«

»

Nach der Migration ist vor der Migration

Dauerhaft transparente Fileserverberechtigungen in Microsoftumgebungen – eine Herausforderung

Die Berechtigungen auf Fileserversystemen unter Microsoft unterliegen ganz klaren Anforderungen. Unter Novell hat man auf irgendeiner Ebene im Filesystem Berechtigungen an einen User vergeben können und es war alles in Ordnung. Wenn man das Gleiche unter Microsoft erreichen will, muss man schon einiges mehr tun.

Hier eine kurze Zusammenfassung der wichtigsten Regeln und Probleme bei der Berechtigungsvergabe:

  • Berechtigungen niemals direkt vergeben -> Eine direkte Vergabe verhindert die Beurteilung der Berechtigungssituation, da man immer jede ACL durchsuchen muss. Darüber hinaus führt sie zu verwaisten SIDs.
  • Berechtigungen nach dem A-G/U-DL-P-Prinzip vergeben -> Berechtigungen sollten über ein zweistufiges Gruppenkonzept vergeben werden: Globale Domänengruppen, in denen die User geclustert werden und domänenlokale Gruppen, die direkt in die ACL eingebunden werden und die Berechtigung repräsentieren. Diese nehmen auch die globalen Gruppen auf.
  • Das Browsen durch das Filesystem muss ermöglicht werden -> Dazu müssen auf allen Ebenen des Verzeichnisbaumes Listberechtigungen existieren. Das ist wohl der aufwendigste Teil. Diese Listberechtigungen sollten natürlich auch nur über Gruppen realisiert werden.
  • Spezielle Berechtigungen -> Manchmal hat man spezielle Berechtigungen, die sich nicht über Standards abbilden lassen.
  • Nachvollziehbarkeit -> Ein großes Problem nur mit Microsoft-Bordmitteln. Es ist schwierig nachzuvollziehen, wie es zu einer Berechtigung überhaupt gekommen ist, durch wen, wann und warum!
  • Transparenz -> Versuchen Sie ruhig einmal zu ergründen, worauf ein User alles Zugriff hat. Sie werden feststellen: Es ist in vertretbarer Zeit unmöglich zu schaffen. Das gleiche Problem ergibt sich, wenn man herausfinden will, welche „effektiven“ Berechtigungen auf ein Verzeichnis vergeben sind.
  • Alarming -> Es sollte immer ersichtlich sein, ob z.B. nur die 15 Mitarbeiter der Personalabteilung auf ein Verzeichnis Zugriff haben oder alle 2500 Accounts. Das kann sehr schnell passieren, wenn sich versehentlich einmal die Gruppe der Domänen-Benutzer in eine Gruppenverschachtelung verirrt.

Das sind die wichtigsten Anforderungen und Probleme, die den Aufbau der Berechtigungen leider auch sehr kompliziert machen, aber vor allem auch dazu führen, dass die Berechtigungen im Laufe der Zeit stark vom SOLL abweichen.

–> lesen Sie dazu auch unsere Best Practice Empfehlungen für die Berechtigungsverwaltung auf Fileservern!

Nach der Migration ist vor der Migration!

Wenn man nur die Microsoft-Bordmittel zur Verfügung hat, steckt man also in einem üblen Dilemma: Einerseits fehlt die dringend notwendige Transparenz im täglichen Umgang mit den Berechtigungen. Genau diese Transparenz ist aber notwendig, um Berechtigungen überhaupt „vernünftig“ setzen zu können. Darüber hinaus verursachen die technisch notwendigen Schritte einen erheblichen Aufwand und machen das Administrieren zur Qual. Last but not least: Die Schwierigkeit, wenn nicht Unmöglichkeit einer vernünftig in den Berechtigungsprozess integrierten Dokumentation der Berechtigungsvergabe. Alles in allem führt das dann dazu, dass man sich pro Task ca. 30 – 60 Minuten damit auseinander setzen muss. Nur: Ist das wirklich notwendig und vor allem: angemessen?

Die aikux.com GmbH macht seit fast 4 Jahren nichts anderes, als Unternehmen in den Fragen der Berechtigungskonzeption und Migration zu begleiten und zu unterstützen. Dabei geschah es häufig, dass wir mit Unternehmen und Organisationen sprachen, die genau in der oben skizzierten Klemme bei der Berechtigungsvergabe steckten: Also im Versuch, eine praktikable und vernünftige Berechtigungsstruktur aufzubauen – mit Windows-Bordmitteln. Der Aufwand an Zeit, Mühe und Kosten war immer immens, die sich notwendig einstellende Frustration auch: Es gibt immer wieder Ausnahmen, jeder Kollege arbeitet anders, es fehlte wieder einmal einfach die Zeit für die Dokumentation, eine in der Eile nicht gefundene Gruppe wurde schnell ‚mal‘ neuerzeugt…

So kommt man dann schnell in die Lage, in regelmäßigen Abständen die Berechtigungssituation einem Audit unterziehen zu müssen, um dann mühsam IST- und SOLL-Zustand wieder zur Deckung zu bringen. Weil das sowohl aufwendig als auch sehr teuer ist, empfehlen wir Ihnen: Sparen Sie Zeit, Kosten und nicht zuletzt Nerven und suchen Sie sich eine geeignete Lösung, die Ihnen das Problem dauerhaft vom Halse schafft. Es ist leider aktuell noch nicht abzusehen, ob und wann Microsoft an dieser Situation etwas verbessern wird, denn auch die Möglichkeiten von MS Server 2012 ändern an der Lage nichts: Es gibt zwar neue, interessante Funktionen, aber auch diese führen nicht zu einem Filesystem, wie man es von Novell gewöhnt war.

 

 

[important]

Seit vier Jahren kümmern sich die Kollegen von aikux.com um die Fileserver ihrer Kunden – von 9.00 – 18.00 Uhr, fünf Tage pro Woche.  Die Beiträge dieses Blogs kommen aus der Praxis und sind gedacht für die Praxis, denn: Hier schreiben Techniker. Und sie sind gedacht als ein Angebot von uns an Sie: Greifen Sie also auf unsere Erfahrungen zurück und suchen Sie das Gespräch – Sie finden uns hier.

[/important]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 3 + 4

Wordpress SEO Plugin by SEOPressor