«

»

Worst Case: historisch gewachsene Fileserver-Zugriffsrechte

NTFS Fileserver: Worst Case als Normalzustand?

Wenn man sich den typischen Fileserver eines Unternehmens anschaut, findet man eine recht komplexe NTFS Verzeichnisstruktur vor, die mit einer noch viel komplexeren Berechtigungsgruppen-Struktur versehen ist. Weil all diese Ordner und Rechte nicht erst seit gestern existieren, sondern über die Jahre gewachsen sind, haben sich massive (!!) Fehlberechtigungen eingeschlichen. Die in der Vergangenheit oft genutzten Windows-Bordmittel haben dazu geführt, dass falsch vergebene Zugriffsrechte nicht erkannt werden. Ist erst einmal die Berechtigungsgruppe der Domänen-Benutzer in eine falsche Gruppe gerutscht, verbreitet sich der Vollzugriff wie eine Lawine, so dass bald jeder Mitarbeiter Zugriff auf alle möglichen Ressourcen hat – vom Azubi bis zum externen Mitarbeiter, von der Forschungsabteilung bis zur Geschäftsleitungsebene.

Ein solches Berechtigungschaos betrifft aber nicht nur die zuständigen Administratoren und den Datenschutzbeauftragten. Gerade die Mitarbeiter selbst leiden unter diesem Chaos, denn es führt dazu, dass jeder alles sieht, aber keiner mehr durch sieht. Und so flüchten sich die User in eigene Strukturen, Homelaufwerke etc., um zumindest Ihre „eigenen“ Daten im Griff zu haben. Es bilden sich also parallele Verzeichnisstrukturen, die keiner Kontrolle mehr unterliegen und mit jedem Tag undurchsichtiger werden.

Nun ist der User einiges gewohnt, nutzt seine Workarounds, ignoriert die vielen Ordner, auf die er eigentlich gar nicht zugreifen darf (obwohl er es kann!!) und macht eben irgendwie weiter. Der Aministrator vergibt weiterhin nach bestem Wissen und Gewissen Berechtigungen für neue User. Dass all das nicht optimal ist, weiß jeder – aber keiner spricht es aus, denn keiner kann etwas dagegen tun.

Schlimmer geht immer:

Hat sich das Fileserver-Chaos einmal etabliert, kann es kaum noch schlimmer kommen… Es sei denn, die Fileserver müssen migriert oder gar konsolidiert werden! Denn plötzlich ist die IT gezwungen, sich mit dem Thema auseinander zu setzen, obwohl niemand weiß was eigentlich Sache ist. Migrieren geht dann faktisch nur noch 1:1, eine Konsolidierung der Fileserver-Strukturen ist gar völlig unmöglich. Und so nimmt das Dilemma weiter seinen Lauf, das Migrationsprojekt wird verschoben und irgendwann vielleicht ganz auf Eis gelegt.

Die Leidtragenden:

Wenn Sie das lesen, kommen Sie höchstwahrscheinlich aus der IT – und so werden Sie sich denken: „Die armen Administratoren!“. Da haben sie natürlich Recht, die Administratoren, welche die Zugriffsrechte vergeben und sich um die Fileserverstrukturen kümmern sollen, sind angesichts des Chaos und der Intransparenz schwer überfordert und können nur noch nach Schema F genau so verfahren, wie sie es seit Jahren tun. Die vielen redundanten Bereiche, die sich gebildet haben, sind kaum zu managen. Hier noch Ordnung zu schaffen ist nicht mehr möglich. Diese Situation ist frustrierend, denn diejenigen, die das System am Laufen halten sollen, sind machtlos und, geben wir es doch zu, planlos!

Nun ist ein wohlstrukturierter Fileserver nicht dazu da, dem Administrator die Arbeit zu erleichtern. Er dient vor allem der täglichen, produktiven Arbeit der Mitarbeiter des Unternehmens und hat einen enormen Einfluss auf deren Effektivität! Daher sind diejenigen, die am schwersten betroffen sind, nicht etwa die paar zuständigen Administratoren, sondern ALLE Mitarbeiter, die mit dem Filesystem arbeiten müssen! Verbringt nun jeder Mitarbeiter jeden Tag eine halbe Stunde mit der Suche nach den richtigen Dateien, übersteigen die dadurch entstehenden Kosten schnell die Kosten für die gesamte Datenhaltung des Unternehmens!

Es muss etwas getan werden!

Ein solcher Zustand ist durch nichts zu rechtfertigen. Mehr noch, er ist aus wirtschaftlichen, datenschutzrechtlichen und organisatorischen Gründen untragbar! Die Verantwortlichen müssen sofort handeln, denn jeder weitere Tag erhöht die Komplexität, die Kosten und die Gefahr von Datendiebstahl. Hier hilft kein kalkulieren der Kosten mehr und kein Abwägen der Risiken. Es ist ganz einfach klar: es muss etwas getan werden!

Aber was?

Um das Chaos zu bändigen, muss man es zunächst verstehen. Man muss herausfinden, wo redundante Ablagebereiche existieren, welche Daten überhaupt aktuell sind und wer tatsächlich darauf zugreifen kann. Erst, wenn man solche Fragen beantworten kann, können überhaupt weitere, zielgerichtete Schritte erfolgen. Wie erwähnt, sind Windows Bordmittel hier keine Alternative mehr. Sie bieten schlicht keine Antworten auf diese Fragen. Wer alles auf die Geschäftsleitungs-Ordner zugreifen kann bleibt ebenso unklar wie die Frage, warum Herr Meyer aus der Kantine seine neue Speisekarte versehentlich im Ordner der Buchhaltung ablegen konnte.

Sucht man eine geeignete Software für die Beantwortung dieser Fragen, sollte man darauf achten, dass sie die hochkomplexen Berechtigungsgruppenstrukturen auflöst und anhand der effektiven (!!) Zugriffsrechte anzeigt, wer tatsächlich auf einen bestimmten Ordner zugreifen kann. Wichtig ist auch, das WARUM nachvollziehen zu können. Weiterhin ist interessant, wie sich die Daten zusammensetzen und welche Relevanz sie haben. Hier sollten DataOwner einbezogen werden, die bei dieser Bewertung helfen. Gibt es bisher keine DataOwner, müssen diese in jedem Fall ernannt werden. Abteilungsleiter sind hier die ersten Ansprechpartner. Sie werden sich wundern, wie bereitwillig Ihre Abteilungen Ihnen die benötigten Informationen liefern werden, wenn Sie auf sie zukommen und ankündigen, dass nun endlich Ordnung geschaffen werden soll auf dem Fileserver. Natürlich darf es nicht nur bei einem leeren Versprechen bleiben, weswegen das Schaffen von Transparenz nur der erste Schritt bleiben darf.

Ein langfristiges Konzept

Um dem Chaos nachhaltig zu begegnen, muss ein Konzept erarbeitet werden, das den Umgang mit dem Filesystem sowie die Vergabe von Zugriffsrechten regelt. Hier können je nach Unternehmensgröße und -Struktur sowohl IT-zentrische als auch DataOwner-basierte Ansätze greifen. Auch wenn Eigenlob stinkt: Externe Consultants, wie z.B. die Berechtigungsexperten der aikux.com GmbH, können hier anhand der speziellen Thematik für einen erheblichen Vortrieb sorgen. Holen Sie sich einen solchen Consultant für zwei Tage ins Haus, wird er Ihnen ein umfassendes Konzept erarbeiten, dass den Ausweg aus Ihrer Misere beschreibt.

Die Umsetzung

Steht der Plan ersteinmal fest, sieht die Welt nur noch halb so schlimm aus. Zwar haben die aufgedeckten Fehlkonfigurationen sicherlich für ein paar hochrote Gesichter gesorgt, aber das Ziel ist nun nicht mehr weit. Denn für die Neustrukturierung, Konsolidierung oder Migration der Verzeichnis- und Rechtestrukturen gibt es mit migRaven eine Software, die das schnell und sauber erledigt, ohne dass Ihre Mitarbeiter bei der täglichen Arbeit gestört werden. Das bedeutet: Sie lesen Ihre aktuelle Umgebung ein und räumen diese zunächst in einem sicheren Simulationsmodus auf. Das geht ganz einfach per Drag & Drop und entbindet von der Pflicht, das gesamte Berechtigungsgruppenkonstrukt zu verstehen. Hat man nun, in Absprache mit den ernannten DataOwnern, seine neue Wunschstruktur erdacht, wird diese parallel zu den produktiven Verzeichnissen auf einen neuen Share geschrieben. migRaven bildet dann auch gleich alle Zugriffsrechte im Active Directory bzw. in den ACLs der Verzeichnisse. Auch Listberechtigungen werden sauber gebildet, so dass dem Einsatz von ABE (Access Based Enumeration) nichts mehr im Wege steht. Sogar die Replikation der Daten steuert migRaven problemlos, so dass bald eine fix und fertige Verzeichnis- und Rechtestruktur bereit steht. Der Administrator tauscht zum gewünschten Zeitpunkt nur noch den alten und den neuen Share aus und die User arbeiten ohne Unterbrechung auf den neuen Verzeichnissen weiter.

Was kommt danach?

Eines ist noch ganz wichtig. Haben Sie Ihre Fileserver-Konsolidierung bzw. den Aufräumprozess so wie beschrieben durchgezogen, steht Ihnen eine schöne, neue Struktur zur Verfügung. Aber: Ohne Pflege wird auch dieses Konstrukt irgendwann inkonsistent, denn die Administration per Hand ist weiterhin eine Administration mit verbundenen Augen. Möchten Sie also auch in 5 oder 10 Jahren noch effizient arbeiten, empfiehlt sich der Einsatz einer (Berechtigungs-) Managementsoftware. Die mit Abstand besten Erfahrungen haben wir hier mit 8MAN Enterprise gemacht. Die extrem einfache Oberfläche, die vollständige Dokumentation aller Berechtigungsfälle und nicht zuletzt die schnelle und problemlose Integration der Software sind einfach nicht zu toppen. Auch können Exchange, Sharepoint und bald auch SAP angebunden werden. Und auch an die DataOwner haben die Berliner Entwickler gedacht – über ein Webinterface werden Berechtigungen beantragt und freigegeben, ohne die IT zu belasten. Das ist die Zukunft, die sich jeder Fileserver-Verantwortliche genauer anschauen sollte!

 

 

Kontakt:

aikux.com GmbH

Tel. +49 (30) 8095010-40   |   Email: info@aikux.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 4 + 6

Wordpress SEO Plugin by SEOPressor