Berechtigungsstruktur neu aufbauen

[Boffe]

Hallo,

ich habe vor kurzem einen neuen Job als Admin in einer mittelständischen Firma (8 Server ca. 80 Clients) angetreten.

Das Zentrale Netzlaufwerk (>100.000 Files in >6000 Ordnern) wurde über Jahre "verunstaltet", d. h. die Vererbung ist deaktiviert, fast ausschließlich Rechte auf einzelne User und keine Gruppen, keine Übersicht wer wirklich worauf Zugriff hat etc.

Ich möchte das Ganze wieder sauber aufziehen

• Gruppen erstellen und Rechte darauf beziehen
• Vererbung wieder aktivieren
• Dokumentation etc.

Da ich so einen Fall bisher noch nicht hatte wäre ich dankbar für Tipps bzw. Fallstricke die ich beachten sollte von Leuten die so einen Fall schonmal hatten.

 

[XN04113]

neue Struktur und Regeln definieren
DFS nutzen (wenn noch nicht im Einsatz)
mit den Entscheidern (inkl. Personal und BR) abstimmen
geplante Struktur überarbeiten
neue Struktur parallel anlegen
User berechtigen
Hausmitteilung erstellen/Multiplikatoren benennen
User kopieren die Daten selbst um oder die Multiplikatoren in den Gruppen/Abteilungen haben Umzugspläne für Daten zu erstellen
nach 4 Wochen werden die Rechte auf die alte Struktur entzogen
Voraussetzung: ausreichend Kapazität um die Daten doppelt vorzuhalten

 

[ryan_blackdrago]

Es gibt ja eigentlich nur zwei Möglichkeiten:

=neue Struktur parallel anlegen (wie bereits erwähnt):
-1:1 Kopie;
-diese entsprechend anpassen;
-zur Verfügung stellen;
-Nacharbeiten durchführen

=vorhandene Struktur ersetzen (Arbeit am offenen Herzen):
-Zeitpunkt abpassen, an der sich die Produktivumgebung nicht ändert (Nachschicht einlegen, etc.);
-Die Gruppen vorab im AD erstellen und Schlachtplan aufstellen;
-Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge ersetzen & auf die Domänenadmins beschränken;
-danach die speziellen Berechtigungen/Gruppenberechtigungen eintragen & die Ordnerstruktur durchgehen
-Nacharbeiten

 

[t-6]

Und ich würde noch mal in den Raum werfen dass jetzt die beste Gelegenheit ist auf DFS-N zu wechseln, damit künftige Fileserver-Umzüge einfacher vonstatten gehen.

Weiterhin:
-Freigabeberechtigungen auf Jeder-Vollzugriff ändern & die granularen Berechtigungen über die NTFS-Rechte setzen; erspart Unmengen an Doppelverwaltung (die NTFS-Berechtigungen sind dann autoritativ/single point of truth), aber:
-die lokale Gruppe "Benutzer" auf einem Domänen-Server beinhaltet auch Domänen-Benutzer, heißt: Wenn du einfach nur einen Ordner auf einem Fileserver freigibst (mit "Jeder - Vollzugriff") ohne die NTFS-Rechte weiter zu kontrollieren oder die Vererbung von oben abzuschalten, holst du dir automatisch die lokale Gruppe "Benutzer" rein, was bedeutet dass automatisch alle Domänen-Benutzer wenigstens Leserechte haben
-"Effektiven Zugriff anzeigen" ist dein Freund

 

[RalphS]

Nur zur Sicherheit, weil das glaub ich noch nicht deutlich genug erwähnt wurde im Thread:

• Zunächst mal in Erfahrung bringen, was die Strukturen überhaupt sind. Aus dem bestehenden Modell kann man die ganz offensichtlich nicht ableiten.
• AD- wie auch Berechtigungsstrukturen bilden nach Möglichkeit die reale Situation ab.
• Dazu Geschäftsverteilungspläne heranziehen und, soweit erforderlich, über die internen Strukturen des Unternehmens Informationen einholen. Wenn das nur die eine Firma ist, ist das sicherlich nicht so das Problem; ansonsten muß sich "irgendwie" über die Gesamtheit abgestimmt werden.
• Alleingang ist immer doof.

Aus Erfahrung kann ich sagen, daß die Dualstruktur für den Umzug (Anwender migrieren Daten selber) zwar für den Admin die einfachste ist, aber leider auch die unzuverlässigste. Es gibt immer jemanden, der bis Zeitpunkt X nicht da ist; bei uns gabs mal vor Monaten ne Aktion das AD aufzuräumen und objektleichen in einen eigenen Container zu packen und zu deaktivieren und die Hotline kriegt immer noch regelmäßig Anrufe deswegen.

Wenn das, wie implizit suggeriert, nur eine relativ kleine Umgebung ist, würde ich vorschlagen:

• Backup haben von einem definierten Stand, auf den zurückgerollt werden können muß (sollte natürlich so aktuell wie möglich sein)
• ein komplettes und getestetes Modell bereits haben
• Altes Modell vollständig entfernen
• Neues Modell auf die Ordnerstruktur anwenden
• nochmal durchtesten
• darauf einrichten, daß die erste Zeit noch Nacharbeiten erforderlich werden (je besser die Vorbereitung, desto unproblematischer)
• wenn irgendwas (egal was) während oder kurz nach der Migration erkennbar nicht funktioniert und auch nicht fristgemäß repariert werden kann: Backup wiederherstellen und dabei ein ausreichend gutes Händchen dafür haben, zu entscheiden, ob behoben werden kann oder restauriert werden muß.

Wenn das Volumen dafür da ist, kann es natürlich nicht schaden, zunächst eine Testumgebung einzurichten mit duplizierten Daten (oder Testdaten) und dann aus jedem Bereich jemanden testweise drauf loslassen.
Nach dem Test die Produktivdaten aber trotzdem nicht fremdmigrieren lassen.


Aufwendig wird die Chose so oder so. Deswegen so weit wie möglich vorarbeiten und planen. Die Umsetzung ist dann fast egal.

 

[Boffe]

Hallo,

vielen Dank für die schnelle Hilfe.

Das Migrieren durch die User ist für mich sowieso keine Option, der Tohuwabohu kommt ja nicht von ungefähr.

Auf Grundlage eurer Tipps werde ich mir jetzt einen Schlachtplan erstellen.

Nochmal vielen Dank !

 

[XN04113]

Das Migrieren durch die User ist für mich sowieso keine Option, der Tohuwabohu kommt ja nicht von ungefähr.

Diese Aussage halte für falsch!
Ursache ist die fehlende Struktur und Berechtigung! Wenn die Benutzer nichts dürfen und die Admins nicht fuschen dann passiert so etwas nicht. Deine Probleme sind hausgemacht. Das auf den Anwender zu schieben ist zu einfach, denn der macht nur das was man ihm erlaubt.

 

[Boffe]

Wenn die User nur das machen was man ihnen erlaubt, und zwar so wie man es ihnen sagt, wäre die Welt in Ordnung.....

Bsp Heute: zwecks Homeoffice habe ich eine Anleitung geschrieben ausgedruckt und mitgegeben, wie man eine VPN Verbindung aufbaut und wofür das nötig ist.

Heute kam schon die erste Rückfrage warum denn kein Zugriff auf Netzlaufwerk etc. von Zuhause aus möglich ist...

So funktionieren User, egal bei welchem Thema, das bezieht sich leider auch auf Geschäftsführung etc.

 

[Evil E-Lex]

Ich habe für die Fileservermigration bei einem Kunden vor einigen Jahren migRaven verwendet. Kostest nicht wenig, legt aber die Berechtigungsgruppen und auch die benötigten Verzeichnisse automatisch sauber an.

Die Hautpaufgabe ist allerdings die gründliche Analyse, wie gearbeitet wird. Das muss die einzelne Abteilung und ggf. die Leitung festlegen, die IT steht da nur beratend zur Seite.

 

[snaxilian]

Als Goodie und was sich bei mir mal bewährt hat: Such dir aus 2-3 Abteilungen/Teams ein paar halbwegs technikaffine User aus und beziehe diese ein. Nicht still im IT-Kämmerlein werkeln und an Stichtag X umstellen und die Leute vor vollendete Tatsachen stellen, das erzeugt in der Regel eher Ablehnung. Gute Kommunikation von Anfang an erhöht die Akzeptanz und Leute freuen sich, wenn sie Ihre Meinung/Expertise einbringen können. Am Ende bist du ja auch nur interner Dienstleister für etwas. Daher ja: Restriktive Berechtigungen und Berechtigungen nur auf Gruppen ist sinnvoll aber du als Admin bist dafür zuständig, diese Plattformen zu bieten.

Zweites Goodie was sich langfristig bewährt hat: Ermögliche den Abteilungsleuten/Teamleitern selbstständig Leute auf Freigaben zu berechtigen, aber nicht direkt per Berechtigung auf den Share sondern ermögliche ihnen, sondern die Leute in die jeweiligen Gruppen zu packen für die Berechtigungen.
Beispielhaft dafür: https://twitter.com/swiftonsecurity/status/954442160333557762

Wechselt ein Mitarbeiter so die Abteilung oder es kommt ein neuer Mitarbeiter kann der jeweilige Vorgesetzte diesen User direkt berechtigen oder wenn ein Mitarbeiter geht/wechselt und muss nicht erst dies an die IT beauftragen.
Das ist ein unnötiger Umweg, gleichzeitig schützt es davor, dass einzelne User berechtigt werden (da nur die User der Gruppe hinzugefügt/entfernt werden). Ja, die jeweiligen Vorgesetzten haben dann Verantwortung dafür aber diese wissen auch besser, welche Mitarbeiter Zugriff bekommen sollen oder nicht mehr bekommen sollen.

edit: Zu dem VPN-Homeoffice-User: Ja, so ist das in KMUs wo man Admin für alles inkl. Helpdesk ist. Als ich das noch machen durfte habe ich immer gefragt: "An welchem konkreten Punkt der Anleitung kommen Sie nicht weiter?" Denn das zwingt die User, sich mit der Anleitung kurz zu beschäftigen und zu konzentrieren und in den meisten Fällen ist der Fehler dann plötzlich nicht reproduzierbar oder es stellt sich heraus, dass die Anleitung nicht 100%ig schlüssig war. Oder eben ein "fauler" User, der lieber den Turnschuh-Admin nervt damit dieser das bei einem einrichtet damit man sich nicht selbst damit beschäftigen muss aber da bin ich persönlich kein Freund von