helfen wir Ihnen gern. Sprechen Sie uns an!

 

weiterführende Links:

 

 

[important]

Seit vier Jahren kümmern sich die Kollegen von aikux.com um die Fileserver ihrer Kunden – von 9.00 – 18.00 Uhr, fünf Tage pro Woche. Die Beiträge dieses Blogs kommen aus der Praxis und sind gedacht für die Praxis, denn: Hier schreiben Techniker. Und sie sind gedacht als ein Angebot von uns an Sie: Greifen Sie also auf unsere Erfahrungen zurück und suchen Sie das Gespräch – Sie finden uns hier.

[/important]

2 Pings

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 4 + 6

Wordpress SEO Plugin by SEOPressor