Installation und Konfiguration Handbuch Version 5.5
protecting companies from the inside out
F/AD
2
Haftungsausschluss Die in diesem Dokument gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von protected-networks.com im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von protected-networks.com weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch.
Dieses Dokument ist in einer Einheit zu denen auf der Website von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen.
Urheberrecht
Hotline
8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei protected-networks.com GmbH liegen.
Support: +49 (30) 390 63 45 – 99
[email protected]
Marken und geschäftliche Bezeichnungen sind – auch ohne besondere Kennzeichnung – Eigentum des jeweiligen Markeninhabers.
protected-networks.com GmbH Alt-Moabit 73 10555 Berlin +49 (30) 390 63 45 - 0 www.protected-networks.com
Access Rights Management. Only much Smarter.
www.8man.com
3
Teil A -Installation- ................................................................................................................................................. 5 Teil B -Konfiguration- ............................................................................................................................................. 8 1
Erste Schritte nach der Installation ................................................................................................................ 8 Login 8MAN Konfiguration .................................................................................................................... 8 Basiskonfiguration ................................................................................................................................. 9 Lizenz laden ......................................................................................................................................... 13 8MAN Konfigurationsansicht .............................................................................................................. 13 SSL Verschlüsselung (AES) ................................................................................................................... 16
2
Scans ............................................................................................................................................................ 16 AD-Scan- und Ressourcenkonfiguration ............................................................................................. 17 FS-Scan- und Ressourcenkonfiguration ............................................................................................... 25 SharePoint ........................................................................................................................................... 32 Exchange ............................................................................................................................................. 39 vSphere ............................................................................................................................................... 49 Lokale Konten ...................................................................................................................................... 51 Zeitzonen auswählen .......................................................................................................................... 55 Jobsliste ............................................................................................................................................... 55
3
Kollektoren ................................................................................................................................................... 57 Kollektorverbindung............................................................................................................................ 57 Kollektoraktualisierung ....................................................................................................................... 58 Anmeldung für Kollektorinstallation ................................................................................................... 60 Kollektorinstallation ............................................................................................................................ 60 Kollektorentfernung ............................................................................................................................ 60
4
Ändern-Konfiguration .................................................................................................................................. 62 AD-Ändern-Konfiguration ................................................................................................................... 62 FS-Ändern-Konfiguration .................................................................................................................... 65 SharePoint- Ändern-Konfiguration...................................................................................................... 71
5
Benutzerverwaltung..................................................................................................................................... 72 Benutzermanagement ........................................................................................................................ 72 Erweiterte Benutzerverwaltung .......................................................................................................... 73
6
Dateneigentümer ......................................................................................................................................... 75 Organisationskategorieeinstellungen ................................................................................................. 76 Dateneigentümer hinzufügen ............................................................................................................. 79 Verwendbare Ressourcen ................................................................................................................... 79 Einstellungen Ändern von Gruppenmitgliedschaften für Dateneigentümer ...................................... 80
7
Server ........................................................................................................................................................... 82 Autorisierung....................................................................................................................................... 83
Access Rights Management. Only much Smarter.
www.8man.com
4
Kommentare ....................................................................................................................................... 83 E-Mail .................................................................................................................................................. 83 Datenstandspeicherung ...................................................................................................................... 83 Server Schwellwerte............................................................................................................................ 84 Report ................................................................................................................................................. 85 Server Ereignis Protokollierung ........................................................................................................... 86 8
Server-Status ................................................................................................................................................ 87 Lizenzinformationen ........................................................................................................................... 87 Übersicht der angemeldeten Benutzer am 8MAN Server ................................................................... 88
9
8MAN starten............................................................................................................................................... 90
Anhang.................................................................................................................................................................. 91 Anhang I: Software-Lizenzvereinbarungen ...................................................................................................... 91
Access Rights Management. Only much Smarter.
www.8man.com
5
TEIL A -INSTALLATIONFür die Installation von 8MAN sind die erforderlichen Systemanforderungen zu erfüllen ( s. Dokument 8MAN Systemanforderungen). Der Computer auf dem der 8MAN Server installiert werden soll, muss in einer Windowsdomäne angemeldet sein und es darf sich dabei nicht um ein standalone Computer handeln. Um die Installation zu beginnen starten Sie die Setup.exe Datei als Administrator. Das Betriebssystem wird automatisch erkannt. Die Sprache des Setups wird automatisch auf die des verwendeten Betriebssystems gestellt, sofern diese unterstützt wird (Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch). Anderenfalls wird Englisch verwendet. Nach dem Start des Setups erscheint der Setupassistentendialog.
Bitte wählen Sie die zu installierenden 8MAN Komponenten und den Speicherort für die Installation aus.
Access Rights Management. Only much Smarter.
www.8man.com
6
Die Architektur der 8MAN Komponenten (Zusammenarbeit und Funktion der Komponenten) ist im 8MAN Architekturdokument detailliert beschrieben. Für eine 8MAN Server Installation übernehmen Sie die voreingestellte Auswahl (der 8MAN Server übernimmt dabei die Funktion eines Kollektors). Der 8MAN Server muss nur auf einem Computer installiert werden und sollte zuerst installiert werden (auch bei Programmaktualisierungen). Danach können Kollektoren und die Benutzeroberflächen auf beliebig vielen Computern installiert werden. Pro Computer kann jeweils nur ein 8MAN Server, ein 8MAN Kollektor, eine 8MAN Benutzeroberfläche und eine 8MAN-Konfiguration-Benutzeroberfläche installiert werden. Beachten Sie, dass die Versionen von Server und Kollektoren gleich sein müssen. Es wird empfohlen die Benutzeroberflächen 8MAN und die 8MAN Konfiguration zusammen mit dem 8MAN Server auf einen Computer zu installieren. Sollten 8MAN und die 8MAN Konfiguration ab Version 4.6 separat auf verschiedenen Computern installiert sein, dann laden diese ab Version 5 automatisch vom 8MAN Server und führen diese aus. Die existierende Installation wird nicht gelöscht, aktualisiert oder verändert und die neuen Dateien werden in einem lokalen Verzeichnis temporär gespeichert. Somit sind für die Aktualisierung keine administrativen Rechte nötig. Der Anmeldedialog zeigt die original installierte Version, während anschließend die aktualisierte Anwendung ausgeführt wird.
Um die Installation durchzuführen, müssen Sie den Lizenzvereinbarungen zustimmen. Klicken Sie auf den Hyperlink, um die Lizenzvereinbarung zu lesen und aktivieren Sie anschließend das entsprechende Optionsfeld.
Klicken Sie auf „Installieren“ und die Installation wird gestartet.Die Installation erkennt eine bereits installierte Version und führt ein Update bei einer älteren Version durch oder bricht die Installation ab, wenn bereits eine neuere Version installiert ist. Es werden ebenso, entsprechend der gewählten 8MAN Komponenten“, die Systemvoraussetzungen überprüft. Sofern benötigte Windows-Komponenten fehlen, wird der folgende Dialog angezeigt:
Access Rights Management. Only much Smarter.
www.8man.com
7
Sie können die fehlenden Komponenten entweder unter Windows manuell installieren und anschließend die Installation erneut durchführen oder die Option „Install missing components“ aktivieren und anschließend auf „Try again“ klicken. Die fehlenden Komponenten werden dann automatisch installliert und überprüft.
Sind alle Voraussetzungen erfüllt, wird die Installation durchgeführt. Klicken Sie im Anschluss auf „Schließen“, um die Installation fertig zu stellen:
Nach Fertigstellung der Installation wird standardmäßig die 8MAN Konfiguration (sofern installiert) gestartet und es öffnet sich der Logindialog dazu. Bei einem Upgrade wird standardmäßig kein automatischer Start der 8MAN Konfiguration durchgeführt. Sie können den Start der 8MAN Konfiguration durch Aktivieren/Deaktivieren der Option „Starte 8MAN Konfiguration“ jedoch auch anpassen.
Access Rights Management. Only much Smarter.
www.8man.com
8
TEIL B -KONFIGURATION1 ERSTE SCHRITTE NACH DER INSTALLATION Login 8MAN Konfiguration
Nach der Installation erscheint der Logindialog für die 8MAN Konfiguration automatisch. Für manuelle Starts
.
Standardmäßig werden für die Anmeldung die Benutzerdaten vom momentan auf dem 8MAN Server Computer angemeldeten Benutzer übernommen. Alternativ kann man sich mit anderen Anmeldeinformationen anmelden. Im aufgeklappten Erweiterte-Optionen / Sprachauswahl-Bereich ( die Sprache für die 8MAN Konfiguration auszuwählen:
) ist es möglich, den 8MAN Server, den Port sowie
Access Rights Management. Only much Smarter.
www.8man.com
9
Hier geben Sie den Computernamen oder die IP-Adresse des Computers ein auf dem der 8MAN Server läuft. Wenn der 8MAN Server lokal läuft, geben Sie bitte „localhost“ ein. Die voreingestellte Portnummer ist 55555. Als Sprache können Sie Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch wählen. Wenn Sie die gewünschten Werte ausgewählt haben
„Anmelden“.
Basiskonfiguration Die 8 MAN Konfiguration startet beim ersten Mal nach der Installation automatisch mit der Ansicht für die Basiskonfiguration:
In der Basiskonfiguration konfigurieren Sie die Anmeldung für den 8MAN Server und den Microsoft SQL Server. Weitere Informationen zu den einzelnen Bereichen der Basiskonfiguration können Sie unter „8MAN sagt!“ nachlesen.
1.2.1 8MAN Server Anmeldung Der 8MAN Server ist ein Dienst, der mit lokalen System Berechtigungen läuft. Um sich am Microsoft SQL Server anzumelden und im Active Directory Daten lesen zu können, benötigt der 8MAN Server Anmeldeinformationen. Die 8MAN Server Anmeldung wird bei entsprechender Konfiguration bei der Anmeldung am Microsoft SQL Server verwendet. Weiterhin werden diese Anmeldeinformationen auch standardmäßig bei neu zu konfigurierten Scans vorgeschlagen. Für Scans können im Mein 8MAN Dashboard unter „Scans“ auch gesonderte Anmeldedaten eingegeben werden.
Access Rights Management. Only much Smarter.
www.8man.com
10
Der 1. Test überprüft automatisch nach Eingabe der Daten, ob die eingegebenen Daten für die 8MAN Server Anmeldung korrekt sind. Wenn alles in Ordnung ist erscheint folgende Meldung:
1.2.2 SQL-Serverkonfiguration In der SQL-Serverkonfiguration müssen der Microsoft SQL Server Name, die Microsoft SQL-Server Instanz, der SQLDatenbankname (keine Verwendung von Leerzeichen) und die Art der Anmeldung am SQL-Server festgelegt werden. Standardmäßig ist für die SQL-Serverdatenbank das einfache Wiederherstellungsmodell eingestellt. Ein Wechsel zum vollständigen Wiederherstellungsmodell ist erst nach der Erstkonfiguration möglich (Kap. 1.2.3). Bei einem Haken in der Checkbox „Verwende Anmeldung des 8MAN-Servers (Windows Authentifizierung)“ werden die Benutzerdaten die bei der 8MAN- Server Anmeldung eingegeben wurden, verwendet. Es ist auch möglich, die Microsoft SQL Server eigene Benutzerverwaltung zu verwenden, tragen Sie dazu den Benutzernamen und das Passwort in die entsprechenden Felder ein.
überprüft der 2. Test , ob die eingegebenen Daten für die SQL-Serveranmeldung korrekt sind. Wenn alles in Ordnung ist erscheint folgende Meldung:
8MAN unterstützt auch Microsoft SQL Server 2005, 2008 oder 2012 in der Express Version. Der Microsoft SQL Server Express ist in seiner Leistungsfähigkeit stark beschränkt (siehe Microsoft-Onlinehilfe). Bei einer Teststellung in größeren
Access Rights Management. Only much Smarter.
www.8man.com
11
Umgebungen ab ca. 500 Benutzern kann es deshalb notwendig werden, auf einen Standard MS SQL Server umzusteigen. Es ist natürlich möglich einen bereits installierten Microsoft SQL Server zu verwenden. Sobald alle Einstellungen vorgenommen wurden und der 1. und 2. Test erfolgreich waren, speichern und
um die Konfiguration zu
„Ja“. im darauffolgenden Dialog:
Nun wird der 8MAN Server beendet und die 8MAN Konfiguration ist für ein paar Sekunden nicht mit dem 8MAN Server verbunden.
Anschließend wird der 8MAN Server mit der neuen Konfiguration gestartet und die Erstkonfiguration ist beendet. Bei Bedarf, z.B. beim Passwortablauf (Empfehlung: Verwendung von Benutzerkonten für 8MAN ohne zeitlichen Ablauf), Umzug eines SQL-Datenbankservers oder Anlegung einer neuen SQL-Datenbank können die Daten in der Basiskonfiguration geändert werden. Nach der Erstkonfiguration bzw. dem Anlegen einer neuen Datenbank wird standardmäßig ins Mein 8MAN Dashboard gewechselt:
Access Rights Management. Only much Smarter.
www.8man.com
12
Um 8MAN nutzen zu können müssen Sie als nächstes eine Lizenz laden (Kap. 1.3).
Hinweis Mögliche Lösungen zur Behebung auftretender Probleme mit dem SQL Server finden Sie im Dokument „8MAN Knowledge Base“.
1.2.3 Wiederherstellungsmodell SQL-Datenbank
Das Wiederherstellungsmodell der SQL-Datenbank kann einfach oder vollständig sein. Das standardmäßig eingestellte und von protected-networks.com empfohlene Wiederherstellungsmodell ist einfach. Um sich die Einstellungen für das Wiederherstellungsmodell anzeigen zu lassen
.
Access Rights Management. Only much Smarter.
www.8man.com
13
Wechsel zum vollständigen Wiederherstellungsmodell Logdateien der Datenbank verkleinern Alle Dateien der Datenbank verkleinern
Wechsel zum einfachen Wiederherstellungsmodell Alle Dateien der Datenbank verkleinern.
Desweiteren werden Ihnen jetzt im Bereich Status der Konfiguration weitere Informationen zum Wiederherstellungsmodell angezeigt.
Lizenz laden
Im Kapitel 8.1 ist beschrieben wie man eine Lizenz lädt.
8MAN Konfigurationsansicht Mein 8MAN Dashboard Funktionen werden im Kap. Fehler! Verweisquelle konnte nicht gefunden werden. bis 8 erklärt.
Access Rights Management. Only much Smarter.
www.8man.com
14
Statusanzeige für
Report Übersicht
Vorgänge in 8MAN
(Kap. 1.4.1)
Server Schwellwerte
Anmeldedaten
Abmelden
(Kap. 1.1)
(Kap. 1.4.2)
1.4.1 Report Übersicht Im Report-Übersicht-Dialog können Sie alle Reports ansehen, speichern oder löschen, welche auf dem 8Man Server hinterlegt sind.
Access Rights Management. Only much Smarter.
www.8man.com
15
1.4.2 Server Schwellwerte Im Server-Schwellwerte-Dialog erhalten Sie einen Überblick über die aktuellen Server Schwellwerte (Kap. 7.5)
Access Rights Management. Only much Smarter.
www.8man.com
16
SSL Verschlüsselung (AES) Es gibt die Option eine SSL-Verschlüsselung (AES → Advanced Encryption Standard) der Netzwerkkommunikation zwischen 8MAN Server und 8MAN/8MAN Konfiguration zu aktivieren (eine Verschlüsselung zwischen 8MAN Server und 8MAN Kollektor wird nicht unterstützt). Mit dieser SSL-Verschlüsselung wird außerdem eine Authentifizierung über Zertifikate zwischen 8MAN Server und 8MAN/8MAN Konfiguration eingeführt, um Man-in-the-middle Angriffe zu verhindern. Weitere Informationen finden Sie im Dokument „8MAN SSL Verschlüsselung (AES)“.
2 SCANS
In der Scankonfigurationsansicht können Sie Einstellungen für AD-, FS-, Logga (AD bzw. FS mit Überwachung)-, SharePoint-, Exchange- und vSphere Scans vornehmen. Zusätzlich können Sie domänen- bzw. fileserverspezifische Einstellungen vornehmen, die bei Berechtigungsänderungen mit 8MAN benötigt werden (Kap. 2.1.5 und 2.2.3). Die Konfigurationen werden automatisch gespeichert.
Die Schaltflächen haben folgende Bedeutung: Domänen- und Kollektorauswahl
SharePoint (Kap. 2.3)
(Kap. 2.1.2) FS-Scan- und Ressourcenkonfiguration
Exchange (Kap. 2.4)
(Kap. 2.2) Fileserver CSV Import
vSphere
(Kap. 2.2.2.4)
(Kap. 2.5)
Fehler! Verweisquelle konnte nicht gefunden werden.
Lokale Konten (Kap. 2.6)
siehe 8MATE AD oder FS
Access Rights Management. Only much Smarter.
www.8man.com
17
Logga Handbuch
AD-Scan- und Ressourcenkonfiguration 2.1.1 Scanvorbereitung für Domänen ohne Vertauensstellung 8MAN kann Domänen ohne Vertrauensstellung nur scannen, wenn die Verschlüsselung der 8MAN Netzwerkkommunikation (Kap. Fehler! Verweisquelle konnte nicht gefunden werden.) deaktiviert ist und die folgendende Scanvorbereitung durchgeführt wird. Zielstellung dabei ist das Gewinnen von Berechtigungsinformationen von Objekten, die dem 8MAN Server bzw. innerhalb der Domäne des 8MAN Servers nicht bekannt sind. Weitere Informationen für das Scannen der Domänen ohne Vertrauensstellung werden an den entsprechenden Stellen im Kapitel 2.1 AD-Scan- und Ressourcenkonfiguration beschrieben.
2.1.1.1
Kollektorinstallation in der Domäne ohne Vetrauensstellung
Grundvoraussetzung für das Scannen einer Domäne ohne Vetrauensstellung ist die zusätzliche Installation eines 8MAN Kollektors auf einem Host (z.B. Windows Fileserver) innerhalb der Domäne ohne Vertrauensstellung. Zu diesem Zweck muss ein Kollektor (Teil A -Installation-) auf dem entfernten Host installiert werden. Der dadurch installierte Service (pnCollector.exe) muss unter dem ‚Local System‘ Konto arbeiten. Um dem Kollektor eine Kommunikation zum 8MAN Server ermöglichen zu können, ist es notwendig einen Eintrag in die hosts-Datei des Computers mit installiertem 8MAN Server und einen Eintrag in die hosts-Datei des Computers mit 8MAN Kollektor vorzunehmen. Der 8MAN Server und Kollektor muss mit dem voll qualifizierten Namen und seiner IP Adresse benannt werden (sorgt dafür, dass ein nicht automatisch vorhandener Domain Name System (DNS) Eintrag für den 8MAN Server und Kollektor erzeugt wird):
2.1.1.2
Kollektorverbindung aus der Domäne ohne Vetrauensstellung
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung aus der Domäne ohne Vertrauensstellung muss hierbei die IP Adresse (z. B.: xxx.xxx.xxx.xxx) des Computers mit installiertem Kollektor eingetragen werden.
2.1.2 Domänen- und Kollektorauswahl
Access Rights Management. Only much Smarter.
www.8man.com
18
Im Active-Directory-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), die zu scannende Domäne und den Kollektor für den Scan auswählen. Wenn ein Kollektor auf der zu scannenden Ressource installiert ist, wählen Sie diesen aus. Sollte dies nicht der Fall sein, wählen Sie einen bzw. mehrere Kollektoren in der Nähe (Kollektoren die auf Computern mit geringer Last installiert sind, sind zu bevorzugen) der zu scannenden Ressource aus. Der Kollektor führt den eigentlichen Scan aus und ist normalerweise der 8MAN Server selbst. Für den einzelnen Zugriff (z. B. Scan, Änderung, sonstige Anfragen) wird zum Zeitpunkt des Zugriffs der Kollektor automatisch ausgewählt, der die geringste Last (Speicherverbrauch, CPU-Last) hat. Damit ist 8MAN in der Lage, die Last von vielen gleichzeitig auszuführenden Aufgaben auf mehrere Kollektoren dynamisch zu verteilen (Kap. 2.1.3.4.2). Bei Domänen ohne Vetrauensstellung wird initial mit hoher Wahrscheinlichkeit nicht die gewünschte Domäne zur Auswahl stehen. Das ist dadurch bedingt, dass das voreingestellte Anmeldung keine passenden Rechte beinhaltet. Bei Verwendung des für den Zweck in Frage kommenden Kontos wird die gewünschte Domäne angezeigt werden. Es ist unbedingt notwendig, dass sich das gewünschte Konto auch interaktiv auf dem FS mit installiertem Kollektor in der Domäne ohne Vertrauenstellung anmelden kann.
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie ADScan- und Ressourceneinstellungen vornehmen können.
AD-Scaneinstellungen (Kap. 2.1.3)
v v AD-Ressourceneinstellungen (Kap. 2.1.5)
Access Rights Management. Only much Smarter.
www.8man.com
19
2.1.3 AD-Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung:
und
Scan ausführen und Scangröße in der Datenbank
Domänen- und Kollektorauswahl
(Kap. 2.1.4)
(Kap. 2.1.2)
Ausführungsplan
Zusätzliche Optionen
,
(Kap. 2.1.3.2)
und
Name der Konfiguration
(Kap. 2.1.3.4)
Berechtigungen Scannen
(Kap.2.1.3.1)
(Kap. 2.1.3.5) Domänen- und Kollektorauswahl
und
(Kap. 2.1.2)
Verhalten im Fehlerfall (Kap.2.1.3.6)
2.1.3.1
Anmeldung Ressourcenscan
Fileserverauswahl
(Kap.2.1.3.3)
(Kap.2.1.3.7)
Name der Konfiguration
Im Name-der-Konfiguration-Dialog können Sie einen Namen für die Konfiguration eingeben, wenn Sie einen anderen Anzeigenamen benötigen.
Access Rights Management. Only much Smarter.
www.8man.com
20
2.1.3.2
Ausführungsplan
Im Ausführungsplandialog können Sie definieren zu welchen Zeitpunkten Scans ausgeführt werden. Beachten Sie, dass die Einstellung beim Tag größer oder gleich 29 bei bestimmten Zeitpunkten zu keinem automatischen Start der geplanten Aufgabe führt (z.B.: der 29. Februar [ohne Schaltjahr] oder der 31.April).
2.1.3.3
Anmeldung Ressourcenscan
Im Anmeldungdialog können Sie die für den Ressourcenscan zu verwendende Anmeldung (standardmäßig werden zum Scannen der Ressource die Anmeldedaten aus der Basiskonfiguration[Kap. 1.2.1] übernommen) eingeben.
2.1.3.4
Zusätzliche Optionen
Im Zusätzliche-Optionen-Dialog können Sie definieren wie der Scanner Objekte aus fremden Domänen behandelt und die Anzahl der parallelen Anfragen während der Scans.
Access Rights Management. Only much Smarter.
www.8man.com
21
2.1.3.4.1
Unterstützung externer Domänen mit und ohne Vertrauensstellung
Benutzer oder Gruppen aus externen Domänen mit Vertrauensstellung werden in der eigenen Domäne als ForeignSecurityPricipal-Objekte angelegt. Diese haben die gleiche Sicherheits-ID (SID) wie der Benutzer oder Gruppe in der Ursprungsdomäne, es fehlen jedoch sämtliche weitere Eigenschaften wie z. B. Name oder Beschreibung. Damit diese Informationen nun angezeigt werden können, gibt es im Dialog für die zusätzlichen Optionen der Domäne eine neue Einstellung, mit der das Auflösen und Lesen der Eigenschaften dieser Fremd-Domänenobjekte aktiviert werden kann.
Es ist möglich, die Änderungsfunktionalitäten auch auf Domänen ohne Vetrauensstellung anzuwenden (weitere Informationen zu den Scanvorbereitung für Domänen ohne Vertauensstellung finden Sie im Kap. 2.1.1). Externe Domänen ohne Vertrauensstellung können von 8MAN gescannt und angezeigt werden. Dazu müssen lediglich die Kollektoren angeschlossen und geeignete Zugangsdaten in den Dialogen eingetragen sein.
2.1.3.4.2
Parallele Scans
Bitte beachten Sie, dass sich mit der Anzahl der parallelen Anfragen auch die Rechenlast auf dem ausführenden Computer erhöht. Ausgehend von 2 Prozessoren sind nach unseren Erfahrungen 4 bis 6 parallele Anfragen optimal. Mit der Anzahl der Prozessoren kann diese Zahl jedoch höher angesetzt werden. Maximal ist die Anzahl auf 64 parallele Anfragen begrenzt. Wenn Sie den Wert auf 1 stellen, werden keine parallelen Anfragen durchgeführt. Scans im Active Directory und auf den Fileservern können sequentiell abgearbeitet werden. Dabei ist die Rechenlast des ausführenden Computers sehr gering, weil die Geschwindigkeit von den Antwortzeiten der Domaincontroller und Fileserver abhängt. Die Antwortzeit der Anfragen erhöht sich nur unwesentlich durch das parallele Verarbeiten der Anfragen, die Geschwindigkeit des gesamten Scans kann sich jedoch erheblich verkürzen.
2.1.3.5
Berechtigungen Scannen
Im Berechtigungen-scannen-Dialog können Sie einstellen welche Objektklassen bei Berechtigungsscans zusätzlich gescannt werden sollen.
Access Rights Management. Only much Smarter.
www.8man.com
22
2.1.3.6
Verhalten im Fehlerfall
Im Verhalten-im-Fehlerfall-Dialog können Sie einstellen wie oft und mit welcher Wartezeit der Scan bei eventeullen Wartungsarbeiten wiederholt wird.
2.1.3.7
Fileserverauswahl
Welche Einstellungen Sie im Fileserver Auswahldialog vornehmen können, erfahren Sie im Kap. 4.2. Der ausgewählte FS wird dem AD-Scan zugeordnet. Dies wird visuell durch eine Verbindungslinie gekennzeichnet. Sie können auch einen seperaten FS-Scan per Drag-und Drop einem AD-Scan zuordnen bzw. von einem lösen, indem Sie eine FS-ScanKonfigurationsbubble auf eine AD-Scan-Konfigurationsbubble ziehen bzw. von einer wegziehen.Sie können den AD- und FSScan zusammen ausführen (
) oder den AD- bzw. FS-Scan einzeln ausführen.
2.1.4 Scan ausführen und Scangröße in der Datenbank Während des Scannens besteht die Möglichkeit den Scan abzubrechen.
Nach einem Scan wird angezeigt wie viele Elemente insgesamt bei welcher Geschwindigkeit gescannt wurden, wie groß die Datendatei und die Tabellen in der SQL Datenbank sind. Diese Information befindet sich auch in der Jobliste-Details. Bei Fehlermeldungen können diese unter C:\ProgramData\protected-networks.com\8MAN\log in der pnServer.log nachgelesen werden.
Access Rights Management. Only much Smarter.
www.8man.com
23
Zu beachten ist, dass sich die Datenbankgröße auf den reservierten Speicher bezieht, also nicht nur die eigentlichen Daten und ggf. Indizes, sondern auch ein Puffer, der vom SQL Server verwaltet wird. Weiterhin kann es sein, dass die Datenbankdatei durch den neuen Scan nicht unbedingt um die Größe des verwendeten Speicherplatzes der Tabellen gewachsen ist. Die Größenänderung der Datenbankdatei hängt allein von den Wachstumseinstellungen der Datenbank ab. Durch zusätzlich benötigten Speicher kann die Datenbank nicht wachsen oder wesentlich mehr Speicher als zum Zeitpunkt notwendig reservieren.
2.1.5 AD-Ressourceneinstellungen
Die Schaltflächen haben folgende Bedeutung:
2.1.5.1
Anmeldung zum Schreiben im Active Directory
Auswahl der Oragnisationseinheit für zu löschende Benutzer
(Kap. 2.1.5.1)
(Kap. 2.1.5.4)
Auswahl der Organisationseinheit für neue Benutzer
Auswahl der Organisationseinheit für 8MAN Gruppen
(Kap. 2.1.5.2)
(Kap. 2.1.5.5)
Auswahl der Oragnisationseinheit für neue Gruppen
Zusätzliches 8MAN Gruppenpräfix
(Kap. 2.1.5.3)
(Kap. 2.1.5.6)
Anmeldung zum Schreiben im Active Directory
Um z.B. Gruppenmitgliedschaften in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben im AD benötigt, diese können Sie im Anmeldung-Dialog einstellen.
Access Rights Management. Only much Smarter.
www.8man.com
24
2.1.5.2
Auswahl der Organisationseinheit für neue Benutzer
Im Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog können Sie die OU wählen in der neue Objekte,wie Benutzer oder Gruppen, standardmäßig gespeichert werden sollen.
2.1.5.3
Auswahl der Oragnisationseinheit für neue Gruppen
Im Auswahl-der-Organisationseinheit-für-neue-Gruppen-Dialog können Sie die OU wählen in der neue Objekte,wie Benutzer oder Gruppen, standardmäßig gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie Auswahl-derOrganisationseinheit-für-neue-Benutzer-Dialog (Kap. 2.1.5.2).
2.1.5.4
Auswahl der Oragnisationseinheit für zu löschende Benutzer
Im Auswahl-der-Organisationseinheit-für-zu-löschende-Benutzer-Dialog wählen Sie die OU, in die zu löschende Benutzerkonten verschoben werden sollen (zum Thema Soft-Delete & Recovery von Benutzern siehe Produktbeschreibung) Der Dialog hat den gleichen Aufbau wie Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog (Kap. 2.1.5.2).
2.1.5.5
Auswahl der Organisationseinheit für 8MAN Gruppen
Im Auswahl-der-Organisationseinheit-für-8MANGruppen-Dialog selektieren Sie die OU in der die von 8MAN erzeugten Berechtigungsgruppen aus dem Gruppenassistenten gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog (Kap. 2.1.5.2).
2.1.5.6
Zusätzliches 8MAN Gruppenpräfix
Im Zusätzliches-8MAN-Gruppenpräfix-Dialog definieren Sie ein zusätzliches 8MAN Gruppenpräfix (8GP), das in allen 8MAN Gruppen enthalten sein soll. Diese Gruppennamen werden in der „Gruppenassistent-Konfiguration“ eingestellt.
Access Rights Management. Only much Smarter.
www.8man.com
25
FS-Scan- und Ressourcenkonfiguration Sie können einen FS-Scan entweder separat erstellen oder mit einem AD-Scan verknüpfen. Einen separaten FS-Scan erstellen Sie
(Kap. 2.2.1) oder
(Kap. 2.2.2.4). Einen verknüpften Scan erstellen
Sie dagegen, indem Sie bei einem vorhandenen AD-Scan
(Kap. 2.1.3.7).
2.2.1 FS- und Kollektorauswahl Im Fileserver-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden FS und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie FSScan- und Ressourceneinstellungen vornehmen können. Scaneinstellungen (Kap. 2.2.2)
v
Ressourceneinstellungen (Kap. 2.2.3)
Access Rights Management. Only much Smarter.
www.8man.com
26
2.2.2 FS-Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-ScanKonfigurations-Bubble [Kap. 2.1.3] aufweisen): und
Zusätzliche Optionen (Kap. 2.2.2.1)
und
Scantiefe (Kap. 2.2.2.3)
Freigabe-Auswahl (Kap. 2.2.2.2)
2.2.2.1
Zusätzliche Optionen
Im Zusätzliche-Optionen-Dialog können Sie den Fileservertypen und die Anzahl der parallelen Anfragen während der Scans (weitere Informationen zu parallele Anfragen während der Scans Kap. 4.1.1) festlegen. Als Fileserver-Typ lassen Sie bitte vorzugsweise die Standardeinstellung „Automatisch erkennen“ ausgewählt. Nur falls dies nicht funktioniert, sollten Sie den Typ explizit angeben.
2.2.2.2
Freigabe-Auswahl
Im Freigabe-Auswahl-Dialog können Sie alle zu scannenden Freigaben wählen. Desweiteren können Sie im Zusatzinformationen/Kommentare-zu-den-Freigaben-Feld neue Informationskategorien hinzufügen.
Access Rights Management. Only much Smarter.
www.8man.com
27
2.2.2.3
Scantiefe
Im Scantiefe-Dialog definieren Sie die Tiefe, bis zu welcher Scans durchgeführt werden sollen.
2.2.2.4
Fileserver CSV Import
…
Im Import-Datei-Dialog wählen Sie die zu öffnende csv-Datei. Mithilfe der csv-Datei ist es möglich die zu scannenden Freigaben zu importieren. Dazu wird eine csv-Datei mit folgenden Werten benötigt:
zwei obligatorische Spalten mit folgenden Überschriften: „Server“ und „Freigabe“ und
Spalten durch Semikolon oder Tab getrennt
optionale Spalte mit Überschift „Kollektor“ (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor verwendet)
weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren Überschriften, z.B.: „Kostenstelle“ oder „Beschreibung“
Beispiel einer csv-Datei:
Access Rights Management. Only much Smarter.
www.8man.com
28
Nach dem Import der csv-Datei erscheint der Fileserver-CSV-Import-Dialog.
Informationen zu den Scaneinstellungen auf der rechten Seite erhalten Sie im Kap.2.2.2. Nachdem Sie alle Einstellungen vorgenommen haben
„Ok“. Als Ergebnis sehen Sie eine FS-Scan-Konfigurations-Bubble (Kap.2.2.2). In dieser sind Ihre
importierten Freigaben aufgeführt:
.
2.2.3 FS-Ressourceneinstellungen
Die Schaltflächen haben folgende Bedeutung: Anmeldung zum Schreiben auf dem Fileserver
Access Rights Management. Only much Smarter.
Listrechte-Konfiguration (Kap. 2.2.3.2)
www.8man.com
29
(Kap. 2.2.3.1)
2.2.3.1
Anmeldung zum Schreiben auf dem Fileserver
Um z.B. Verzeichnisberechtigungen in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben auf dem Fileserver benötigt, diese können Sie im Anmeldung-Dialog einstellen.
2.2.3.2
Listrechte-Konfiguration
Listgruppen sind spezielle Berechtigungsgruppen, die Mitgliedern das Navigieren zu einem untergeordneten Verzeichnis ermöglichen. Ab Version 5.1 gibt es ein neues Verfahren zur Verwaltung von Listrechten. Für Fileserver, die bisher noch nicht die 8MAN Listrechte-Konfiguration verwendet haben, kann die neue Konfiguration gewählt werden. Für Fileserver mit bereits aktivierter Listrechte-Konfiguration kann das neue Verfahren nicht verwendet werden. Alle bisherigen ListrechteKonfigurationen verwenden daher das Verfahren vor Version 5.1. Bitte beachten Sie, dass Sie zwischen beiden Verfahren nur einmal, bis zum ersten Speichern einer neuen Konfiguration, wählen können. Die Grundidee besteht darin, dass Benutzer, die in einem Verzeichnis ‚C‘ berechtigt werden, dieses auch erreichen müssen. Zu diesem Zweck benötigt der Benutzer sogenannte Listrechte (Ordnerinhalt anzeigen), die auf unterschiedlichste Art und Weise hergestellt werden können. 8MAN bedient sich dazu der Möglichkeit, die Berechtigungsgruppen als Mitglieder von Listgruppen zu verwenden. Dabei gibt es 2 verschiedene Modi der automatischen Listrechte-Verwaltung: Die Listgruppen können entweder ineinander verschachtelt werden, oder die Berechtigungsgruppen werden in allen Listgruppen separat Mitglied.
2.2.3.2.1
Listrechte-Konfiguration ab 8MAN Version 5.1 einstellen
Sie können in der Listrechte-Konfiguration verschiedene Parameter einstellen. Aufruf
8MAN Konfiguration → Scans → Fileserver-Konfigurations-Bubble →
Dialog
Access Rights Management. Only much Smarter.
www.8man.com
30
Parameter
Beschreibung Listrechte werden automatisch durch 8MAN verwaltet. Erläuterungen finden Sie im ausgeklappten Feld. Beim Konfigurieren der Verzeichnisebenen mit den Schiebereglern wird automatisch in der Vorschau-für-alleVerzeichnisebenen rechts die resultierende Konfiguration der Listgruppen angezeigt. Für einzelne Elemente in der Vorschau wird eine Hilfe über Tooltips angeboten. Auf der gleichen Verzeichnisebene, auf der eine Berechtigungsänderung mit 8MAN durchgeführt wird, wird auch eine Listgruppe erstellt. Anderenfalls werden Listgruppen nur auf den darüber liegenden Ebenen erzeugt. Diese Option ist nur verfügbar, wenn die Option zuvor aktiviert ist. Ein Verzeichnis, auf dem Benutzer über eine Berechtigungsgruppe Zugriff besitzen, wird vor zufälligem Löschen geschützt, indem die dazugehörige Listgruppe ein explizites Verweigern für ‚Löschen‘ auf dem Verzeichnis erhält.
Access Rights Management. Only much Smarter.
www.8man.com
31
Setzen Sie bereits die Listrechte-Konfiguration 8MAN Versionen vor 5.1 ein, können Sie diese auch für neue Fileserver verwenden. Klicken Sie hierzu auf den Button „Zur alten Listrechte-Verwaltung wechseln“. Bestätigen Sie die nachfolgende Sicherheitsabfrage und es erscheint wieder die alte Listrechte-Konfiguration:
Beispiel Das Verzeichnis heißt \\server\share\A\B\C. Der Benutzer bekommt auf dem Verzeichnis ‚C‘ z. B. Ändern Rechte. In der Listrechte-Konfiguration wurden folgende Einstellungen vorgenommen:
Aus diesen Einstellungen ergibt sich folgender Vorgang für 8MAN: 1.
Im Verzeichnis ‚C‘ wird eine Berechtigungsgruppe mit ‚Ändern‘ Berechtigung erstellt.
2.
Der Benutzer wird Mitglied dieser Gruppe.
3.
Im Verzeichnis ‚C‘ wird eine Listgruppe erstellt und berechtigt (Ordnerinhalt anzeigen; nur dieser Ordner; ohne Vererbung).
4.
Die Listgruppe wird zusätzlich berechtigt (Löschen verweigern; nur dieser Ordner).
5.
Die Ändern-Berechtigungsgruppe wird Mitglied der Listgruppe auf ‚C‘.
6.
Im Verzeichnis ‚B‘ wird eine Listgruppe erstellt und berechtigt (Ordnerinhalt anzeigen; nur dieser Ordner; ohne Vererbung).
7.
Die Listgruppe auf ‚C‘ wird Mitglied der Listgruppe auf ‚B‘.
8.
Im Verzeichnis ‚A‘ wird eine Listgruppe erstellt und berechtigt (Ordnerinhalt anzeigen; nur dieser Ordner; ohne Vererbung).
9.
Die Listgruppe auf ‚A‘ wird Mitglied der Listgruppe auf ‚B‘.
Das Share bleibt außerhalb der Berechtigungsmaßnahme.
Access Rights Management. Only much Smarter.
www.8man.com
32
2.2.3.2.2
Listrechte-Konfiguration 8MAN vor Version 5.1 einstellen
Im unteren Bereich können Sie bestimmen, wie die Listrechte für die ersten fünf Verzeichnebenen realisiert werden sollen. Belassen Sie hierbei bitte die Standardeinstellung, sofern Sie keine spezielle Konfiguration für Ihr System benötigen.
SharePoint 8MAN unterstützt das Auslesen von SharePoint 2010 und 2007. SharePoint Websitesammlungen mit „Forderungsbasierter Authentifizierung“ (Claims-Based Authentication) werden von 8MAN unterstützt mit der Einschränkung, dass die Prinzipale aus der Domäne sein müssen, die auch die Heimatdomäne des Sharepoints ist.
2.3.1 SharePoint Scanvorbereitung Um SharePoint scannen zu können, benötigen Sie einen mit folgenden Voraussetzungen eingerichteten Account. Für die Durchführung der SharePoint Scans und Berechtigungsvergabe wird ein Benutzer vorausgesetzt, der in der SharePoint- und der Datenbank-Umgebung volle Berechtigung hat (z.B: Farm Administrator). Um diesen Account richtig berechtigen zu können, wird ein Active Directory Account vorausgesetzt, ggf. kann mit 8MAN ein neuer Account erstellt werden. Folgende Voraussetzungen für den Scanaccount sind absolut notwendig: 1.
Der Scanaccount muss Mitglied der Share Point Farmadministrator Gruppe sein.
2.
Der Benutzer muss über die Berechtigungen der einzelnen Webanwendungen „Vollzugriff“ Berechtigungen haben
Access Rights Management. Only much Smarter.
www.8man.com
33
3.
Auf den SharePoint Datenbanken mindestens Leserechte.
4.
Auf jeder SharePoint Datenbank die spezielle Berechtigung „SharePoint_Shell_Access“.
5.
Der Scanaccount muss Mitglied der lokalen Administratoren Gruppe auf allen SharePoint Servern sein.
Im Kap. 2.3.1.1 und 2.3.1.2 finden Sie eine kleine Anleitung, wie Sie sich selbst mit 8MAN einen solchen Benutzer (nachfolgend sa – Service Account benannt) erstellen können. Neben dem Scanaccount wird noch ein auf dem SharePoint Server installierter und mit dem 8MAN Server verbundener Kollektor benötigt (Kap. 2.3.1.3 und 2.3.1.4), um SharePoint scannen zu können.
2.3.1.1
Erstellung Scanaccount in Active Directory
Im ersten Schritt benötigen sie einen neuen sa, den sie sich in 8MAN mit Hilfe von „erstelle neuen Benutzer/Gruppe“ neu erstellen können. Die gewählten Namen in den Screenshots sind nur Beispielnamen, hier: sa-sp_scanner.
Dieser neu erstellte sa muss nun in die Gruppe der lokalen Administratoren auf allen SharePoint Servern aufgenommen werden.
Access Rights Management. Only much Smarter.
www.8man.com
34
2.3.1.2
2.3.1.2.1
Berechtigungsvergabe für Scanaccount
Farm Administrator
Der Scan Account muss in der Central Administration vom SharePoint in die Farm Administratoren Gruppe hinzugefügt werden.
2.3.1.2.2
Web Application Policy – Full Read
Zur jetzigen Zeit muss der Scan Account bei allen Web Applications über Policies mit „Full Read“ berechtigt werden, da sonst der komplette Inhalt nicht gescannt werden kann.
Access Rights Management. Only much Smarter.
www.8man.com
35
2.3.1.2.3
Zusätzliche unbedingt benötigte Berechtigungen
Folgende Berechtigungen sind ebenfalls notwendig (wenn SharePoint 2010 u.U. nicht nach Best Practices aufgesetzt worden ist).Wir raten es immer auszuführen.
2.3.1.2.3.1
SharePoint Shell Administrator
Diese Berechtigung erweitert den Scan Account mit der Berechtigung die „SharePoint 2010 Management Shell“ verwenden zu können. Damit bekommt der Account die spezielle Berechtigung „SharePoint_Shell_Access“ auf allen Datenbanken und der Account wird auf allen SharePoint-Server in die lokale Gruppe „WSS_Admin_WPG“ hinzugefügt. Dafür muss folgender Befehl in der „SharePoint 2010 Management Shell“ ausgeführt werden: ForEach ($db in Get-SPDatabase) {Add-SPShellAdmin -Username -Database $db}
Bitte nach dem Ausführen nachprüfen ob der Scan Account wirklich in der lokalen Gruppe „WSS_Admin_WPG“ ist.
2.3.1.2.3.2
Lokaler Administrator
Es kann eventuell nötig sein, den Scan Account auf allen SharePoint-Servern in die Gruppe „Lokale Administratoren“ hinzuzufügen.
Access Rights Management. Only much Smarter.
www.8man.com
36
2.3.1.2.3.3
Datenbank Server Rechte „Public“
Es muss sichergestellt werden, dass der Scann Account mindestens Public Rechte besitzt
2.3.1.2.3.4
Datenbank Server System Administrator
In Einzelfällen kann es nötig sein, dass dieser Scan Account auf dem Datenbank-Server als System Administrator berechtigt wird.
Access Rights Management. Only much Smarter.
www.8man.com
37
2.3.1.2.4
Web Application Policy – Full Control
Der Kollektor auf dem SharePoint ist zur Zeit nur lesend auf dem SharePoint tätig. Deshalb wird die „Full Control“ Berechtigung nicht benötigt. Nach der Erweiterung des Kollektors zum zusätzlichen Verwalten von Berechtigungen („Ändern“), wird diese Berechtigung benötigt werden. Ausführungen im Kap. 2.3.1.2.2 erneut durchführen, mit der Policy „Full Control“.
2.3.1.3
Kollektorinstallation auf dem SharePoint Server
Um SharePoint scannen zu können muß ein Kollektor auf dem SharePoint Server installiert werden (weitere Informationen zur Kollektorinstallation Teil A -Installation-).
2.3.1.4
Kollektorverbindung SharePoint Server
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der Name des Sharepoint Servers mit installiertem Kollektor eingetragen werden.
2.3.2 SharePoint Scankonfiguration
2.3.2.1
SharePoint Server- und Kollektorauswahl
Im SharePoint-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden Sharepoint Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2). Für SharePoint ist nur der auf dem SharePoint Server installierte Kollektor wählbar.
Access Rights Management. Only much Smarter.
www.8man.com
38
Wenn Sie alle Einstellungen vorgenommen haben SharePoint Scaneinstellungen vornehmen können.
2.3.2.2
„Anwenden”. Es erscheint eine Konfigurations-Bubble in der Sie
SharePoint Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-ScanKonfigurations-Bubble [Kap. 2.1.3] aufweisen):
Bei
Webanwendung Auswahl
Scanoptionen für SharePoint
(Kap. 2.3.2.2.1)
(Kap. 2.3.2.2.2)
sind die Anmeldedaten des sa-sp_scanner Accounts einzutragen. Nachdem Sie die zu
scannenden Websiten im Einstiegspunkt-Dialog ausgewählt haben erscheint
2.3.2.2.1
und Sie können den Scan ausführen.
Webanwendung Auswahl
Im Webanwendung-Auswahl-Dialog können Sie die zu scannenden Webanwendungen auswählen. Die zu verwendende Anmeldung wird aus der SharePoint-Konfigurations-Bubble (Kap. 2.3.2.2) übernommen.
Access Rights Management. Only much Smarter.
www.8man.com
39
2.3.2.2.2
Scanoptionen für SharePoint
Im Scanoptionen-für-SharePoint-Dialog können Sie zusätzliche Optionen für die SharePoint Scan Konfiguration definieren.
Exchange Der 8MAN unterstützt das Auslesen von Exchange ab der Version 2007. Zwingende Voraussetzung zum Scannen von Exchange ist eine lokal installierte PowerShell 2.0 oder höher. Von dem Rechner, der den Scan ausführt sollte weiterhin eine Verbindung zu einem Exchange Client Access Server möglich sein. Achten Sie bitte auf vorhandene Firewalls die ggf. Autodiscovery oder eine Verbindung zum Exchanger verhindern. Zusätzliche Anforderungen unter Exchange 2007: Lokal installierte Exchange Management Tools
2.4.1 Exchange Scanvorbereitung
2.4.1.1
Exchange 2007 Scanvorbereitung
Für den Scan von Exchange 2007 benötigt 8MAN das PowerShell SnapIn der Exchange Management Tools. (Microsoft.Exchange.Management.PowerShell.Admin) Das SnapIn wird durch einen Exchange Server oder die Exchange Management Tools zur Verfügung gestellt. Dazu kann entweder ein 8MAN Kollektor auf einem Exchange Server installiert werden (nicht empfohlen), auf einem Rechner mit installierten Exchange Management Tools installiert werden (empfohlen) oder die Management Tools auf dem Computer des 8MAN Servers installiert werden (nicht unbedingt empfehlenswert). Mit den Exchange Management Tools wird das nötige SnapIn installiert und für die PowerShell registriert.
Access Rights Management. Only much Smarter.
www.8man.com
40
2.4.1.1.1
Berechtigungen für den Scanaccount
Die Anmeldung für den Exchangescan muss zumindest Mitglied der Gruppe „Exchange View-Only Administrators“ sein. Da bei dem Scan auch die Auflösung von Distinguished Names durchgeführt wird und die Berechtigungen auf einem Postfach teilweise auch direkt am Postfachbenutzer gesetzt werden, muss der Account auch über Leserechte im Active Directory verfügen. Zum Abruf von Stellvertretungsregeln und Postfachordnern sind weiterhin Impersonierungsrechte notwendig. Lesen Sie bitte hierzu weiter unter: Exchange Web Service - Impersonation
2.4.1.1.2
Exchange Web Service in Exchange 2007
Postfachordner können in Exchange 2007 über den Exchange Web Service abgerufen werden. Leider arbeitet der Exchange Web Service nicht sehr schnell und der Scan der Postfachordner kann unter Exchange 2007 einige Zeit in Anspruch nehmen. Um dieses Problem ein wenig zu lindern, werden die Postfachinhalte parallel abgerufen. Stellvertretungsregeln werden auch über den Exchange Web Service abgerufen. Für detaillierte Informationen zum Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation
2.4.1.1.3
Mögliche Probleme
Wenn der Scan nicht ausgeführt werden kann, funktionieren ggf. die Exchange Management Tools nicht. Ist das Ausführen der Exchange Management Shell mit dem Scanaccount möglich, prüfen Sie die 8MAN Log Dateien oder kontaktieren Sie ihren Vertriebspartner bzw. protected-networks.
2.4.1.2
Exchange 2010 Scanvorbereitung
Exchange 2010 unterstützt das Verbinden mit dem Exchange Server über eine Remote PowerShell Verbindung. Dafür ist nur eine lokale PowerShell nötig und keine Exchange Management Tools. Ein Exchange Scan kann also von einem beliebigen 8MAN Kollektor ausgeführt werden. Die Verbindung wird allerdings über einen Client Access Server, der in der aktuellen Active Directory Site sein muss, hergestellt.
2.4.1.2.1
Die richtige Site
Auf dem Exchange Client Access Server gibt es eine Site mit dem Namen „PowerShell“. Über diese Site verbindet sich der 8MAN über die PowerShell mit Exchange. Im Standard werden bei remote PowerShell Verbindungen nicht alle PowerShell Features unterstützt, so lassen sich leider keine Skripte ausführen. Skripte werden aber bei dem Exchange Scan benötigt. Dazu ist folgende Einstellung notwendig: Öffnen Sie die IIS Konfiguration auf dem Server auf dem der Scan ausgeführt werden soll. In der web.config der PowerShell Site in der „appSettings“ Sektion gibt es eine Einstellung „PSLanguageMode“. Bei dieser Einstellung muss auf „FullLanguage“ stehen.
Access Rights Management. Only much Smarter.
www.8man.com
41
Sie können dazu 1. 2.
Entweder die Einstellung direkt ändern. Damit ermöglichen Sie allen Berechtigten Zugriff über die remote Exchange Verbindung. Oder Sie kopieren diese Site und ändern die Einstellung auf der Kopie. Bei der Kopie haben Sie die Möglichkeit nur dem 8MAN Scanaccount das Recht zu geben auf diese Site zuzugreifen. (Siehe auch: http://blogs.microsoft.co.il/blogs/scriptfanatic/archive/2011/08/22/get-full-control-over-yourexchange-remote-powershell-session.aspx)
Wenn sie Änderungen an den Eigenschaften der Website vorgenommen haben, müssen sie den Webserver neustarten.
2.4.1.2.2
Zusatzeinstellungen in der Scankonfiguration in Exchange 2010
Für den Exchange Scan sind zusätzlich folgende Einstellungen in 8MAN notwendig (Vergleich Kap. 2.4.2.2.3):
Auf dem Dialog können Sie die zu verwendende Website und den Authentifizierungsmechanismus einstellen. Im unteren Teil des Dialogs finden Sie die Adresse, die der Scanner verwenden wird. Im Standardfall verbindet sich der 8MAN mit der Default „PowerShell“ Website auf dem Exchange Client Access Server. Die Site „PowerShell“ existiert auf allen Exchange Client Access Servern. Wollen Sie allerdings, dass der 8MAN Scan auf einer anderen Website durchgeführt werden soll, ändern Sie die Einstellung in der Scankonfiguration. „exadmin“ ist in diesem Fall eine Website mit eingerichtetem FullLanguage Support.
Access Rights Management. Only much Smarter.
www.8man.com
42
Im Standardfall verbindet sich der 8MAN mit dem „Default“ Authentifizierungsmechanismus zu dem Exchange Client Access Server. Bitte wählen Sie einen Authentifizierungsmechanismus, der im IIS für diese Website aktiviert ist. Default, Basic und Kerberos sollten die üblichen Mechanismen sein und wurden bei unseren Tests auch erfolgreich verwendet. Das Bild unten beschreibt beispielhaft mögliche Einstellungen.
Im Standardfall verbindet sich der 8MAN zum Exchange Client Access Server mit dem voll qualifizierten Servernamen. Wenn dies nicht möglich ist, funktioniert ggf. die Verbindung über den einfachen Servernamen. Aktivieren oder deaktivieren Sie dazu die Checkbox auf dem Dialog. Wir empfehlen außerdem die https Unterstützung auf dem IIS Server zu aktivieren. Wenn die Site keine https Verbindungen zulässt, warnt der Scanner während des Scans.
2.4.1.2.3
Berechtigungen für den Scan Account
Der Scanaccount muss zumindest Mitglied der Gruppe „View-Only Organization Management“ sein. Da bei dem Scan auch die Auflösung von Distinguished Names durchgeführt wird und Berechtigungen teilweise auf dem Active Directory Postfachbenutzer gelesen werden, muss der Scanaccount auch über Leserechte im Active Directory verfügen. Beachten Sie, wenn der Scanaccount nur Mitglied der „Organization Management“ Gruppe ist, ggf. nicht alles lesen kann, weil z.B. Postfachinhalte durch Deny-Rechte geschützt sind. Als Mitglied der „Organization Management“ Gruppe ist es z.B. nicht möglich, die Stellvertretungsregelung abzurufen, weil die Impersonierung fehlschlägt. Zum Abruf von Stellvertretungsregeln sind weiterhin Impersonierungsrechte notwendig. Lesen Sie bitte hierzu weiter unter: Exchange Web Service - Impersonation
2.4.1.2.4
Exchange 2010 und Throttling
Für den Abruf von Stellvertretungen wird auch in Exchange 2010 der Exchange Web Service verwendet. Der Scan orientiert sich an den gegebenen Throttlingeinstellungen des Exchange Servers für den Scanaccount. Sie können den Scan also mit einer optimalen Throttlingeinstellung beschleunigen. (Siehe auch: http://technet.microsoft.com/dede/library/dd298094(v=exchg.141).aspx) Interessant ist vorrangig die Einstellung „EWSMaxConcurrency“. Sie beeinflusst die Anzahl der parallelen Abfragen, mit denen der Scan die Stellvertretungsregeln abruft. (Siehe auch: Fehler! erweisquelle konnte nicht gefunden werden. und Fehler! Verweisquelle konnte nicht gefunden werden.) Für detaillierte Informationen zum Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation
2.4.1.2.5
Selbstversuch in der PowerShell
Falls Sie die Einstellungen einmal in der PowerShell direkt probieren wollen, verwenden Sie bitte folgende Vorgehensweise:
Access Rights Management. Only much Smarter.
www.8man.com
43
1. 2.
Starten Sie eine PowerShell Konsole (möglichst mit der Anmeldung die auch für die Remote Session verwendet werden soll, sonst gibt’s unverständliche „Access Denied“ Meldungen) Erzeugen Sie ein Credential Objekt mit
$cred = get-credential 3.
Erzeugen Sie ein SessionOption Objekt (Ausschalten aller Checks für den Test) mit
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck –SkipRevocationCheck 4.
5.
2.4.1.2.6
Erzeugen Sie eine Session (URI und Authentication (Authentifizierungsmechanismus) müssen Sie ggf. ändern, eine https Verbindung wird empfohlen sollte aber nicht zwingend notwendig sein)
$session = New-PSSession -configurationname Microsoft.Exchange -connectionURI https://blabex59/exadmin/ -Credential $cred -SessionOption $so -Authentication Kerberos Betreten der Session und Sie können cmdlets ausführen (welche ausführbar sind, ist von den Rechten abhängig) Enter-PSSession $session
Fehler bei Verbindungen mit der Remote PowerShell
Leider existieren ein paar Fallstricke, die die remote Verbindung mit dem Exchange Server nicht möglich machen. Neben der bereits unter Die richtige Site erwähnten notwendigen Sprachunterstützung gibt es folgende: 1.
Nicht aktivierte Authentifizierungsmechanismen:
8MAN versucht im Standardfall eine Verbindung mit dem Standard/Default Authentifizierungsmechanismus herzustellen. Falls das nicht möglich ist, prüfen Sie bitte folgende Punkte: a.
Der Authentifizierungsmechanismus ist auf der IIS Site nicht aktiviert. Nach einer Aktivierung und einem Neustart der Website sollte es keine Probleme geben.
b.
c.
2.
Wenn Sie diesen nicht aktivieren möchten, können Sie einen anderen Authentifizierungsmechanismus verwenden. Passen Sie dazu die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in der Scankonfiguration in Exchange 2010)
Der voll qualifizierte Servername ist nicht erreichbar
Access Rights Management. Only much Smarter.
www.8man.com
44
Manchmal ist der Client Access Server nicht über den voll qualifizierten Servernamen erreichbar, ggf. reicht es nur den Servernamen zu verwenden, passen Sie dafür die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in der Scankonfiguration in Exchange 2010) Es ist möglich, dass eine Firewall die Verbindung mit dem Exchange Server verhindert. Bitte prüfen Sie auch die Firewall Einstellungen. 3.
„Kein Zugriff“ beim Verbinden
Wenn Sie einen solchen Fehler im Log des 8MAN bei den Verbindungsversuchen zu einem Client Access Server finden, liegt es daran, dass der Scanaccount keinen Zugriff auf die Website hat. Ändern Sie hierzu auf dem IIS die Berechtigung an der anzusprechenden Site (Standard „PowerShell“). Auf unserer Testumgebung funktionierten sogar nur direkte Berechtigungen, jedoch keine indirekten Berechtigungen über die Gruppenmitgliedschaft in der Administratoren Gruppe (Standardberechtigung auf diesen Websiten).
Im Bild oben sehen Sie beispielhaft die in unserer Testumgebung gesetzten Berechtigungen.
2.4.1.3
Exchange Web Service - Impersonation
Während über die PowerShell administrative Informationen (die Struktur selbst und Berechtigungen auf den Objekten) von Exchange über Postfächer und Öffentliche Ordner abgerufen werden können, ist es möglich über den Exchange Web Service auf die Inhalte zuzugreifen. Stellvertretungsregeln können bisher lediglich über den Exchange Web Service abgerufen werden. Achtung! Das Abrufen von Postfachinhalten kann mit Datenschutzrichtlinien in Ihrem Unternehmen kollidieren. Bereits aus der Ordnerstruktur eines Postfachs lassen sich ggf. pikante Informationen ableiten. Bevor Sie sich entscheiden Postfachordner abzurufen, sollten Sie prüfen, ob es rechtlich möglich ist, diese abzurufen und einzusehen. Bitte beachten Sie, dass die Impersonierung nur auf aktiven Active Directory Accounts funktioniert.
Access Rights Management. Only much Smarter.
www.8man.com
45
Zugriffe auf den Exchange Web Service geschehen immer im Kontext des Postfachbenutzers, dazu benötigt der Scanaccount das Recht zu impersonieren. Impersonierungsrechte werden in Exchange 2007 und 2010 unterschiedlich verwaltet und konfiguriert. Für die Einrichtung der Impersonierung folgen Sie bitte diesen Links: -
-
Exchange 2007: http://msdn.microsoft.com/library/exchange/bb204095(v=exchg.80).aspx Zusammenfassung: Die Impersonierung muss im ersten Schritt für jede einzelne Postfachdatenbank aktiviert warden. Im zweiten Schritt muss die Scananmeldung das Impersonierungsrecht für explizit genannte oder alle Postfächer einer Postfachdatenbank erhalten. Exchange 2010: http://msdn.microsoft.com/library/exchange/bb204095(v=exchg.140).aspx Zusammenfassung: Unter Exchange 2010 muss dem Scanaccount nur eine Managementrolle zugewiesen werden, in der explizit das Impersonierungsrecht vergeben wird.
Der Exchange Web Service muss nicht gesondert adressiert werden, der Zugriff erfolgt wie in Outlook über eine Autodiscovery Funktion. Falls diese einmal hakt, könnte es an folgenden Problemen liegen: 1. 2.
Eine Firewall verhindert die Benutzung der Autodiscovery Funktion Prüfen Sie hierfür ggf. auf verworfene Pakete in der Firewall Der zuständige CAS Server ist nicht erreichbar Führen Sie hierfür den Autodiscovertest in Outlook durch
Mit einem Rechtsklick bei gedrückter Strg-Taste auf das Outlook Icon im Informationsbereich erscheint obiges Kontextmenü. Mit einem Klick auf „E-Mail-AutoKonfiguration testen“ kann die Autodiscovery Funktion direkt in Outlook getestet werden. 3.
Wenn die Beiden obigen Vorschläge keine Hinweise liefern, prüfen Sie bitte das Serverlog und schicken Sie es an ihren Vertriebspartner bzw. an protected-networks.
2.4.2 Exchange Scankonfiguration
2.4.2.1
Exchange Server- und Kollektorauswahl
Im Exchange-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden Exchange Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
Access Rights Management. Only much Smarter.
www.8man.com
46
Wenn Sie alle Einstellungen vorgenommen haben Exchange Scaneinstellungen vornehmen können.
2.4.2.2
„Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie
Exchange Scaneinstellungen in der 8MAN Konfiguration
Die übliche Scangeschwindigkeit ist derzeit 10 Elemente pro Sekunde. Wenn Sie nur eine Teilmenge für zu lesende Öffentliche Ordner festlegen, werden keine Statistikdaten abgerufen, weil das Auslesen dieser Daten dann extrem langsam ist.
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-ScanKonfigurations-Bubble [Kap. 2.1.3] aufweisen): und
Scanoptionen Exchange
und
(Kap. 2.4.2.2.1)
Exchange Verbindungseinstellungen (Kap. 2.4.2.2.3) -Dialog nur für Exchange 2010-
Postfachdetails (Kap. 2.4.2.2.2)
Access Rights Management. Only much Smarter.
www.8man.com
47
2.4.2.2.1
Scanoptionen Exchange
Im Scanoptionen-für-Exchange-Dialog können Sie Einstellungen für Postfächer und Öffentliche Ordner vornehmen.
2.4.2.2.2
Postfachdetails
Im Postfachdetails-Dialog kann aktiviert werden, dass der Exchange Web Service beim Scan für Stellvertretungen benutzt wird (weitere Informationen zum Exchange Web Service – Impersonation Kap. Fehler! Verweisquelle konnte nicht efunden werden.). Zu beachten sind hier insbesondere die möglichen Probleme mit dem Datenschutz. nach Aktivierung des Abrufs von Postfachdetails können Sie auch den Abruf von Postfachordnern aktivieren. Beachten Sie hier benötigte Impersonierungsrechte für den Scanaccount.
2.4.2.2.3
Exchange Verbindungseinstellungen
Im Exchange-Verbindungseinstellungen-Dialog können Sie die Verbindung zu Exchange 2010 konfigurieren (weitere Informationen im Kap. Fehler! Verweisquelle konnte nicht gefunden werden.).
Access Rights Management. Only much Smarter.
www.8man.com
48
2.4.2.3
Exchange Scaneinstellungen in den Konfigurationsdateien
Verschiedene Einstellungen können nicht in der Scan Konfiguration in der 8MAN Konfiguraton vorgenommen werden. Um doch Einfluss auf den Scan zu nehmen, gibt es ein paar Einstellungen die in den Konfigurationsdateien eingestellt werden können.
2.4.2.3.1
Postfachkategorien - Attributdefinition
Im Standardfall sortiert der 8MAN die Postfächer ab 200 Postfächer in Kategorien anhand der Active Directory Eigenschaft „sn“. Die zu verwendende Eigenschaft kann über die Konfigurationsdatei auf ein beliebiges Textfeld aus dem Active Directory verändert werden. Dazu muss in der pnJob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird, folgende Einstellung im Bereich vorgenommen werden: sn
2.4.2.3.2
Postfachkategorien - Kürzungsregeln
Im Standardfall werden Kategorienbezeichnungen mit 10 Zeichen für Anfang und Ende erzeugt, sollte es anders sein, setzen sie folgende Einstellung in der pnServer.config.xml auf dem 8MAN Server im Bereich : 10
Der mögliche Wertebereich ist 1 bis 500.
2.4.2.3.3
Postfachkategorien verhindern
Im Standardfall werden ab einer Menge von 200 Postfächern Postfachkategorien erzeugt. Ein zu kleiner Scrollbalken auf der Ressourcen-Ansicht sorgt nicht gerade für Übersicht. Wenn dies allerdings nicht gewünscht ist, setzen sie folgende Einstellung in der pnServer.config.xml auf dem 8MAN Server im Bereich : false
Access Rights Management. Only much Smarter.
www.8man.com
49
Die beiden möglichen Einstellungen sind „true“ oder „false“. „true“ für die Erzeugung von Kategorien. „false“ für eine flache Liste von Postfächern in der Ressourcen-Ansicht.
2.4.3 Exchange 2010 Throttling Factor Im Standardfall verwendet der 8MAN beim Zugriff auf den Exchange Web Service die maximal durch die ThrottlingPolicy möglichen parallelen Anfragen. Falls die ThrottlingPolicy unbegrenzt viele Anfragen zulässt wird die Anzahl der Prozessoren mal 8 verwendet. Wenn dieser Faktor zu hoch oder zu niedrig ist, fügen Sie bitte folgende Einstellung in der pnJob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird, im Bereich ein: 8 Ersetzen Sie “8” durch eine sinnvolle Zahl als Faktor. Die gegebene Zahl wird mit der Prozessoranzahl multipliziert, das Ergebnis ist die Anzahl der verwendeten parallelen Abfragen auf den Exchange Web Service.
vSphere
2.5.1 vSphere Scanvorbereitung
2.5.1.1
Kollektorinstallation auf dem vSphere Server
Der 8MAN Kollektor muss auf dem vSphere-Server installiert werden (Teil A -Installation-). Über diesen lokalen Kollektor kommuniziert der 8MAN-Server später mit dem vSphere-Server und fragt alle benötigten Informationen ab.
2.5.1.2
Kollektorverbindung vSphere Server
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der Name des vSphere Servers mit installiertem Kollektor eingetragen werden.
2.5.2 vSphere Scankonfiguration
Access Rights Management. Only much Smarter.
www.8man.com
50
2.5.2.1
vSphere Server- und Kollektorauswahl
Im vSphere-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden vSphere Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
Wird zur Ressource-Suche ein auf dem vSphere-Center berechtigtes Benutzerkonto verwendet, erscheinen nach einiger Zeit alle verfügbaren vSphere-Servernamen in der Liste als verfügbare vSphere-Ressourcen. Das unter „Verwendete Anmeldung“ aufgeführte Benutzerkonto muss auf dem vSphere-Center Lese-Rechte für alle Elemente (Bestandslisten und Netzwerk) und deren Berechtigungen besitzen. Ist dies nicht der Fall, wird keine vSphere-Ressource gefunden. Wir empfehlen hier die Verwendung eines Administrator-Kontos. Die Suche nach Ressourcen kann anfangs einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmWare-Kommunikationsschnittstelle einige Zeit in Anspruch nimmt. Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie Exchange Scaneinstellungen vornehmen können.
2.5.2.2
vSphere Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-ScanKonfigurations-Bubble[Kap. 2.1.3] aufweisen): vSphere Scaneinstellungen (Kap. 2.5.2.2)
Im Auswahl-der-Sprache-für-die-vSphere-Scan-Dialog können Sie die Sprache für die Darstellung der Rollen und Privilegien aus dem vCenter wählen.
Access Rights Management. Only much Smarter.
www.8man.com
51
Die Startphase eines Scans kann einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmWareKommunikationsschnittstelle einige Zeit in Anspruch nimmt. Danach werden die einzelnen Informationen jedoch relativ zügig ausgelesen und gespeichert.
Lokale Konten
Mit 8MAN ist es möglich die lokalen Konten von verschiedenen FileServern zu scannen, um diese bei den Berechnungen von Gruppenmitgliedschaften mit zu verwenden.
2.6.1 Lokale Konten- und Kollektorauswahl Im Auswahl-der-lokalen-Konten-Dialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden Server mit lokalen Konten und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
Access Rights Management. Only much Smarter.
www.8man.com
52
Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures eingebaut worden:
Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt.
Ein Klick auf den Header sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen werden standardmäßig nach Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle Elemente aus der Liste.
Access Rights Management. Only much Smarter.
www.8man.com
53
Der Filter über der Liste wurde erweitert sodass er „Wildcard (*)“ Anfragen unterstützt. Man kann jetzt noch komplexere Filterkriterien anwenden:
Die untere Kollektorliste enthält alle konfigurierten Kollektoren. Das Icon rechts zeigt ob der ausgewählte Kollektor die geladenen Ressourcen scannen kann:
Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures eingebaut worden:
Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt. Ein Click auf den Header sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen werden standardmäßig nach Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle Elemente aus der Liste:
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble“ in der Sie lokale Kontenscaneinstellungen vornehmen können.
Access Rights Management. Only much Smarter.
www.8man.com
54
2.6.2 Lokale Kontenscaneinstellungen
Für lokale Konten auf einem Window Fileserver werden mindestens die Anmeldedaten eines Domänenbenutzers benötigt. Für lokale Konten auf nicht Windows Fileservern muss der Anmeldungsaccount Mitglied der lokalen Administratorgruppe sein. Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-ScanKonfigurations-Bubble [Kap. 2.1.3] aufweisen): Lokale Kontenscaneinstellungen (Kap. 2.6.2)
Im Zusätzliche-Optionen-für-den-Scanner-der-lokalen-Konten-Dialog können Sie die Max. parallelen Anfragen einstellen (Kap. 2.1.3.4.2).
Access Rights Management. Only much Smarter.
www.8man.com
55
Zeitzonen auswählen Mit Version 5.2 können Sie Zeitzonen für folgende Funktionen auswählen:
Scans
zeitgesteuerte Reporte (Die Zeitangaben in den zeitgesteuerten Reporten beziehen sich dabei auf die lokale Zeit des Benutzers [8MAN Benutzeroberfläche] der den zeitgesteuerten Report angelegt hat.)
Zeitzonen-Anzeige (am Beispiel eines Scans): Ausführungsplan-Dialog
Microsoft Windows Anzeige: Zeitzonen mit Städtenamen ohne Berücksichtigung von Sommer- und Winterzeit (Hinweis: angezeigte Sprache hängt von Betriebssystemeinstellungen ab)
8MAN Anzeige: Name der Zeitzonen unter Berücksichtigung von Sommer- und Winterzeit (Hinweis: angezeigte Sprache hängt von Betriebssystemeinstellungen ab) Scankonfigurations-Bubble
Jobsliste
In der Jobsliste werden alle Scanaufträge der aktuellen Scankonfigurationen gruppiert in einer Baumansicht angezeigt. Desweiteren werden die Ausführungzeiten für Datenbank-Bereinigungen (alte Datenstände [Kap. 7] werden dabei gelöscht) angezeigt. Für einen detailiertere Ansicht und es öffnet sich die Jobliste-Details-Ansicht mit den zusätzlichen Spalten Ausführungsdauer, Ergebnis und letzte Meldung.
Access Rights Management. Only much Smarter.
www.8man.com
56
In der Jobliste und Jobliste-Details sind Aktionen zum Starten, Löschen und Abbrechen von Scanaufträgen im Kontextmenü (Rechtsklick) verfügbar und können gleich aus der Liste ausgeführt werden. Dabei gibt es folgende Einschränkungen:
Zeitgesteuerte Aufträge können gestartet, aber nicht gelöscht werden.
Zukünftige Berechtigungsänderungen können gelöscht und sofort ausgeführt werden.
Alle laufenden Aufträge können gestoppt werden.
Access Rights Management. Only much Smarter.
www.8man.com
57
3 KOLLEKTOREN
In der Kollektorenansicht können installierte Kollektoren (Teil A -Installation-) mit dem 8MAN Server verbunden werden.
Die Schaltflächen (teilweise aus dem Kontextmenü[Rechtsklick]) haben folgende Bedeutung: und
Kollektorverbindung (Kap. 3.1)
und
Anmeldung für Kollektorinstallation (Kap. 3.3)
Kollektorinstallation
Kollektorentfernung
(Kap. 3.4)
(Kap. 3.5)
Kollektorverbindung Für die Kollektorverbindung mit dem 8MAN Server tragen Sie den Namen oder die IP-Adresse des Computers, auf dem der Kollektor installiert wurde, in das Kollektor-hinzufügen-Feld ein (Standard-Port ist 55555 und muss nicht angegeben werden) Für den Vorgang des Kollektorhinzufügens können Sie optinal eine Anmeldung zur Fern-Administration des Kollektors im Maschinen-Administratoren-Anmeldung-Bereich eingeben:
Access Rights Management. Only much Smarter.
www.8man.com
58
Diese wird beim hinzufügen des Kollektors in die Spalte „Administrator“ übernommen und kann manuell geändert werden (Kap. 3.3). Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es bei dauerhafter Angabe einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann (diese könnte, z.B. Systeminstabilitäten verursachen). bzw. „Keine Anmeldung“ im Active-Directory-Anmeldung-Dialog setzt die Anmeldung im Maschinen-Administratoren-Anmeldung-Bereich wieder auf optional. „Nachdem Sie den Namen bzw. die IP-Adresse eingegeben haben . Nun wird eine Verbindung zwischen 8MAN Server und Kollektor hergestellt und die Spalte „Zustand“ zeigt bei erfolgreicher Verbindung den Text „Verbunden“ an.
Kollektoraktualisierung Der 8MAN Server aktualisiert alle konfigurierten Kollektoren automatisch, sobald die erste Netzwerk-Verbindung hergestellt werden kann. Dabei werden bis zu 2 Kollektoren gleichzeitig aktualisiert (Übersicht Kollektoraktualisierung: 8MAN Konfiguration → Kollektoren). Die Zeit für die Aktualisierung variiert je nach zu aktualisierender Kollektoranzahl und Geschwindigkeit der Netzwerk-/Internetverbindung (1 Kollektor = 1 setup.exe Datei = ca. 25-30 MB). Bis zur Version 4.5 kamen zwei unterschiedliche Methoden zur Aktualisierung zum Einsatz. Beide Varianten haben jedoch in der Praxis in bestimmten Konstellationen dazu geführt, dass die Kollektoren nicht aktualisiert wurden. Aus diesem Grund wurde mit der Version 4.6 eine dritte Aktualisierungsmethode eingeführt, die in den Fehlerfällen eingesetzt werden kann.
3.2.1 Beschreibung der Aktualisierungsmethoden Im Folgenden nun eine kurze Beschreibung der einzelnen Aktualisierungsmethoden mit ihren Voraussetzungen sowie den Vor- und Nachteilen.
Methode 1 Aktualisierungstechnik
Der Server überträgt alle zu aktualisierenden Dateien zum Kollektor. Dieser spielt die neuen Dateien ein und der Kollektor wird wieder neu gestartet.
Methode 2 Der Server überträgt das komplette Installationspaket zum Kollektor. Dieser startet das Paket. Nach der Installation wird der Kollektor neu gestartet.
Access Rights Management. Only much Smarter.
Methode 3 Der Server kopiert alle benötigten Installationsdateien in das Dateisystem der Kollektormaschine unter Verwendung eines Administrator-Kontos. Der Server startet die Installation. Nach der Installation wird der
www.8man.com
59
Kollektor neu gestartet. Voraussetzungen
Kollektor ist installiert und läuft.
Kollektor ist installiert und läuft.
Kollektor-Version vor 4.4.
Kollektor-Version 4.4. oder neuer.
Benutzer-Konto, das direkt oder indirekt in der lokalen Administratoren-Gruppe der Kollektor-Maschine Mitglied ist. Die Maschinen von Server und Kollektor befinden sich in Domänen mit vollen Vertrauensstellungen.
Vorteile
Kleines Aktualisierungs-Paket.
Alle Dateien – inkl. Dienste und Treiber – werden aktualisiert.
Alle Dateien – inkl. Dienste und Treiber – werden aktualisiert. Der Kollektor muss nicht bereits installiert gewesen sein.
Nachteile
Dienste und Treiber werden nicht aktualisiert. Der Kollektor muss bereits installiert sein und laufen.
In bestimmten Umgebungen schlägt der Start Aktualisierung fehl.
Ein Benutzer-Konto mit hohen Berechtigungen ist erforderlich.
Der Kollektor muss bereits installiert sein und laufen.
3.2.2 Einsatzumgebungen der Aktualisierungsmethoden Die sich anschließende Tabelle zeigt einzelne Einsatzumgebungen aus der hervorgeht, dass bei einer installierten 4.4 oder 4.5 unter Windows Server 2003 die Aktualisierung nicht automatisch erfolgen kann (orange hinterlegt). Die automatisch ausgewählten Aktualisierungsmethoden, die fehlerfrei funktionieren, sind grün hinterlegt. Ist ein Administrator-Konto hinterlegt, wird automatisch die Methode 3 verwendet (blau hinterlegt). Betriebssystem
Vertrauensstellung
8MAN-Version
Methode 1
Methode 2
Methode 3
Windows Server 2003
Ja
-
Nein
Nein
Ja
Windows Server 2003
Nein
-
Nein
Nein
Nein
Windows Server 2003
Ja
Vor 4.4.
Ja
Nein
Ja
Windows Server 2003
Nein
Vor 4.4.
Ja
Nein
Nein
Windows Server 2003
Ja
4.4. oder 4.5
Nein
Nein
Ja
Windows Server 2003
Nein
4.4. oder 4.5
Nein
Nein
Nein
Windows Server 2003
Ja
Ab 4.6.
Nein
Ja
Ja
Windows Server 2003
Nein
Ab 4.6.
Nein
Ja
Nein
Windows Server 2008 oder später
Ja
-
Nein
Nein
Ja
Windows Server 2008 oder später
Nein
-
Nein
Nein
Nein
Windows Server 2008 oder später
Ja
Vor 4.4.
Ja
Nein
Ja
Access Rights Management. Only much Smarter.
www.8man.com
60
Windows Server 2008 oder später
Nein
Vor 4.4.
Ja
Nein
Nein
Windows Server 2008 oder später
Ja
4.4. oder 4.5
Nein
Ja
Ja
Windows Server 2008 oder später
Nein
4.4. oder 4.5
Nein
Ja
Nein
Windows Server 2008 oder später
Ja
Ab 4.6.
Nein
Ja
Ja
Windows Server 2008 oder später
Nein
Ab 4.6.
Nein
Ja
Nein
Anmeldung für Kollektorinstallation Im Active-Directory-Anmeldung-Dialog können Sie die für die Kollektoraktualisierung benötigten Anmeldedaten eingegeben. Sofern sie bereits Anmeldedaten bei der Kollektorverbindung (Kap. 3.1) eingegeben haben, werden diese in der Spalte „Administrator“ angezeigt. Sollte Sie noch keine Anmeldedaten eingegeben können Sie dies im Active-DirectoryAnmeldung-Dialog (Kap. 3.1) tun. Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es bei dauerhafter Angabe einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann (diese könnte, z.B. Systeminstabilitäten verursachen).
Kollektorinstallation Wenn Sie einen Kollektor installieren wollen und noch kein Anmeldedaten eingegeben haben (Kap. 3.1 und 3.3), erscheint folgender Dialog:
Nachdem die Angabe der Anmeldedaten erfolgt ist, wird der Kollektor installiert (weitere Informationen Kap. 3.2).
Kollektorentfernung Bevor ein Kollektor gelöscht wird, erfolgt folgende Sicherheitsabfrage:
Access Rights Management. Only much Smarter.
www.8man.com
61
Access Rights Management. Only much Smarter.
www.8man.com
62
4 ÄNDERN-KONFIGURATION
AD-Ändern-Konfiguration
In der AD-Ansicht können Sie Vorgabewerten, die als Voreinstellungen für die eigentliche Benutzung der Funktion in 8MAN (z. B. Benutzer anlegen) dienen, definieren (Kap. 4.1.1 Erforderliche Angaben und 4.1.2 Kap. Optionale Attribute) und Sie können ein externes Programm an 8MAN anbinden (Kap. 4.1.3. Externes Programm). Die hier gesetzten Werte können in 8MAN auch nachträglich noch geändert werden. Um die Einstellungen zu speichern
Access Rights Management. Only much Smarter.
„Zurück“.
www.8man.com
63
4.1.1 Erforderliche Angaben
Im Anmeldename-Bereich können Sie Bildungsregeln des Anmeldenamens für neu anzulegende Benutzer, Administratoren oder Dienstkonten erstellen, wodurch eine Vorbelegung aufgrund von Vor- und Nachname sowie Typ des Benutzerkontos generiert wird. Im Kontooptionen-Bereich können Sie Kontooptionen, wie z.B.das Start-Kennwort das für neue Benutzer gelten soll, einstellen.
4.1.2 Optionale Attribute
Im optionale-Attribute-Bereich können Sie Attribute (LDAP) auswählen, die Sie beim Erstellen von neuen Benutzern oder Gruppen setzen möchten. Erforderliche Attribute sind hierbei nicht abwählbar (erkennbar an dem grünen Haken). Bitte beachten Sie, dass Attribute, die Sie hier abwählen, nicht bei der Erstellung eines neuen Objektes in 8MAN verwendet werden können.
4.1.3 Externes Programm
Access Rights Management. Only much Smarter.
www.8man.com
64
Im externes-Programm-Bereich können Sie einstellen das beim Anlegen eines neuen Benutzers ein externes Programm ausgeführt werden soll. Unterstützte Formate für externe Programme sind *.ps1, *.bat, *.cmd und *.vbs
Sie können einen Namen, den Pfad für das externe Programm und optional Kommandozeilen Argumente angeben. Bei den Kommandozeilen Argumenten kann man, wie auch schon bei den Bildungsregeln für den Benutzeranmeldenamen, gewünschte Attribute (LDAP) in geschweifte Klammern schreiben (z.B. {samaccountname}). Die dann ermittelten Werte für die Attribute werden dem externen Programm übergeben. Falls man sich bei den Argumenten verschrieben hat und kein Wert für dieses Argument ermittelt werden kann, so wird das Argument ohne Umsetzung (z.B. {unbekannt}) an das externe Programm übergeben. Wenn für die Ausführung des Programms keine Anmeldedaten konfiguriert wurden, dann werden automatisch bei der Programm-Ausführung die Anmeldedaten für das Ändern im AD benutzt.
Einschränkungen
Das externe Programm muss sich lokal auf dem 8MAN Server befinden. Bei Eingabe des Verzeichnisses und des Dateinamens wird überprüft, ob das Programm verfügbar ist.
Wenn Sie die Checkbox zum Ausführen nicht angewählt haben, dann wird bei Benutzer anlegen diese Konfiguration nicht berücksichtigt. Nur im Falle einer angewählten Checkbox wird die Konfiguration benutzt. Wenn das Programm beim Anlegen eines Benutzers nicht mehr verfügbar ist oder die Konfiguration fehlerhaft ist, dann wird eine Fehlermeldung ausgegeben. Das Benutzeranlegen ist weiterhin möglich, jedoch eine externe Programmausführung nicht. Es wird dabei zusätzlich ein Hinweis ins Logbuch geschrieben, dass man den Benutzer angelegt hat, das externe Programm aber nicht ausgeführt wurde.
Bei *.bat und *.cmd sollte beachtet werden, dass die Ausgabe nur mit dem ASCII Zeichensatz arbeitet. Ausnahme dabei ist, wenn man die *.bat bzw. *.cmd Dateien mit einem einfachen Editor geschrieben hat.
Die Ausgaben des externen Programms werden im Erfolgsfall als Nachricht im Merkzettel hinterlegt und ebenfalls in das Logbuch des neu erzeugten Benutzers geschrieben:
Access Rights Management. Only much Smarter.
www.8man.com
65
Im Fehlerfall innerhalb der externen Programausführung werden die Ausgaben bis zum Fehlerauftritt in das Serverlog geschrieben, sodass es möglich ist, nachträglich die Fehler zu analysieren.
FS-Ändern-Konfiguration
In dieser Ansicht können Sie sämtliche Werte, die für die Ausführung des Gruppenassistenten und für Berechtigungsänderungen auf dem FS notwendig sind, einstellen. Hierzu zählen die Grundeinstellungen (Kap. 4.2.1), Zugriffskategorien (Kap. 4.2.2), 8MAN Gruppen (Kap. 4.2.3) und die FS-Blacklist (Kap. 4.2.4). Informationen zum Status der Konfiguration finden Sie im Kap. 4.2.5.
Access Rights Management. Only much Smarter.
www.8man.com
66
4.2.1 Grundeinstellungen
Im Grundeinstellungen-Bereich können Sie den Gruppenassisent (Kap. 4.2.1.1), den Simulationsmodus (Kap. 4.2.1.2) und Verzögertes Schreiben von ACEs (Kap. 4.2.1.3) aktivieren. Desweiteren können Sie die AD-Gruppenverwendung (Kap. 4.2.1.4) und den Initialer Test der Berechtigungsänderungen (Kap. 4.2.1.5) einstellen.
4.2.1.1
Gruppenassisent
Der Gruppenassistent bleibt nach der Installation von 8MAN auf einem neuen System zunächst inaktiv. Dies ist notwendig, da es Einstellungen in Bezug auf AD und FS gibt, die auf Ihre Umgebung abgestimmt sein müssen. Setzen Sie einen Haken in die Checkbox , um den Gruppenassistent zu aktivieren. Wenn Sie den Gruppenassistenten deaktivieren, kann er im 8MAN nicht verwendet werden. Ist der Gruppenassistent aktiviert kann er im 8MAN bei Bedarf deaktiviert werden
4.2.1.2
Simulationsmodus
Mit Änderungen nur simulieren wird ein Simulationsmodus aktiviert, so dass Änderungen in den Berechtigungen nicht wirksam werden, d. h. Sie werden nur simuliert und angezeigt.
4.2.1.3
Verzögertes Schreiben von ACEs
Aktivieren Sie diese Option und stellen Sie die Anzahl der Tage ein, um die eine Änderung von ACEs verzögert werden soll. Dies ist sinnvoll, da in bestimmten Situationen Berechtigungsänderungen erst nach einer erneuten Anmeldung eines Benutzers wirksam werden. Durch das Verzögerte Schreiben können Sie die Änderungen auf einen Zeitpunkt verschieben, an dem keine oder nur wenige Benutzer angemeldet sind.
Access Rights Management. Only much Smarter.
www.8man.com
67
4.2.1.4
AD-Gruppenverwendung
Um eine entsprechende Standardisierung bei der Berechtigungsvergabe umzusetzen, bietet 8MAN an, lokale, globale, universelle, sowie lokale und globale Berechtigungsgruppen anzulegen. Damit werden Direktberechtigungen vermieden und eine einheitliche Vergabestruktur aufgesetzt. Es ist damit auch nicht notwendig, eigene Gruppenstrukturen für Berechtigungen aufzusetzen. Es wird standardmäßig empfohlen, nur lokale Gruppen anzulegen. Beachten Sie, dass eine Auswahl nur vorgenommen werden kann, wenn Sie bisher noch keine Auswahl getroffen und gespeichert haben oder der Simulationsmodus aktiviert ist. Die Auswahl im Simulationsmodus ist dabei unabhängig von der im „echten“ Betrieb. Sofern Sie noch keine Konfiguration angelegt haben und mit aktiviertem Simulationsmodus speichern, haben Sie weiterhin die freie Wahl der Gruppenstrategie für den „echten“ Betrieb. Erst wenn Sie bei ausgeschalteter Simulation speichern, wird die Strategie verbindlich festgelegt. Wichtig: Beachten Sie bitte, dass diese Einstellung nur einmalig vorgenommen werden kann. Eine nachträgliche Umstellung führt zu Inkonsistenzen.
4.2.1.5
Initialer Test der Berechtigungsänderungen
Sie können einen initialen Test aktivieren (der Simulationsmodus muß dafür ausgeschaltet werden), mit dem geprüft wird, ob die Anmeldedaten ausreichend sind, um Änderungen im System durchführen zu können. Damit entfällt beim Ändern von Verzeichnisberechtigungen in 8MAN der folgende Dialog:
Access Rights Management. Only much Smarter.
www.8man.com
68
4.2.2 Zugriffskategorien
Im Bereich der Rechtekennzeichen legen Sie zum einen fest, welche Zugriffskategorien im Gruppenassistenten zur Verfügung stehen und zum anderen, welche Kürzel jede Kategorie besitzen soll. Soll auch eine Listgruppe angelegt werden, muss „Ordnerinhalt auflisten“ angeklickt werden. Die hier aktivierten Zugriffskategorien erscheinen im Gruppenassistenten als Spalten in die Sie zur Änderung von Zugriffsberechtigungen einzelne oder mehrere Benutzer hinein bzw. wieder heraus schieben können. Die Kürzel werden analog zu den gruppenspezifischen Zeichen (Kap. 4.2.3.1) den Gruppennamen hinzugefügt (Beispiel für Kürzel md in Vorschaufeld Kap. 4.2.3.3).
4.2.3 8MAN Gruppen
Access Rights Management. Only much Smarter.
www.8man.com
69
Der Gruppenassistent erstellt für die Zugriffsberechtigungen auf einem Verzeichnis eigene Gruppen, die einen einheitlichen Aufbau besitzen. Im 8MAN-Gruppen-Bereich können Sie diesen Aufbau Ihren Erfordernissen anpassen: Gruppenspezifische Zeichen (Kap. 4.2.3.1), Pfadverwendung in Gruppennamen (Kap. 4.2.3.2) und Namensformat (Kap. 4.2.3.3).
4.2.3.1
Gruppenspezifische Zeichen
Definieren Sie hier die Kürzel zur Kennzeichnung der verschiedenen Gruppentypen. Das Trennzeichen, das Sie hier festlegen, kann zur Abgrenzung der einzelnen Namensbestandteile genutzt werden. Das hier aufgeführte ListgruppenSuffix wird im Rahmen der automatischen Listrechteverwaltung verwendet und kennzeichnet entsprechend automatisch angelegte Listgruppen. Als Beispiel ist im Vorschaufeld das Kürzel g für globale Gruppenzu sehen.
4.2.3.2
Pfadverwendung in Gruppennamen
Hier können die Vorgaben für den Pfad gemacht werden, der im Gruppennamen auftaucht. Der Pfad ist wichtig, um bei einem Verschieben oder Umbenennen die frühere Herkunft ggf. einfach wiederherstellen zu können. Auf der linken Seite können Sie zwischen kompletten Pfad (\\Server\Freigabe\Verzeichnis\...), relativen Pfad zum Server (\Freigabe\Verzeichnis\...) oder relativen Pfad zur Freigabe (\Verzeichnis\...) wählen. Auf der rechten Seite können Sie den gewählten Pfad noch weiter auf bestimmte Pfadanteile beschränken. 8MAN wird ausgehend von dieser Vorgabe den Namen für die 8MAN Gruppen anhand des aktuellen Pfades erstellen. Ein Beispiel Ihrer Pfadverwendung in Gruppennamen sehen Sie im Vorschaufeld.
4.2.3.3
Namensformat
Sie bestimmen, welche Namensbestandteile und in welcher Reihenfolge diese zu einem Gruppennamen zusammengefügt werden Das Format des Gruppennamens kann nahezu frei konfiguriert werden. Wählen Sie unter „Namensformat“ einfach die Bestandteile und Trennzeichen aus, die sich an den jeweiligen Positionen befinden sollen. . Jede Information (Präfix, Gruppenkennung, Pfad und Zugriffsrecht) kann nur einmal verwendet werden. Wird es an einer anderen Stelle eingeschaltet, wird es an der vorherigen Stelle automatisch entfernt. Ein Beispiel Ihres Namensformats sehen Sie im Vorschaufeld. Desweiteren können Sie die Funktion „Namen von 8MAN-Gruppen automatisch bei Änderungsaktionen
Access Rights Management. Only much Smarter.
www.8man.com
70
aktualisieren“ aktivieren. Bei eingeschalteter Funktion verhindert 8MAN bei Änderungsaktionen für eine Ressource, dass der Name von 8MAN Gruppen vom Benutzer geändert werden kann.
4.2.4 FS-Blacklist Die FS-Blacklist erlaubt Ihnen Benutzer , Gruppen und SIDs auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen. Als Anmeldung für die Suche in AD werden standardmäßig die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen).
Sie fügen einen Benutzer bzw. ein Gruppe hinzu, indem Sie in das Suchfeld den Namen bzw. Teilnamen eingeben und anschließend in den Suchergebnissen den entsprechenden Eintrag auswählen. Per Drag-and-Drop, Doppelklick oder wird die zugehörige SID in die FS-Blacklist eingefügt. Alternativ können Sie direkt eine SID in das Suchfeld eingeben und in die FS-Blacklist einfügen. Neben dem Filterfeld gibt es noch die Möglichkeit interne Einträge (gesperrte Einträge) oder eigene Einträge in der Blacklist ein- bzw. auszublenden. Zum Entfernen eines Eintrags aus der Blacklist, wählen Sie einen Eintrag aus und
. Desweiteren gibt es noch die Möglichkeit Standardeinträge wiederherzustellen . Dabei werden alle Well-Known-SIDs in die Blacklist eingetragen die von 8MAN empfohlen werden (Ihre selbstdifinierten Einträge bleiben hierbei erhalten).
Access Rights Management. Only much Smarter.
www.8man.com
71
4.2.5 Status der Konfiguration
Dieser Informationsbereich zeigt Ihnen den Zustand der aktuellen Konfiguration sowie Meldungen über den Abschluss von Lade- und Speichervorgängen.Diese Analyse zeigt an, ob es zu Fehlern in der Konfiguration kam. Zur Aktivierung der neuen oder geänderten Konfiguration muß diese mit „Übernehmen”. gespeichert werden.Sofern Sie eine Konfiguration geändert haben, erscheint die folgende Sicherheitsabfrage:
Um die Konfiguration zu übernehmen entsprechende Meldungen angezeigt:
„Ja”. Sofern die Konfiguration gültig ist und das Speichern erfolgreich war, werden
Im Fall einer fehlerhaften oder unvollständigen Konfiguration, werden entsprechende Hinweise angezeigt und es erfolgt keine Speicherung:
SharePoint- Ändern-Konfiguration Informationen zur SharePoint- Ändern-Konfiguration finden Sie im Dokument 8MATE for SharePoint Handbuch im Kapitel SharePoint- Ändern-Konfiguration.
Access Rights Management. Only much Smarter.
www.8man.com
72
5 BENUTZERVERWALTUNG
Benutzermanagement In der Benutzerverwaltung haben Sie die Möglichkeit den Zugriff auf den 8Man einzuschränken. Das Benutzermanagement wird durch Hackensetzen bei „Benutzermanagement aktiv“ aktiviert. Als Anmeldung für die Suche in AD werden standardmäßig die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen).
Sie haben die Möglichkeit auf der linken Seite Benutzer und Gruppen zu suchen und per Drag-and-Drop , Doppelklick oder zur rechten Seite in die Liste der Benutzer, die 8MAN benutzen dürfen, hinzuzufügen. Es wird dabei in allen verfügbaren Domänen gesucht. Wenn sie das Domänenkürzel voranstellen (z.B. „pn\“) wird nur in der Domäne „pn“ gesucht. Die Benutzer die 8MAN benutzen dürfen, können veschiedene Rollen (Berechtigungen) zugewiesen werden, diese werden in Form von Symbolen angezeigt: Keine Berechtigung
Access Rights Management. Only much Smarter.
www.8man.com
73
Lesen und Reports erstellen Lesen, Reports erstellen und Ändern (Data Owner) Administrator Um Benutzer aus der Liste zu löschen
. Desweiteren können Sie in derunteren Hälfte des Benutzverwaltung-Bereichs
Erweiterte Benutzerverwaltung Zum Aufklappen des Erweiterte-Benutzerverwaltung-Bereichs
.
Verwenden Sie die “Erweiterte Benutzerverwaltung“ um zu definieren, welche Rolle welche Funktionen, in 8MAN benutzen kann. Es gibt die Rollen Administrator, DataOwner und Alle Anderen. Die Funktionen werden durch
bzw.
aktiviert bzw. deaktiviert. Wenn 8MAN Benutzern im Benutzermanagement eine Rolle zugewiesen wurde, können diese 8MAN Benutzer alle im Erweiterte-Benutzerverwaltung-Bereich aktivierten Funktionen benutzen. Alle deaktivierten
Access Rights Management. Only much Smarter.
www.8man.com
74
Funktionen sind dann nicht sichtbar. Wenn Ihre Lizenz bestimmte Funktionen ausschließt (z.B. eine 8MAN-Visor- Lizenz) können Sie diese Funktionen (grauer Hintergrund) auch nicht im Erweiterte-Benutzerverwaltung-Bereich aktivieren oder deaktivieren.
Access Rights Management. Only much Smarter.
www.8man.com
75
6 DATENEIGENTÜMER
Die Dateneigentümer-Konfiguration ermöglicht eine Zuweisung von Ressourcen zu Dateneigentümern, aufbauend auf individuell strukturierbaren Organisationskategorien. Das eigene Unternehmen kann so abgebildet werden und einzelnen Organisationskategorien können Ressourcen bzw. Benutzer oder Gruppen zugeordnet werden.
Einstellungen für das Ändern von Gruppenmitgliedschaften für Dateneigentümer (Kap. 6.4)
Einstellungen für 8MANGruppen (Einstellungen Scankonfiguration Kap. 2.1.5.5 und 2.1.5.6)
Anzahl an Dateneigentümern bzw. aller verwendaren Ressourcen
Kap
Die Schaltflächen bzw. Bereiche haben folgende Bedeutung: Organisationskategorieeinstellungen (Kap. 6.1)
und
Verwendbare Ressourcen (Kap. 6.3)
und
Dateneigentümer hinzufügen (Kap. 6.2)
Access Rights Management. Only much Smarter.
www.8man.com
76
Organisationskategorieeinstellungen
Die Schaltflächen haben folgende Bedeutung: Hinzufügen
Dateneigentümer CSV Import
(Kap. 6.1.1)
(Kap. 6.1.5)
Umbenennen
Dateneigentümer CSV Export
(Kap. 6.1.2)
(Kap. 6.1.6)
Eintrag löschen
Report der Konfiguration
(Kap. 6.1.3)
(Kap. 6.1.7)
Alles zurücksetzen (Kap. 6.1.4)
6.1.1 Hinzufügen Im Name-der-Organisationskategorie-Dialog könnenn Sie den Namen einer neuen Organisationskategorie unterhalb der ausgewählten Organisationskategorie eingeben.
6.1.2 Umbenennen Im Organisationskategorie-umbennen-Dialog können Sie den Namen der Organisationskategorie ändern.
Access Rights Management. Only much Smarter.
www.8man.com
77
6.1.3 Eintrag löschen Im Löschen-Dialog (Eintrag löschen) können Sie das Organisations Kriterium mit dazugehörigem Inhalt löschen.
6.1.4 Alles zurücksetzen Im Löschen-Dialog (Alles zurücksetzen) können Sie alle bereits konfigurierten Organisationen löschen.
6.1.5 Dateneigentümer CSV Import Voraussetzung für den Dateneigentümer CSV Import ist, dass sowohl das AD, in dem die Data Owner sind, als auch die Fileserver, deren Zugriff gesetzt werden soll, bereits gescannt wurden. Desweiteren wird eine csv-Datei mit folgenden Werten benötigt:
acht obligatorische Spalten mit folgenden Überschriften: „Server“, „Freigabe“ bzw. „Share“, „8ManUser“, „Ressourcetype“ (AD,FS, SharePoint und Exchange), „Organisationseinheit“ (LDAP-Pfad der OU an, in der die 8MAN Gruppen des Dateneigentümers erstellt werden sollen), „Präfix“ (Zusatz Präfix beim Erstellen der 8MAN Gruppen), „Schreibgeschützt“ (Wert 0 veränderbare Ressource und 1 Lese-Ressource) und „Level 1“
Spalten durch Semikolon oder Tab getrennt
optionale Spalte mit Überschift „Kollektor“ (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor verwendet) oder „Level 2“ bis „Level 10“
weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren Überschriften
Beispiel einer csv-Datei:
Access Rights Management. Only much Smarter.
www.8man.com
78
im Import-Datei-Dialog können Sie die zu importierende csv-Datei auswählen und „Öffnen".Im Dateneigentümer CSV-Import-Dialog werden die zu importierenden Daten aufbereitet und Sie erhalten eine Vorschau der zu importierenden Organisationen:
Benutzer oder Freigaben die nicht importierbar sind, werden in extra Reitern angezeigt. Des Weiteren gibt es jetzt die Möglichkeit beim Import zu entscheiden, ob man die bereits vorher konfigurierten Dateneigentümer aus der Benutzerverwaltung beim Importieren der neuen Konfiguration entfernen möchte. Ist das Häkchen gesetzt, werden alle vorher eingetragenen Dateneigentümer gelöscht und nur die neuen Dateneigentümer übernommen.Mit „Anwenden“ werden alle importierbaren Organisationskategorien als neue Organisationsstruktur übernommen. Vorhandene Strukturen werden gelöscht.
6.1.6 Dateneigentümer CSV Export Im Speichern-unter-Dialog können Sie die Dateneigentümerkonfiguration im csv-Format speichern. Dabei werden die im Kap. 6.1.5 beschriebenen Werte verwendet.
Access Rights Management. Only much Smarter.
www.8man.com
79
6.1.7 Report der Konfiguration Im Speichern-unter-Dialog können Sie einen Report über die Größe (Speicherplatzauslastung) der einzelnen Freigaben eines Dateneigentümers im csv-Format speichern. Als Ergebnis wird eine neue Reportdatei im csv Format geöffnet.
Die Spalte User wird gefüllt, wenn als Data Owner eine Gruppe eingetragen wurde. Dann werden alle Mitglieder dieser Gruppe aufgelistet.
Dateneigentümer hinzufügen
Dem Dateneigentümer-Bereich können Benutzer und Gruppen aus dem Benutzer & Gruppen-Auswahl-Bereich auf der linken Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste hinzugefügt werden. Beim Klicken auf einen Benutzer oder einer Gruppen im Dateneigentümer-Bereich erscheint oder die Gruppe gelöscht.
, mit
wird der Benutzer
Verwendbare Ressourcen
Die Schaltflächen haben folgende Bedeutung:
Access Rights Management. Only much Smarter.
www.8man.com
80
Die Ressource ist veränderbar
Die Ressource ist lesbar (
(Kap. 6.3)
Kap. 6.3)
Als verwendbare Ressource für Dateneigentümer können AD, FS, SharePoint und Exchange verwendet werden. Im verwendbare-Ressourcen-Bereich können einzelne Benutzer-, Gruppen- und Computer-Objekte, Organisationseinheiten oder ganze Domänen enthalten sein. Einem Dateneigentümer können Ressourcen als veränderbare Ressourcen oder LeseRessourcen zugeordnet werden. Dem verwendbare-Ressourcen-Bereich können Ressourcen aus dem Ressourcen-AuswahlBereich auf der rechten Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste hinzugefügt werden. Beim Klicken auf eine Ressource im verwendbare-Ressourcen-Bereich erscheint. und Sie können die Ressourcen als Lese- bzw. veränderbare Ressource setzen oder löschen.
bzw.
Standardmäßig werden die Elemente beim Hinzufügen als veränderbare Ressourcen eingestellt. Werden aber DomänenUnterelemente (z.B. eine OU oder eine Gruppe) hinzugefügt, dann wird die Domäne zur Lese- Ressource geändert und das untergeordnete Element zur veränderbaren-Ressource. Sie können den Ressourcentyp nachträglich manuell umsetzen. Für Dateneigentümer der verwendbaren Ressourcen gilt dann:
Neue Gruppen und Benutzer können innerhalb veränderbarer OUs erzeugt werden. Innerhalb veränderbarer Gruppen darf er Änderungen vornehmen und veränderbare Mitglieder hinzufügen oder entfernen. Bei veränderbaren Objekten können Attributinhalte verändert werden. Veränderbare Benutzer können deaktiviert und gelöscht bzw. wieder hergestellt werden. Von veränderbaren Benutzern kann das Passwort zurückgesetzt werden. Für veränderbare Gruppen und Benutzer können Berechtigungen auf den zugewiesenen veränderbaren Fileserver-Ressourcen geändert, hinzugefügt oder entfernt werden.
Aufgrund des übergeordneten OU Kriteriums müssen neue/gelöschte Mitglieder in der Konfiguration nicht nachträglich einfügt/entfernt werden (um die DO Konfiguration auf dem jeweils aktuellsten Stand zu halten), da die Abfragen der OUZugehörigkeit immer erst zum Überprüfungszeitpunkt (z.B. AD Change) stattfinden.
Einstellungen Ändern von Gruppenmitgliedschaften für Dateneigentümer Im Ändern-von-Gruppenmitgliedschaften-Bereich können Sie festlegen, wie Sie mit Gruppenmitgliedschaften umgehen wollen, die nicht explizit im eigenen Dateneigentümer-verwendbare-Ressourcen-Bereich enthalten sind. Die Standardwerte sind dabei entfernen von Gruppenmitgliedern bzw. nicht hinzufügen von Gruppenmitgliedern.
Diese Einstellungen wirken sich nur auf das Ändern von Gruppenmitgliedschaften aus. Das Ändern von Berechtigungen auf den Verzeichnissen wird wie bisher über Fileserver-Ressourcen-Einträge festgelegt. Wenn Sie ein Verzeichnis als
Access Rights Management. Only much Smarter.
www.8man.com
81
veränderbare Ressource eintragen, dann können Sie darauf Änderungen vornehmen. Diese Änderungen an Verzeichnisrechten sind dann nur mit ihren eingetragenen veränderbaren-Domänenobjekten (Benutzer und Gruppen) möglich.
Access Rights Management. Only much Smarter.
www.8man.com
82
7 SERVER
Die Bereiche in der Serveransicht finden Sie in folgenden Kapiteln beschrieben: Autorisierung (Kap. 7.1)
Server Schwellwerte (Kap. 7.5)
Kommentare
Report
(Kap. 7.2)
(Kap. 7.6)
E-Mail
Server Ereignis Protokollierung
(Kap. 7.3)
(Kap. 7.7) Datenstandspeic herung (Kap. 7.4)
Access Rights Management. Only much Smarter.
www.8man.com
83
Autorisierung
Im Autorisierung-Bereich können Sie einstellen ob alla Änderungen eines Dateneigentümers mit 8MAN durch einen 8MAN Administrator autorisiert werden müssen.
Kommentare Im Kommentare-Bereich können Sie die Anzahl der Tage einstellen, für die Kommentarzettel an Accounts und Ressourcen angezeigt werden sollen.
E-Mail Im E-Mail-Bereich können das Senden von E-Mails für Fehler, Alarme, Änderungsbenachrichtigungen oder Reporteinstellungen aktivieren.
Datenstandspeicherung Im Datenstand-Speicherung-Bereich können Sie das Scan-Archiv aktivieren, um alte und bereits in der Datenbank gelöschte Datenstände zu laden und Sie können das automatische löschen alter Datenstände in der Datenbank aktivieren Desweiteren können Sie den Zeitpunkt der Löschung von aufgezeichneten AD und FS Logga Daten einstellen (Bitte beachten Sie, dass eine längere Speicherdauer einen größeren Speicherbedarf auf der 8MAN Datenbank bedeutet. Je aufgezeichneter Aktion werden 31 Byte benötigt.).
Access Rights Management. Only much Smarter.
www.8man.com
84
Server Schwellwerte Im Server-Schwellwerte-Bereich können Sie Einstellungen für die Überprüfung der Server Schwellwerte vornehmen (Überblick über die aktuellen Server Schwellwerte Kap. 1.4.2).
Access Rights Management. Only much Smarter.
www.8man.com
85
Report Im Report-Bereich können Sie verschiedene Einstellungen für Reports vornehmen, z.B. können Sie einstellen, das Gruppenmitglieder ab einer bestimmten Mitgliederzahl im Report nicht explizit aufgelistet werden sollen. Die Gruppe selbst wird im Report weiterhin angezeigt, jedoch nur mit dem Vermerk über die Anzahl der enthaltenen Mitglieder.
Dies gilt für alle Reports des 8MAN. Sinnvoll ist es, z.B: die Gruppe Domänenbenutzer in die Liste der Gruppen mit aufzunehmen.
Access Rights Management. Only much Smarter.
www.8man.com
86
Server Ereignis Protokollierung Im Server-Ereignis-Protokollierung-Bereich können Sie Einstellungen für die Server Ereignis Protokollierung vornehmen.
Access Rights Management. Only much Smarter.
www.8man.com
87
8 SERVER-STATUS
Lizenzinformationen Im Lizenzinformationen-Bereich können Sie durch Dateiauswahldialog:
„Lizenz laden“ eine Lizenz laden. Es erscheint folgender
Gehen Sie zum Verzeichnis das die Lizenzdatei enthält. Standardmäßig speichert 8MAN die Lizenzdatei unter C:\ProgramData\protected-networks.com\8MAN\licenses. Wählen Sie die Lizensdatei aus und
Access Rights Management. Only much Smarter.
„Öffnen“.
www.8man.com
88
Nun können Sie die Lizenzinformationen sehen:
„Zurück“ gelangen Sie wieder ins Mein 8MAN Dashboard. Nach dem erfolgreichen Laden einer Lizenz zeigt das Mein 8MAN Dashboard den Funktionsumfang der Lizenz an (Kap. 1.4). Für die Volllizenz sind je nach 8MAN Version verschiedene Konfigurationspunkte verfügbar.
Übersicht der angemeldeten Benutzer am 8MAN Server Im Server-Status-Bereich wird eine Liste aller angemeldeten Benutzer an das 8MAN System angezeigt. Es wird zwischen 8MAN, 8MAN Konfiguration und 8MAN Reports unterschieden.
Access Rights Management. Only much Smarter.
www.8man.com
89
Access Rights Management. Only much Smarter.
www.8man.com
90
9 8MAN STARTEN
8MAN kann nun gestartet werden
.
.
Ändern Sie den Port nur, wenn das gemeinsam mit dem Support von protected-networks.com in der Konfigurationsdatei geändert wurde.
Fertig – Viel Spaß mit 8MAN! Für Fragen erreichen Sie unseren Support unter +49(30)3906345-44.
Access Rights Management. Only much Smarter.
www.8man.com
91
ANHANG Anhang I: Software-Lizenzvereinbarungen
Json.net, © 2006-2014 Microsoft, https://json.codeplex.com/license
#ziplib 0.85.5.452, © 2001-2012 IC#Code, http://www.icsharpcode.net/opensource/sharpziplib/
PDFsharp 1.33.2882.0, © 2005-2012 empira Software GmbH, Troisdorf (Germany), http://www.pdfsharp.net/PDFsharp_License.ashx
JetBrains Annotations, ©2007-2012 JetBrains, http://www.apache.org/licenses/LICENSE-2.0
Microsoft Windows Driver Development Kit, © Microsoft, EULA auf dem Computer auf dem der FS Logga für Windows Fileserver installiert ist unter: C:\Program Files\protected-networks.com\8MAN\driver (Verwendung nur für FS Logga für Windows Fileserver)
NetApp Manageability SDK, © 2013 NetApp, https://communities.netapp.com/docs/DOC-1152 (Verwendung nur für FS Logga für NetApp Fileserver)
WPF Shell Integration Library 3.0.50506.1, © 2008 Microsoft Corporation , http://archive.msdn.microsoft.com/WPFShell/Project/License.aspx MSDN CODE GALLERY BINARY LICENSE You are free to install, use, copy and distribute any number of copies of the software, in object code form, provided that you retain: • all copyright, patent, trademark, and attribution notices that are present in the software, • this list of conditions, and • the following disclaimer in the documentation and/or other materials provided with the software. The software is licensed “as-is.” You bear the risk of using it. No express warranties, guarantees or conditions are provided. To the extent permitted under your local laws, the implied warranties of merchantability, fitness for a particular purpose and non-infringement are excluded. This license does not grant you any rights to use any other party’s name, logo, or trademarks. All rights not specifically granted herein are reserved. v061708
WPF Toolkit Library 3.5.50211.1, © Microsoft 2006-2013, http://wpf.codeplex.com/license
Access Rights Management. Only much Smarter.
www.8man.com
