Release Notes Version 6.1
protecting companies from the inside out
D/AE
2
Haftungsausschluss Die in diesem Dokument gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von Protected Networks im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von Protected Networks weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website von Protected Networks veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen.
Urheberrecht
Support
8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei Protected Networks GmbH liegen.
+49 30 390 63 45 – 99
[email protected] https://susi.8man.com
Marken und geschäftliche Bezeichnungen sind – auch ohne besondere Kennzeichnung – Eigentum des jeweiligen Markeninhabers.
Protected Networks GmbH Alt-Moabit 73 10555 Berlin +49 30 390 63 45 - 0 www.protected-networks.com
Access Rights Management. Only much Smarter.
www.8man.com
3
1
Limitierungen in der Evaluierungsversion ...................................................................................................... 4
Release 6.1 nach Produktgruppen .......................................................................................................................... 5 2
3
4
5
6
8MAN Visor .................................................................................................................................................... 5 2.1
ERWEITERT: Neuer Report für Fileserver ........................................................................................... 5
2.2
NEU: Erkennung außerhalb von 8MAN reaktivierter Konten ............................................................ 6
8MAN Visor DO .............................................................................................................................................. 6 3.1
ERWEITERT: Report-Versand und -Speicherung voreinstellbar ......................................................... 6
3.2
ERWEITERT: Report-Aufteilung pro Konto......................................................................................... 7
8MAN Enterprise ............................................................................................................................................ 8 4.1
NEU: Definition von Bildungsregeln für Benutzer- und Gruppentemplates ...................................... 8
4.2
ERWEITERT: Distinguished Names in Templates für OUs .................................................................. 8
8MATES: GrantMA ......................................................................................................................................... 9 5.1
NEU: Kennzeichnung von Open-Order Bestellpositionen in GrantMA .............................................. 9
5.2
NEU: Explizite Bestätigung von Open-Order-Bestellpositionen entfernt ........................................ 10
8MATES: FS Logga und AD Logga ................................................................................................................. 10 6.1
NEU: Datenmengen für FS Logga reduzieren .................................................................................. 10
6.2
ERWEITERT: Konfiguration des AD Logga und FS Logga .................................................................. 10
7
Behobene Probleme ..................................................................................................................................... 11
8
Bekannte Probleme ...................................................................................................................................... 11
9
How To ......................................................................................................................................................... 12
10
9.1
Kollektoren manuell updaten .......................................................................................................... 12
9.2
Prozessorlast bei Windows 2003 File Server senken ....................................................................... 13
9.3
Auslesen von EMC Celera File-Servern ............................................................................................ 13
9.4
Wiederholungsversuche für das bei Setzen der Berechtigungen auf File Servern anpassen .......... 13
9.5
IP Adressen auswählen, die 8MAN nicht beachten soll ................................................................... 14
9.6
Das Laden der Logbuchkommentare verhindern ............................................................................ 16
9.7
Den Filesystem Scanner für Symlinks deaktivieren ......................................................................... 17
9.8
Ändern der Maximalanzahl der zu ladenden OUs ........................................................................... 17
9.9
Modifizieren der internen Blacklist ................................................................................................. 18
9.10
UAC aktivieren ................................................................................................................................. 19
FAQ ............................................................................................................................................................... 19 10.1
Welche Objekte werden aus dem Active Directory gelesen? .......................................................... 19
10.2
Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? ............................................................................................................. 20
Anhang .................................................................................................................................................................. 21 Anhang I: Software-Lizenzvereinbarungen ....................................................................................................... 21
Access Rights Management. Only much Smarter.
www.8man.com
4
1 Limitierungen in der Evaluierungsversion Neben der zeitlichen Limitierung der Nutzung von 8MAN sind alle Reporte auf 100 Zeilen beschränkt. XPS und PDF Reports der Zugriffsberechtigungen sind auf 6 Seiten limitiert. Der Simulationsmodus im Gruppen Wizard bezieht sich nur auf das Verzeichnis ändern.
Access Rights Management. Only much Smarter.
www.8man.com
5
Release 6.1 nach Produktgruppen 8MAN Enterprise Nutzer:
Alle in diesem Dokument vorgestellten Features sind relevant für Ihren 8MAN.
8MAN Visor DO Nutzer:
Alle Features von Visor und Visor DO sind relevant für Ihren 8MAN.
8MAN Visor Nutzer:
Ausschließlich die Features unter dem Punkt 8MAN Visor sind relevant für Ihren 8MAN.
8MATES
Siehe Abschnitt 8MATES.
2 8MAN Visor 2.1 ERWEITERT: Neuer Report für Fileserver Die Version 6.1 bietet eine neue Reportingfunktion für Fileserver. Sie können damit von mehreren Managern alle Zugriffsrechte der Mitarbeiter im PDF- bzw. XLS-Format aufschlüsseln. 8MAN Startseite: Klicken Sie auf das neue Reportfeld.
Auswahl der Manager Sie können nach dem Namen des Managers suchen. Darüber hinaus besteht die Möglichkeit nach LDAPAttributen zu suchen. Diese können sie in der Konfigurationsdatei (pnServer.config.xml) vorher definieren. Maximal drei Attribute sind erlaubt, zum Beispiel: compa ny department Zeitgesteuerte Reportkonfigurationen dieses Reporttyps werden automatisch in das PDF- (vorher XPS) Format übernommen. Das alte Format wird für diesen Reporttyp nicht mehr unterstützt.
Access Rights Management. Only much Smarter.
www.8man.com
6
2.2 NEU: Erkennung außerhalb von 8MAN reaktivierter Konten 8MAN erkennt beim Scannen einer Domäne, ob ein mit 8MAN „Soft Delete“ gelöschtes Konto, mit anderen Mitteln (re)aktiviert wurde. In diesem Fall entfernt der Active Directory Scan die „Soft Delete“ – Kennzeichnung und erzeugt einen Logbucheintrag an diesem Konto.
Vor dem Scan:
Nach dem Scan:
3 8MAN Visor DO 3.1 ERWEITERT: Report-Versand und -Speicherung voreinstellbar Sie können vor der Erzeugung von Reporten ihre Speicherung und Versendung konfigurieren.
Beachten Sie dazu links unten bei den Reportkonfigurationen den neuen Bereich „Einstellungen“.
Access Rights Management. Only much Smarter.
www.8man.com
7
3.2 ERWEITERT: Report-Aufteilung pro Konto Benutzer- und Gruppenreports können in der neuen Version weiter ausdifferenziert werden. Sie können innerhalb des Reports „Wo hat ein Benutzer/Gruppe Zugriff?“ für jeden der ausgewählten Accounts, einen eigenen Report erzeugen.
Die erzeugten Reporte für die einzelnen Accounts erscheinen rechts in der Übersicht.
Access Rights Management. Only much Smarter.
www.8man.com
8
4 8MAN Enterprise 4.1 NEU: Definition von Bildungsregeln für Benutzer- und Gruppentemplates Sie können für die LDAP-Attribute Bildungsregeln definieren. Die Werte der Attribute generieren bzw. aktualisieren sich automatisch entsprechend der Bildungsregeln. Dies gilt auch für versteckte, nicht- editierbare Textfelder. Wenn Sie editierbare Felder manuell ändern, wird die automatische Generierung deaktiviert. Für die sichtbaren Attribute „Common-Name“, „Benutzeranmeldename“ und für das ausgeblendete Attribut „SamAccountName“ sind Bildungsregeln gemäß der folgenden Tabelle definiert:
Details zur Definition von Bildungsregeln können Sie dem Zusatzdokument „Benutzer- und Gruppentemplates erstellen in 8MAN Enterprise“ entnehmen.
Attribut
Bildungsregel
Erklärung
Common-Name
{givenname} {sn}
Wird gebildet aus Vor- und Nachname.
SamAccountName
(({givenname}){sn})
Wird gebildet aus Vor- und Nachname. Dieses Attribut wird generiert, aber nicht angezeigt.
Benutzeranmeldename
{samaccountname}@[fqdn]
Wird aus dem nicht angezeigten SamAccountNamen gebildet.
4.2 ERWEITERT: Distinguished Names in Templates für OUs In Templates können ab der Template Version 2 OUs über den DistinguishedName adressiert werden. Beachten Sie das folgende Beispiel: "OrganizationalUnit": { "Definition": { "Type": "DropDownList", "Summary": "Oberammergau", "Items": [ { "Key": " OU=oberammergau,DC=corp,DC=Fabrikam,DC=COM ",
Access Rights Management. Only much Smarter.
www.8man.com
9
"Value": "Oberammergau" }, { "Key": " OU=unterammergau,DC=corp,DC=Fabrikam,DC=COM ", "Value": "Unterammergau" } ], "DefaultValue": "OU=finance,DC=corp,DC=Fabrikam,DC=COM", "Label": "Organisationseinheit (OU)" } },
5 8MATES: GrantMA 5.1 NEU: Kennzeichnung von Open-Order Bestellpositionen in GrantMA Bestellpositionen, die auf der Open-OrderTechnologie basieren, erscheinen jetzt in der GrantMA durch den Zusatztext „Manuelle Bearbeitung erforderlich“.
Access Rights Management. Only much Smarter.
www.8man.com
10
5.2 NEU: Explizite Bestätigung von Open-Order-Bestellpositionen entfernt Die explizite Bestätigung für Ausführung von Open-Order-Bestellpositionen im 8MAN-Client wurde entfernt.
Bisher:
Neu:
6 8MATES: FS Logga und AD Logga 6.1 NEU: Datenmengen für FS Logga reduzieren Bei Benutzeraktionen wie z.B. dem Speichern einer Datei führt der Fileserver mehre Lese- bzw. Schreibvorgänge durch. Der FS Logga ignoriert diese redundanten Aktionen innerhalb eines vordefinierten Zeitraums von 10 Sekunden. Der Vorteil ist die Verminderung unnützer Datenmengen. Selbstverständlich können Sie diese Funktion wieder deaktivieren bzw. den Zeitraum für die Redundanzbewertung ändern. Detailinformationen dazu finden sie im 8MATE FS im 8MATE FS Logga Handbuch, Kapitel 2.3 „FS Logga Einstellungen in der Konfigurationsdatei pnTracer.config.xml“.
6.2 ERWEITERT: Konfiguration des AD Logga und FS Logga Mit der Version 6.1 können Sie die Aktualisierungsintervalle im 8MAN Client konfigurieren. Der Intervall ist für jeden Logga separat einstellbar, auch wenn diese auf demselben Kollektor arbeiten. Wählen Sie zwischen Werten von 1 und 60 Minuten. Der Default ist auf 10 Minuten gesetzt. Änderungen werden im Logbuch protokolliert.
Access Rights Management. Only much Smarter.
www.8man.com
11
7 Behobene Probleme Mit der Version 6.0 wurden folgende Probleme behoben: Nummer
Problem
20295
In seltenen Fällen kann es zu einer Deadlock Exception in der Datenbank kommen. Dazu kommt es, wenn parallele Account-Änderungsanfragen im 8MAN abgearbeitet werden, bei gleichzeitiger Aktualisierung der Account-Mitgliedschaften.
20919
Der Versuch, einen FS Logga-Report zu erstellen, noch bevor die ersten Daten (Standard-Zeitintervall ist 10 Minuten) geliefert wurden, wird mit einer unbestimmten Fehlermeldung quittiert. Zudem ist der angegebene Report-Zeitraum ungültig. Workaround: Starten Sie FS Logga-Reports frühestens 10 Minuten nach der Report-Konfigurationsänderung.
(6447)
21081
GrantMA: Wenn in der Autorisierung „Data Owner Genehmigung – Administrator Ausführung“ eingestellt ist, sieht der Administrator nicht den Kommentar und die Verantwortliche Person in seiner „Berechtigungen genehmigen“-Liste.
21078
GrantMA: Es kann zu starker Last auf dem Server kommen, wenn in der Data Owner Konfiguration viele Active Directory und SharePoint Ressourcen zugeordnet sind.
8 Bekannte Probleme Die Version 6.0 beinhaltet die folgenden bekannten Probleme: Nummer
Problem
22738
Der Kalender verhält sich an der Grenze zur Sommerzeitumstellung nicht wie erwartet. Der Effekt ist beschränkt auf Zeiträume (Begin vor der Umstellung, ausgewählte Zeit danach).
23334
FS Logga Report: Wenn eine Datei oder Verzeichnis in den Papierkorb verschoben wird, zeigt der Report das Ereignis „Gelöscht“ doppelt an.
21229
Beim Verschieben von Reporten oder Scan-Archiven kann es unter Umständen zu Datenverlusten bei vorhandenen gleichnamigen Dateien kommen.
21166
Wenn das letzte Mitglied einer 8MAN Gruppe ein temporäres Mitglied ist und dieses gelöscht wird, bleibt die Gruppe dennoch bestehen.
(3364) 20269
In der Account-View kann in seltenen Fällen eine „Invalid Operation Exception“ auftreten. Dies passiert wenn die Ansicht durch einen Domänen-Scan gerade aktualisiert wird und der Anwender zeitgleich ein Account-Element anwählt.
18295
Scanvergleichs-Ansicht: Es wird nicht dargestellt, ob SharePoint-Änderungen mit 8MAN durchgeführt wurden. Im 8MAN-Logbuch erscheinen die mit 8MAN ausgeführten Änderungen.
18013
AD Logga Report: Die Liste „Geändertes Attribut“ im AD Logga Report Dialog wird nur beim Neustart des 8MAN Servers aktualisiert. Ein evtl. stattgefundenes AD-Schema-Update wird nicht automatisch im Dialog berücksichtigt.
16321
Beim Scannen eines DFS werden die lokalen Benutzer und Gruppen der dahinter benutzen Fileserver nicht ausgelesen. Dadurch werden lokale Gruppen und lokale User nicht aufgelöst, wenn Sie direkt auf den
Access Rights Management. Only much Smarter.
www.8man.com
12
(3474)
Verzeichnissen Berechtigt sind. Bspw. haben Administratoren ja oft Domain Administratoren in der lokalen Gruppe als Mitglieder - diese würden dann nicht dargestellt.
15092
Wenn eine Admin-Freigabe ($ Share) auch als normale Freigabe eingetragen wurde, dann kommt es zu Problemen bei der Zuordnung bzw. Anzeige der Freigabe-Berechtigungen.
9626
In einigen Umgebungskonstellationen stürzt der Microsoft Service Control Manager (SCM) in der Startphase ohne weitere Meldungen ab.
8864
Nach dem Löschen eines Domänenkontos werden dessen ACE-Referenzen im SharePoint nicht automatisch entfernt
8705
Die Erstellung von Filesystem Logga Reports kann, je nach Datenaufkommen und gewähltem Zeitraum, durchaus im Stundenbereich liegen. Die Einschränkung des Zeitfensters oder eine eingeschränkte Pfadauswahl kann dazu beitragen, dass der Verarbeitungszeitraum kleiner wird. Für 1600 Seiten werden ca. 5 Minuten Verarbeitungszeit angesetzt.
8694
Falls bei einem Exchange Scan ein Fehler aufgetreten ist, werden derzeit die Scanprobleme nicht mit erfasst bzw. nicht in der Ressourcen Ansicht angezeigt.
8686
vSphere Datenstände werden nicht automatisch gelöscht, wenn man den Datenstand mit der Scankonfiguration löscht.
7456
Scan-Vergleich: Organisationseinheiten werden zurzeit nicht aufgelöst.
6526
Der CSV-Report für geänderte Pfade zeigt keine hinzugefügten oder entfernten Benutzer an, wenn man vorher die rechte Seite (Benutzer-Berechtigungs-Ansicht) nicht mindestens einmal aufgeklappt hat.
5708
Verzeichnisrechte ändern im Aufräummodus: Accounts, die in der Blacklist enthalten sind (z.B. System), werden in der Vorschau nicht als „unberücksichtigt“ angezeigt.
9 How To 9.1 Kollektoren manuell updaten Nach der Installation des 8MAN Servers mit der Version 3.0.xx, aktualisieren sich alle konfigurierten und laufenden 8MAN Kollektoren, ab der Version 2.1.xx, automatisch auf die neue Version. Der Aktualisierungsvorgang erfolgt innerhalb weniger Minuten nach Abschluss der Serverinstallation. In einigen Fällen kann die Aktualisierung bis zu 30 Minuten in Anspruch nehmen. Wenn innerhalb dieses Zeitraumes keine Aktualisierung stattgefunden hat, sollte diese manuell vorgenommen werden. Hinweis zum Logga-Kollektor: Kollektoren der Versionen kleiner als 4.4.x können nicht automatisch auf eine Version 4.4.x oder höher aktualisiert werden. In diesen Fällen installieren Sie den Logga-Kollektor. Ältere 8MAN Kollektoren vor der Version 2.1.xx verfügen noch nicht über die automatische Versionsaktualisierung und müssen manuell installiert werden.
Betreiben Sie mehrere 8MAN Server an einem Kollektor, müssen alle 8MAN Server die gleiche Version haben. Ansonsten würden die 8MAN Server konkurrierend den Kollektor updaten. Dieser Zustand kann nur durch eine Neuinstallation behoben werden.
Access Rights Management. Only much Smarter.
www.8man.com
13
Die erfolgreiche Aktualisierung wird in der Datei updates.log protokolliert. Diese Datei ist im „Log“-Verzeichnis auf dem Kollektor-Host zu finden. Abhängig von der Systemsprache und der Windowsversion befinden sich alle Log-Dateien in einem der folgenden Verzeichnisse: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\log English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\log Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\log
9.2 Prozessorlast bei Windows 2003 File Server senken Wenn der File Server sehr langsam arbeitet, ist die Ursache möglicherweise die wmiprvse.exe (WMI). Die Störung ist im Knowledge Base Artikel von Microsoft beschrieben. Der Workaround ist ein Hotfix, den wir erfolgreich getestet haben. Installieren Sie den Hotfix. Er wird die tägliche Arbeit ihres File Servers nicht beeinträchtigen.
9.3 Auslesen von EMC Celera File-Servern Wenn auf einem sogenannten Admin „C$“ Share die Backup Snapshots gespeichert werden, müssen Sie diesen Share in eine Exclude Liste eingetragen, damit nur die „reinen“ Shares ausgelesen werden. 1.
Stoppen Sie den Service 8MAN - Service
2.
Öffnen Sie die Datei mit einem Texteditor: \etc\pnServer.config.xml
3.
Ändern Sie in der Datei die folgenden Einträge im Abschnitt: C$
4.
Starten Sie den Service 8MAN – Service
9.4 Wiederholungsversuche für das bei Setzen der Berechtigungen auf File Servern anpassen In seltenen Fällen kommt es vor, dass neu erzeugte 8MAN Gruppen nicht sofort auf den File Servern zur Verfügung stehen. (Berechtigungsgruppe in der Verzeichnis Sicherheit (ACL)). Dieses Verhalten haben wir u.a. bei verschiedenen EMC Modellen im Mixed Mode Betrieb festgestellt. Die Ursache liegt vermutlich in zeitversetzter Kommunikation der File Server. 8MAN bietet einen Workaround an. Man kann Wiederholungen von bestimmten Aktionen mit Hilfe von Zusatzparametern in der pnJob.config.xml einstellen.
Access Rights Management. Only much Smarter.
www.8man.com
14
Wir empfehlen dringend, die Datei im Bereich der User Settings zu ändern bzw. wenn nicht vorhanden neu anzulegen, um den Verlust nach einem Program-Update zu verhindern. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn diese Datei nicht vorhanden ist, können sie die originale Datei aus dem Installationsverzeichnis kopieren. Dieses befindet sich standardmäßig im: „C:\Programme\ protected-networks.com\8MAN\etc.“ oder im Englischen OS „C:\Program Files\ protected-networks.com\8MAN\etc.“.
Anschließend öffnen sie die Datei pnJobs.config.xml und ändern folgende Werte: 1 1
Beide Werte sind standardmäßig auf „1“ eingestellt. Das bedeutet, dass einmal wiederholt (retryCount) versucht wird, mit einer Wartezeit von einer Sekunde (retryValue), die neue SID zu ermitteln. Wir empfehlen erst einmal die Anzahl der Wiederholungen zu erhöhen. Nur wenn das nicht funktioniert, kann zusätzlich auch die Wartezeit verlängert werden. Außerdem sollte versucht werden herauszufinden, warum die neuen Gruppen nicht sofort zur Verfügung stehen. Möglicherweise sind spezielle Konfigurationseinstellungen dafür verantwortlich. Wenn der folgende Abschnitt nicht vorhanden ist, kopieren sie die folgenden Zeilen in den globalen Abschnitt : 1 1
9.5 IP Adressen auswählen, die 8MAN nicht beachten soll In einigen Fällen kann es notwendig sein, IP Adressen einzustellen, die der 8MAN Server nicht benutzen soll. Beispiel: Sie verwenden Virtualisierungstools wie Virtuell Box oder VMWare oder sie haben zwei echte Netzwerkkarten, die unterschiedliche oder abgetrennte Subnetze bedienen sollen. Starten Sie auf solchen Computern den 8MAN-Client, wird auf allen Netzwerkadressen versucht, eine Verbindung zum 8MAN-Server herzustellen. Der 8MAN Server versucht wiederum eine aktive Verbindung zum 8MAN-Client herzustellen. Die Rückadresse ist systembedingt eine beliebige IP Adresse, aus denen, die vom Client übermittelt wurden.
Access Rights Management. Only much Smarter.
www.8man.com
15
Das kann dazu führen, dass zum Beispiel der Client auf dem 10.10.10.x Netzwerk den Server anfragt, dieser aber auf 192.168.x.x antwortet. Die Reihenfolge, wie der Client seine Adressen einpackt, können Sie -
über die Prioritäten der Netzwerkkarten verändern
oder -
Indem Sie die automatischer Metrik in der IP Einstellung auf „1“ setzen.
Um Systemeinstellungen auf den Rechnern zu vermeiden, kann man auf dem 8MAN Server die IP Adressen auflisten, die er nicht für die Rückantwort verwenden soll. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Access Rights Management. Only much Smarter.
www.8man.com
16
Öffnen Sie die Datei pnServer.config.xml und ändern Sie den folgenden Abschnitt oder fügen Sie diesen innerhalb des Abschnittes ein. Beispiel: 192.0.0.0;194.162.0.0
192.0.0.0 Filtert alle Adresse die mit 192. beginnen aus. 194.162.0.0 Filtert alle Adresse die mit 192.162. beginnen aus.
9.6 Das Laden der Logbuchkommentare verhindern In einigen Fällen verzögert das Laden der Logbuchkommentare die Benutzung des 8MAN. Dann kann es lange dauern, bis die Verzeichnispfade in der Resourceansicht erscheinen. Um das Laden der Logbuchkommentare zu unterbinden, kann man die Konfiguration folgendermaßen anpassen. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Sollte die Datei dort nicht zu finden sein, kann sie manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. true
Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. true Kommentare werden geladen (Standard). false Kommentare werden nicht geladen Die Veränderung der Einstellung wird mit Neustart des 8MAN Services wirksam.
Access Rights Management. Only much Smarter.
www.8man.com
17
9.7 Den Filesystem Scanner für Symlinks deaktivieren Der Filesystem Scanner kann bezüglich des Verfolgens von Symlinks beeinflußt werden. Die Einstellungen werden in der Datei pnServer.config.xml und pnJobs.config.xml durchgeführt. Die Dateien befinden sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgendem Inhalt erstellt werden:
Führen Sie anschließend die folgenden Änderungen / Erweiterungen durch. Sind die Einträge nicht vorhanden, muss der ganze Abschnitt innerhalb der globalen Sektion kopiert werden. false
false Folge den Symlinks nicht (Standard) true Folge den Symlinks Die Veränderung wird mit Neustart des 8MAN wirksam.
9.8 Ändern der Maximalanzahl der zu ladenden OUs Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Access Rights Management. Only much Smarter.
www.8man.com
18
Anschließend müssen die folgenden Änderungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. 64
64 Die Anzahl*1024 OU Einträge, die maximal gelesen werden Wenn der Wert nicht gesetzt bzw. nicht vorhanden ist, wird die Zahl 8 genommen. Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
9.9 Modifizieren der internen Blacklist Folgende Security Identifier können aufgrund der internen Blacklist nicht aus der DACL entfernt werden: "S-1-3-0" "S-1-5-5-(?.+)" "S-1-5-32-544" "S-1-5-18" "S-1-5-(?.+)-500$"
Ersteller/Besitzer Logon User Session (Sollte niemals aus DACL entfernt werden) Lokale Administratoren Lokales System Domänen Administrator
Die folgenden Einstellungen deaktivieren den Schreibschutz der internen Blacklist. Anschließend lässt sich der Inhalt in der Konfigurationsoberfläche ändern. Seien Sie vorsichtig! Die Einstellungen werden in der Datei pnServer.config.xml, pnJobs.config.xml und appConfig.config.xml durchgeführt. Die Dateien befinden sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigen Inhalt erstellt werden:
Führen Sie anschließend die folgenden Änderungen / Erweiterungen durch. Sind die Einträge nicht vorhanden, muss der ganze Abschnitt innerhalb der globalen Sektion kopiert werden.
Access Rights Management. Only much Smarter.
www.8man.com
19
false
true Die interne Blacklist ist schreibgeschützt, d.h. es können keine Einträge entfernt werden. false Die interne Blacklist ist nicht schreibgeschützt, Einträge können beliebig entfernt werden. Die Veränderung wird mit Neustart des 8MAN Services wirksam.
9.10 UAC aktivieren Wir empfehlen die UAC auszuschalten, sowohl auf dem 8MAN Server als auch auf allen Kollektoren. Folgende Tabelle zeigt die für den 8MAN Server notwendigen Account-Credentials mit eingeschalteter UAC. Nur der pnServer kann sowohl als lokaler Administrator, als auch als Domänen User gestartet bzw. eingerichtet werden. Alle anderen Accounts müssen Domänen-Accounts und zusätzlich in der Gruppe der lokalen Administratoren sein.
Lokaler Administrator auf dem 8MAN Server oder Kollektor
Lokaler Benutzer
Domänenbenutzer
pnServer
X
X
X
Fileserver Read
X
-
X
Fileserver Write
X
-
X
AD Read
X
-
X
AD Write
X
-
X
10 FAQ 10.1 Welche Objekte werden aus dem Active Directory gelesen? Der Scanner für das ActiveDirectory filtert auf Objektklassen, um das zu verarbeitende Datenvolumen zu reduzieren. Folgende Objektklassen werden gelesen:
Benutzer („user“)
Gruppe („group“)
Computer („computer“)
Domäne („domainDNS“)
Organisationseinheit („organizationalUnit“)
Access Rights Management. Only much Smarter.
www.8man.com
20
Die Objekte anderer Klassen werden nicht gelesen und während des Scannens in der Job-Übersicht als ausgefiltert angezeigt.
10.2 Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? Administrative Shares verwaltet Windows autark und ohne Eingriffsmöglichkeiten von außen. Nur Benutzer der lokalen Fileserver Administrator Gruppe dürfen darauf zugreifen. Die Shares haben keine auslesbare „Access Control List“ und daher zeigt 8MAN auch keine Shareberechtigungen an.
Access Rights Management. Only much Smarter.
www.8man.com
21
Anhang Anhang I: Software-Lizenzvereinbarungen
Json.net, © 2006-2014 Microsoft, https://json.codeplex.com/license
JSON.NET Copyright (c) 2007 James Newton-King https://github.com/JamesNK/Newtonsoft.Json/blob/master/LICENSE.md
Irony Copyright (c) 2011 Roman Ivantsov http://irony.codeplex.com/license
Jint Copyright (c) 2011 Sebastien Ros http://jint.codeplex.com/license
#ziplib 0.85.5.452, © 2001-2012 IC#Code, http://www.icsharpcode.net/opensource/sharpziplib/
PDFsharp 1.33.2882.0, © 2005-2012 empira Software GmbH, Troisdorf (Germany), http://www.pdfsharp.net/PDFsharp_License.ashx
JetBrains Annotations, ©2007-2012 JetBrains, http://www.apache.org/licenses/LICENSE-2.0
Microsoft Windows Driver Development Kit, © Microsoft, EULA auf dem Computer auf dem der FS Logga für Windows Fileserver installiert ist unter: C:\Program Files\protected-networks.com\8MAN\driver (Verwendung nur für FS Logga für Windows Fileserver)
NetApp Manageability SDK, © 2013 NetApp, https://communities.netapp.com/docs/DOC-1152 (Verwendung nur für FS Logga für NetApp Fileserver)
WPF Shell Integration Library 3.0.50506.1, © 2008 Microsoft Corporation , http://archive.msdn.microsoft.com/WPFShell/Project/License.aspx MSDN CODE GALLERY BINARY LICENSE You are free to install, use, copy and distribute any number of copies of the software, in object code form, provided that you retain: • all copyright, patent, trademark, and attribution notices that are present in the software, • this list of conditions, and • the following disclaimer in the documentation and/or other materials provided with the software. The software is licensed “as-is.” You bear the risk of using it. No express warranties, guarantees or conditions are provided. To the extent permitted under your local laws, the implied warranties of merchantability, fitness for a particular purpose and non-infringement are excluded. This license does not grant you any rights to use any other party’s name, logo, or trademarks. All rights not specifically granted herein are reserved. v061708
WPF Toolkit Library 3.5.50211.1, © Microsoft 2006-2013, http://wpf.codeplex.com/license
Sammy.js, © 2008 Aaron Quint, Quirkey NYC, LLC; https://raw.githubusercontent.com/quirkey/sammy/master/LICENSE Mustache.js, © 2009 Chris Wanstrath (Ruby) and © 2010-2014 Jan Lehnardt (JavaScript), https://github.com/janl/mustache.js/blob/master/LICENSE
jQuery, © 2014 The jQuery Foundation, https://jquery.org/license/
Metro UI CSS 2.0, © 2012-2013 Sergey Pimenov, https://github.com/olton/Metro-UI-CSS/blob/master/LICENSE
Access Rights Management. Only much Smarter.
www.8man.com
22
LoadingDots, © 2011 John Nelson, http://www.johncoder.com
Underscore.js, © 2009-2014 Jeremy Ashkenas, DocumentCloud and Investigative Reporters & Editors https://github.com/jashkenas/underscore/blob/master/LICENSE
easyModal.js, © 2013 Flavius Matis, https://github.com/flaviusmatis/easyModal.js
jsTimezoneDetect, © 2012 Jon Nylander, project maintained at https://bitbucket.org/pellepim/jstimezonedetect; https://bitbucket.org/pellepim/jstimezonedetect/src/f9e3e30e1e1f53dd27cd0f73eb51a7e7caf7b378/LICENCE.txt ?at=defaultjquery-tablesort
jquery-tablesort, © 2013 Kyle Fox, https://github.com/kylefox/jquery-tablesort
Access Rights Management. Only much Smarter.
www.8man.com
