Release Notes Version 5.5
protecting companies from the inside out
F/AD
2
Haftungsausschluss Die in diesem Dokument gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von protected-networks.com im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von protected-networks.com weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen.
Urheberrecht
Hotline
8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei protected-networks.com GmbH liegen.
Support: +49 (30) 390 63 45 – 99
[email protected]
Marken und geschäftliche Bezeichnungen sind – auch ohne besondere Kennzeichnung – Eigentum des jeweiligen Markeninhabers.
protected-networks.com GmbH Alt-Moabit 73 10555 Berlin +49 (30) 390 63 45 - 0 www.protected-networks.com
Access Rights Management. Only much Smarter.
www.8man.com
3
1
Limitierungen in der Evaluierungsversion ...................................................................................................... 5
2
Version 5.5 ..................................................................................................................................................... 5 2.1
Neu: 8MATE GrantMa – Bestellprozess für Berechtigungen ............................................................. 5
2.2
Neu: Unterstützung zusätzlicher Technologie-Versionen ................................................................. 5
2.3
Erweitert: 8MAN Setup überarbeitet ................................................................................................ 7
2.4
Neu: Berechtigungsdifferenz-Report erstellen (direkte und indirekte Berechtigungsänderungen auf Fileservern) .................................................................................................................................. 8
2.5
Neu: Zusätzliche Rollen und Funktionen in der Benutzerverwaltung einstellen ............................. 10
2.6
Neu: „Wo haben Benutzer/Gruppen Zugriff?“ Report für SharePoint erstellen ............................. 11
2.7
Erweitert: „Wo haben Benutzer/Gruppen Zugriff?“ Report für Fileserver mit überarbeiteten Konfigurations-Dialog ...................................................................................................................... 14
2.8
Neu: Active Directory Objekte innerhalb einer Domäne verschieben ............................................ 15
2.9
Neu: Einfacher die Berechtigungen ändern ..................................................................................... 18
2.10
Neu: Automatische Synchronisation der außerhalb von 8MAN neu erstellten Benutzer (Active Directory) ......................................................................................................................................... 20
2.11
Neu: Ressourcen-Ansicht: AD Berechtigungen überarbeitet .......................................................... 20
2.12
Verschoben: Autorisierungskonfiguration verschoben nach Ändern-Konfiguration ...................... 23
2.13
Erweitert: Unterstützung mehrerer FS Logga für NetApp pro 8MAN Kollektor .............................. 23
2.14
Erweitert: Setup FS Logga überarbeitet ........................................................................................... 24
2.15
Erweitert: Active Directory Ereignisse mit dem AD Logga filtern .................................................... 24
2.16
Neu: Anzeige der AD Logga Konfigurationsänderungen im 8MAN Logbuch ................................... 25
2.17
Erweitert: Zusätzliche Optionen in der Exchange Scan-Konfiguration einstellen............................ 25
2.18
Erweitert: OU Report im CSV-Format mit Spalten für Attribute...................................................... 26
2.19
Erweitert: AD Attribute Kennwortoptionen nachträglich ändern ................................................... 27
2.20
Erweitert: FS Ressourcen Ansicht überarbeitet ............................................................................... 27
2.21
Erweitert: Data Owner Konfiguration für Group Wizard ................................................................. 29
2.22
Erweitert: “Corporate ID Branding” für Reporte konfigurierbar ..................................................... 29
2.23
Erweitert: Anzeige der Szenario-Konfiguration überarbeitet .......................................................... 30
2.24
Erweitert: Report-Einstellung wiederverwenden ............................................................................ 31
2.25
Erweitert: Vorhandene Reportkonfigurationen beim Import löschen ............................................ 31
2.26
Erweitert: Gruppenmitgliedschaften für neu zu erstellende Benutzer auswählen (bisher: GruppenTemplates) ....................................................................................................................................... 31
3
Bekannte Probleme ...................................................................................................................................... 32
4
How To ......................................................................................................................................................... 35 4.1
Update der Kollektoren ................................................................................................................... 35
4.2
Auf einem Windows 2003 Server File Server beträgt die Prozessorlast bis zu 100% verursacht durch wmiprvse.exe (WMI) ............................................................................................................. 35
4.3
Auslesen von EMC Celera File Server ............................................................................................... 36
Access Rights Management. Only much Smarter.
www.8man.com
4
4.4
Einstellung von Wiederholungsversuchen bei Setzen der Berechtigungen auf den File Servern ... 36
4.5
Einstellung von IP Adressen, die 8MAN nicht beachten soll ........................................................... 37
4.6
Laden von Kommentaren verhindern .............................................................................................. 38
4.7
Folgen von Symlinks......................................................................................................................... 39
4.8
Ändern der Maximalanzahl der zu ladenden OUs ........................................................................... 39
4.9
Welche Objekte werden aus dem Active Directory gelesen............................................................ 40
4.10
Modifizieren der internen Blackliste................................................................................................ 40
4.11
UAC .................................................................................................................................................. 41
4.12
Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? ............................................................................................................. 42
Anhang .................................................................................................................................................................. 43 Anhang I: Übersicht Zugriffsberechtigungen .................................................................................................... 43 Anhang II: Software-Lizenzvereinbarungen ...................................................................................................... 47
Access Rights Management. Only much Smarter.
www.8man.com
5
1 Limitierungen in der Evaluierungsversion Neben der zeitlichen Limitierung der Nutzung von 8MAN sind alle Reporte auf 100 Zeilen beschränkt. XPS und PDF Reports der Zugriffsberechtigungen sind auf 6 Seiten limitiert. Der Simulationsmodus im Gruppen Wizard bezieht sich nur auf das Verzeichnis ändern.
2 Version 5.5 2.1 Neu: 8MATE GrantMa – Bestellprozess für Berechtigungen GrantMA ist ein Self-Service-Portal, mit welchem Nutzer Berechtigungen bestellen und genehmigen können. 8MAN informiert im Anschluss alle Dateneigentümer und holt die Genehmigungen oder auch Ablehnungen ein. Zusätzlich können Dateneigentümer über das Portal Bestellungen mit Hilfe der neuen Autorisierungs-Konfiguration genehmigen.
Weitere Informationen finden Sie in den Dokumenten „8MATE GrantMA Installation und Konfiguration“, „8MATE GrantMA Handbuch“ und „8MAN Systemanforderungen“.
2.2 Neu: Unterstützung zusätzlicher Technologie-Versionen 2.2.1 Neu: Unterstützung von Microsoft SharePoint Server 2013 Mit Version 5.5 unterstützt 8MAN SharePoint 2013 (Voraussetzung: SharePoint Lizenz). Die Ansichten und Einstellungen für SharePoint 2013 in 8MAN sind die gleichen wie für SharePoint 2007 und 2010. Weitere Informationen finden Sie in den Dokumenten „8MATE for SharePoint Handbuch“ und „8MAN Systemanforderungen“.
2.2.2 Neu: Unterstützung von Microsoft SQL Server 2014 und Beendung der Unterstützung von Microsoft SQL Server 2005 Mit Version 5.5 unterstützt 8MAN SQL 2014 und beendet die Unterstützung von SQL 2005. Weitere Informationen finden Sie im Dokument „8MAN Systemanforderungen“.
2.2.3 Neu: Unterstützung von Microsoft Windows Server 2012 R2 für den AD Logga Mit Version 5.5 unterstützt 8MAN Microsoft Windows Server 2012 R2 für den AD Logga. Weitere Informationen finden Sie im Dokument „8MAN Systemanforderungen“.
Access Rights Management. Only much Smarter.
www.8man.com
6
2.2.4 Neu: Unterstützung von Microsoft Windows Server 2012 R2 für den 8MAN Server und Kollektor Mit Version 5.5 unterstützt 8MAN Microsoft Windows Server 2012 R2 für den 8MAN Server und Kollektor. Weitere Informationen finden Sie im Dokument „8MAN Systemanforderungen“.
2.2.5 Neu: Unterstützung von Microsoft Windows Server 2012 R2 und Windows 8.1 für die 8MAN Benutzeroberflächen Mit Version 5.5 unterstützt 8MAN Microsoft Windows Server 2012 R2 und Windows 8.1 für die 8MAN Benutzeroberflächen. Weitere Informationen finden Sie im Dokument „8MAN Systemanforderungen“.
2.2.6 Neu: Installation des Kollektors nur mit Microsoft Windows Installer (MSI) und Beendung des automatischen Kollektor-Updates für Microsoft Windows Server 2008 R2 Core Mit Version 5.5 ist eine Installation des Kollektors nur mit Microsoft Windows Installer (MSI) auf Microsoft Windows Server 2008 R2 Core möglich. Des Weiteren ist das automatische Kollektor-Update für Microsoft Windows Server 2008 R2 Core beendet. Weitere Informationen finden Sie im Dokument „8MAN Systemanforderungen“. Wenn das bei Ihnen zu Problemen führt, setzen Sie sich bitte mit unserem Support-Team in Verbindung (siehe Seite 2).
Access Rights Management. Only much Smarter.
www.8man.com
7
2.3 Erweitert: 8MAN Setup überarbeitet Mit Version 5.5 wurde das 8MAN Setup umfassend überarbeitet:
Weitere Informationen finden Sie im Dokument „8MAN Installation und Konfiguration Handbuch 5.5 de-DE“.
Access Rights Management. Only much Smarter.
www.8man.com
8
2.4 Neu: Berechtigungsdifferenz-Report erstellen (direkte und indirekte Berechtigungsänderungen auf Fileservern) Mit Version 5.5 können Sie einen Differenz-Report erstellen, um alle direkten und indirekten (über Gruppenmitgliedschaften) Berechtigungsänderungen auf Verzeichnissen zu dokumentieren. Sie können zusätzlich einen zeitgesteuerten Ausführungsplan konfigurieren, um regelmäßig alle Berechtigungsänderungen auf dem Fileserver zu erfassen.
Voraussetzungen
8MAN Enterprise, visor DO, visor oder mini Lizenz Domänen- und Fileserverscan vorhanden Optional: eingeschaltete zeitgesteuerte Reporte-Funktion (8MAN Konfiguration → Benutzerverwaltung → Erweiterte Benutzerverwaltung; nur von 8MAN Administratoren einschaltbar):
Einschränkungen:
Report nicht für komplette Server möglich, nur Freigabe- und Verzeichnisse auswählbar
Hinweis
Bei aktivierter „Scan-Archiv aktivieren…“ und „Automatische Löschen…“ Option kann das Starten des Reportes länger dauern (abhängig von Anzahl und Größe der Scandaten):
Aufruf
8MAN Startseite:
Access Rights Management. Only much Smarter.
www.8man.com
9
In der 8MAN Account-Ansicht rechts oben:
In der 8MAN Ressourcen-Ansicht rechts oben (Voraussetzung: gewählte Fileserver-Ressource):
In der 8MAN Scan-Vergleich-Ansicht rechts oben:
Dialog
Access Rights Management. Only much Smarter.
www.8man.com
10
Für die Auswahl des Vergleichszeitraumes gibt es einen eigenen Dialog:
Wenn Sie auf „Start“ klicken, wird für die ausgewählten Ressourcen ein Report über die geänderten Zugriffsmöglichkeiten (Fileserver) im ausgewählten Format (CSV oder PDF) erstellt und anschließend können Sie den Report anzeigen, speichern oder per E-Mail versenden (Voraussetzung E-Mail: 8MAN Konfiguration → Server → E-Mail → Option „Senden von E-Mails“ aktiviert).
Zusätzlich können Sie den Report in der Report Übersicht im „Berechtigungsdifferenz-Report“-Bereich finden (Statuszeile → Report-Übersicht
):
2.5 Neu: Zusätzliche Rollen und Funktionen in der Benutzerverwaltung einstellen Mit Version 5.5 können Sie zusätzliche Rollen und Funktionen in der Benutzerverwaltung einstellen. Es ist jetzt möglich 2 Administrator-Rollen und 5 Rollen für Benutzer die Ändern können (bisher Data Owner Rollen) zu verwalten. Benutzer können explizit ausgesperrt werden. Zudem wurden die an die Rollen gebundenen Funktionen mehr differenziert und geordnet. Es ist nun möglich die Änderungsmöglichkeiten im Active Directory genau auf definierte Rollen zu verteilen.
Voraussetzungen
8MAN Enterprise, 8MAN Visor DO bzw. 8MAN Mini Das Benutzermanagement steht nur 8MAN Administratoren zur Verfügung
Access Rights Management. Only much Smarter.
www.8man.com
11
2.5.1 Rollen einstellen Ein Benutzer kann durch verschiedene Gruppenmitgliedschaften in 8MAN unterschiedlich berechtigt sein. Dadurch ergeben sich ggf. verschiedene Rollen. Für den Benutzer gilt dann die höchste Rolle (am weitesten links) und nicht die Summe der Rechte aus den verschiedenen Rollen. Weiterhin gilt ein gesetztes „Kein Zugriff“ immer. Benutzer oder ganze Gruppen können somit vom 8MAN ausgeschlossen werden. Die zweite Administratorrolle kann durch die erweiterten Funktionen eingeschränkt werden, sie kann allerdings nicht selbst das Benutzermanagement öffnen und somit auch nicht die erweiterten Funktionen verändern.
2.5.2 Funktionen einstellen Die Active Directory Ändern Funktionen in den erweiterten Funktionen des Benutzermanagements wurden aufgeteilt. Die Funktionen lassen sich jetzt einzeln bestimmten Rollen zuordnen. Zudem haben Sie die Möglichkeit die einzelnen Rollen umzubenennen:
Zusätzlich kann hier definiert werden, welche Benutzerrolle mit dem vereinfachten Berechtigungsmanagement arbeiten darf. Mehr Informationen hierzu finden Sie unter Neu: Einfacher die Berechtigungen ändern.
2.6 Neu: „Wo haben Benutzer/Gruppen Zugriff?“ Report für SharePoint erstellen Mit Version 5.5 können Sie einen „Wo haben Benutzer/Gruppen Zugriff?“ Report für SharePoint erstellen. Dieser Report enthält alle Berechtigungen einer oder mehreren Konten auf einer oder mehrerer Ressourcen auf Ihrem SharePoint.
Voraussetzungen
SharePoint Lizenz
SharePoint-Scan vorhanden
optional: eingeschaltete zeitgesteuerte Reporte-Funktion (8MAN Konfiguration → Benutzerverwaltung →
Access Rights Management. Only much Smarter.
www.8man.com
12
Erweiterte Benutzerverwaltung; nur von 8MAN Administratoren einschaltbar):
Aufruf
8MAN Startseite:
In der 8MAN Ressourcen-Ansicht rechts oben (Voraussetzung: gewählte SharePoint Ressource):
In der 8MAN Account-Ansicht rechts oben:
Einschränkungen
→ Option kann nur für einen Benutzer/Gruppe ausgeführt werden.
Access Rights Management. Only much Smarter.
www.8man.com
13
Dialog
Wenn Sie auf „Start“ klicken, wird für die ausgewählten Ressourcen ein Report über Zugriffsmöglichkeiten (SharePoint) im ausgewählten Format (XLS oder PDF) erstellt und anschließend können Sie den Report anzeigen, speichern oder per E-Mail versenden (Voraussetzung E-Mail: 8MAN Konfiguration → Server → E-Mail → Option „Senden von E-Mails“ aktiviert).
Nachdem Sie den Dialog geschlossen haben, können Sie den Report in der Report Übersicht im „Wo haben Benutzer/Gruppen Zugriff?“-Bereich öffnen (Statuszeile → Report-Übersicht
Access Rights Management. Only much Smarter.
):
www.8man.com
14
2.7 Erweitert: „Wo haben Benutzer/Gruppen Zugriff?“ Report für Fileserver mit überarbeiteten Konfigurations-Dialog Mit Version 5.5 gibt es einen überarbeiteten Dialog für den „Wo haben Benutzer/Gruppen Zugriff?“ Report für Fileserver. Der Dialog ist identisch mit dem Dialog für den „Wo haben Benutzer/Gruppen Zugriff?“ Report für SharePoint. Um einen „Wo haben Benutzer/Gruppen Zugriff?“ Report für Fileserver zu erstellen wählen Sie eine Fileserver-Ressource aus:
Alle weiteren Informationen zu den Einstellungen finden Sie im Kapitel „Neu: „Wo haben Benutzer/Gruppen Zugriff?“ Report für SharePoint“. Erweiterung für Freigabe-Rechte Als Mehrwert zu dem früheren XPS-Report „Wo haben Benutzer/Gruppen Zugriff?“ bieten wir nun auch die Anzeige von „Freigabe-Rechten“ an. Falls ein Freigabe-Recht vorhanden ist, aber keine NTFS-Berechtigung dahinter, wird darauf hingewiesen.
Access Rights Management. Only much Smarter.
www.8man.com
15
Hinweis Bereits in der Reportübersicht vorhandene „Wo haben Benutzer Gruppen Zugriff“ Reporte für Fileserver sind weiterhin in der Reportübersicht verfügbar. Zeitgesteuerte Reportkonfigurationen von diesem Reporttyp werden automatisch in das PDF (vorher XPS) und XLS (vorher CSV) Format übernommen. Das alte Format XPS wird für diesen Reporttyp nicht mehr unterstützt.
2.8 Neu: Active Directory Objekte innerhalb einer Domäne verschieben Mit Version 5.5 können Sie Active Directory Objekte innerhalb einer Domäne verschieben. Zu den verschiebbaren Objekttypen gehören hierbei Organisationseinheiten, Container, Benutzerkonten, Gruppen, Computer und Kontakte sofern der zur Durchführung der Änderung verwendete Account entsprechende Berechtigungen im Active Directory besitzt. Von Windows vorinstallierte Objekte lassen sich nicht verschieben. Für bestimmte Systemelemente (wie z. B. Builtin-DomänenContainer) wird der Verschieben-Dialog daher gar nicht erst angeboten.
Voraussetzungen
8MAN Enterprise oder mini Lizenz Anmeldung als 8MAN Administrator Domänenscan vorhanden
Einschränkungen
Objekte sind nur innerhalb der ausgewählten Domäne verschiebbar – kein domänenübergreifendes Verschieben möglich
Externe nicht-vertrauenswürdigen Domänen werden zurzeit nicht unterstützt
Aufruf
Möglichkeit 1: Mehrfachauswahl Kontextmenü „Objekt verschieben“ / “Objekte verschieben“
Auswahl mehrerer Objekte möglich
keine Organisationseinheiten oder Container auswählbar
Access Rights Management. Only much Smarter.
www.8man.com
16
Möglichkeit 2: 8MAN Ressourcenansicht Kontextmenü „Objekt verschieben“
Organisationseinheiten und Container sind auswählbar
Nur Auswahl eines Elements ist möglich – jedoch können Organisationseinheiten und Container anschließend in ihre Unterelemente aufgelöst werden
Nach dem Aufruf des Menü-Eintrags „Objekt verschieben“ öffnet sich der Dialog „Objekte verschieben“:
Access Rights Management. Only much Smarter.
www.8man.com
17
Organisationseinheiten und Container können über das Kontextmenü in ihre Unterelemente aufgelöst werden:
Das ausgewählte Element wird dann aus der Liste entfernt und seine Unterelemente hinzugefügt:
Access Rights Management. Only much Smarter.
www.8man.com
18
Über das Kontextmenü lassen sich beliebige Elemente auch wieder aus der Liste entfernen. Sie werden dann nicht verschoben. Die Auswahl des Zielpfades erfolgt über den entsprechenden Link. Es erscheint der bekannte Auswahldialog für Organisationseinheiten und Container:
Der ausgewählte Zielpfad wird für jedes Element in der Liste auf Plausibilität und Gültigkeit überprüft. Es wird z. B. eine Warnung für jedes Element ausgegeben, wenn dieses oder ein gleichnamiges Element am Zielort bereits existiert, Quellund Zielpfad identisch sind oder eine Organisationseinheit in eine ihrer eigenen Untereinheiten verschoben wird:
Sie können den Verschiebevorgang nur anstoßen, wenn keine Warnung angezeigt wird. Falls ein einzelnes Element nicht verschoben werden kann, entfernen Sie bitte dieses aus der Liste oder ändern Sie den Zielpfad.
2.9 Neu: Einfacher die Berechtigungen ändern Mit Version 5.5 können Sie mit einem vereinfachten Berechtigungsmanagement arbeiten und Berechtigungen ändern.
Voraussetzung
8MAN Enterprise oder 8MAN Mini Lizenz
Access Rights Management. Only much Smarter.
www.8man.com
19
vorhandene Group Wizard Konfiguration MIT aktiviertem Group Wizard (8MAN Konfiguration → Ändern → Technologie auswählen; nur von 8MAN Administratoren einschaltbar) eingeschaltete Vereinfachtes-Berechtigungsmanagement-Funktion (8MAN Konfiguration → Benutzerverwaltung → Erweiterte Benutzerverwaltung; nur von 8MAN Administratoren einschaltbar):
Ansicht
Berechtigungen können bei Aktivierung nur noch auf den konfigurierten Berechtigungskategorien vorgenommen werden. Zudem wird die Benutzung des Group Wizard erzwungen und die Gruppennamen können nicht geändert werden. Der Benutzer sieht nur noch die für ihn relevanten Anteile der Berechtigungen, alles andere wird ausgeblendet. Er kann die Änderung mit einem Kommentar bestätigen. Weiterhin wird keine Vorberechnung der zukünftigen Berechtigungslage vorgenommen und die Änderung direkt ausgeführt. Wenn keine Anmeldung für die Änderungen hinterlegt ist, wird der Benutzer trotzdem danach gefragt.
Access Rights Management. Only much Smarter.
www.8man.com
20
2.10 Neu: Automatische Synchronisation der außerhalb von 8MAN neu erstellten Benutzer (Active Directory) Mit Version 5.5 können Sie eine automatische Synchronisation der außerhalb von 8MAN neu erstellten Benutzer (Active Directory) einstellen. Sollten Sie Interesse an dieser Funktionalität haben, setzen Sie sich bitte mit unserem Support-Team in Verbindung (siehe Seite 2).
2.11 Neu: Ressourcen-Ansicht: AD Berechtigungen überarbeitet Die AD Berechtigungen werden ab der Version 5.5 in Berechtigungskategorien zusammengefasst. Alle Berechtigungen, die nicht in die vorgegebenen Kategorien fallen, werden unter „Spezielle Rechte“ aufgeführt. Eine genaue Übersicht über die Kategorien inklusive Konfiguration im AD ist im Anhang I: Übersicht Zugriffsberechtigungen verfügbar.
2.11.1 Bisherige Ansichten Zeigt Berechtigungskategorien sortiert nach Standardkategorien. Alle anderen Kategorien wurden nicht sortiert und zusammengefasst, aber als Spalten hinzugefügt.
Bisherige Zugriffspfade-Ansicht:
Access Rights Management. Only much Smarter.
www.8man.com
21
2.11.2 Neu strukturierte AD-Berechtigungen in der Berechtigungslistenansicht und Zugriffspfade
Neue Berechtigungspfade mit Rekursionskennzeichnung:
Neu strukturierte AD-Berechtigungen in der Nutzerlistenansicht:
Access Rights Management. Only much Smarter.
www.8man.com
22
Hinweistext für Spezielle Rechte:
2.11.3 Berechtigungseinträge für die Kategorie „Spezielle Rechte“ Mit einem Klick auf die Anzahl der „speziellen Rechte“ öffnet sich eine Übersicht über die einzelnen Berechtigungseinträge (ACEs), welche der Nutzer besitzt und die nicht in die anderen Kategorien fallen:
Access Rights Management. Only much Smarter.
www.8man.com
23
2.12 Verschoben: Autorisierungskonfiguration verschoben nach Ändern-Konfiguration Die Konfiguration zur Autorisierung wurde verschoben in das Ändern-Dashboard. Sie finden aber einen Link in der Serverkonfiguration, um direkt zur neuen Autorisierungskonfiguration zu navigieren.
Das Ändern-Konfigurations-Dashboard enthält eine neue Option für die Autorisierung:
→ Konfigurationsansicht:
Im Modus „Deaktiviert“ können nur solche 8MAN Benutzer Änderungen durchführen, wenn diese über die Benutzerverwaltung für Änderungsfunktionen konfiguriert wurden. Die Option “Administrator-Genehmigung“ bedeutet, dass Änderungen durch die Data Owner nur beantragt werden können und die 8MAN-Administratoren die Anfragen genehmigen oder ablehnen können.
2.13 Erweitert: Unterstützung mehrerer FS Logga für NetApp pro 8MAN Kollektor Mit Version 5.5 ist die Beschränkung auf einen FS Logga für NetApp Fileserver pro Kollektor aufgehoben und Sie können mehrere NetApp Fileserver Logga pro Kollektor überwachen.
Access Rights Management. Only much Smarter.
www.8man.com
24
Hinweis Wir empfehlen maximal 5 NetApp Fileserver Logga pro Kollektor zu überwachen.
Weitere Informationen finden Sie im Dokument „8MATE FS Logga Handbuch“.
2.14 Erweitert: Setup FS Logga überarbeitet Mit der Überarbeitung des 8MAN Setup (siehe Kap. 2.3 Erweitert: 8MAN Setup überarbeitet) haben sich auch Änderungen für das Logga Setup ergeben. Weitere Informationen finden Sie im Dokument „8MATE FS Logga Handbuch Kap. Installation“.
2.15 Erweitert: Active Directory Ereignisse mit dem AD Logga filtern Mit Version 5.5 sind die Möglichkeiten der Filterung von unerwünschten Ereignissen wesentlich vereinfacht und erweitert worden. Die Konfiguration des Filters erfolgt jetzt über die 8MAN Konfiguration und ist für jede Domäne getrennt einstellbar.
Neben der bisher möglichen Ereignisfilterung über Objektklassen kann jetzt zusätzlich über die Auswahl von EreignisAutoren (getrennt nach Benutzer, Gruppen und Computer) und Attributen die Datenmenge reduziert werden.
Access Rights Management. Only much Smarter.
www.8man.com
25
Weitere Informationen finden Sie im Dokument „8MATE AD Logga Handbuch“.
2.16 Neu: Anzeige der AD Logga Konfigurationsänderungen im 8MAN Logbuch Mit Version 5.5 müssen alle Änderungen an der AD Logga Konfiguration als auch das Ein- und Ausschalten des AD Logga mit einem Kommentar bestätigt werden. Dieser Kommentar und die vorgenommenen Änderungen werden im 8MAN Logbuch gespeichert und sind in der 8MAN Logbuch Ansicht abrufbar:
2.17 Erweitert: Zusätzliche Optionen in der Exchange ScanKonfiguration einstellen 2.17.1 HTTPS Verbindung zwischen dem Scanner für Exchange Server 2010/2013 und den Internet Information Services Server (IIS Server) einstellen Mit Version 5.5 können Sie eine HTTPS Verbindung zwischen dem Exchange Server und den Internet Information Services Server (IIS Server) einstellen. Weitere Informationen finden Sie im Dokument „8MATE for Exchange Handbuch“ Kapitel „Zusatzeinstellungen in der Scankonfiguration in Exchange 2010/2013“.
2.17.2 Postfach-Typen beim Scannen filtern Mit Version 5.5 können Sie Postfach-Typen beim Scannen filtern. Weitere Informationen finden Sie im Dokument „8MATE for Exchange Handbuch“ Kapitel „Scanoptionen Exchange“.
Access Rights Management. Only much Smarter.
www.8man.com
26
2.17.3 „Wo haben Benutzer/Gruppen Zugriff?“ Szenario mit Unterstützung von Weiterleitungen, Stellvertretungen und Senden im Auftrag von Rechten Mit Version 5.5 werden im „Wo haben Benutzer/Gruppen Zugriff?“ Szenario Weiterleitungen, Stellvertretungen und SendOn-Behalf-Rechte unterstützt. Weitere Informationen finden Sie im Dokument „8MATE for Exchange Handbuch“ Kapitel „„Wo haben Benutzer/Gruppen Zugriff?“ Szenario“.
2.18 Erweitert: OU Report im CSV-Format mit Spalten für Attribute Mit Version 5.5 werden die zusätzlichen Attribute im CSV-Format nicht mehr in separaten Zeilen, sondern in zusätzlichen Spalten ausgegeben. Damit wird ein Filtern der Daten z.B. mit einem Tabellenkalkulationsprogramm wesentlich vereinfacht. Auswahl der zusätzlichen Attribute:
Ergebnis des Reports (CSV-Format):
Access Rights Management. Only much Smarter.
www.8man.com
27
2.19 Erweitert: AD Attribute Kennwortoptionen nachträglich ändern Mit Version 5.5 können Sie jetzt nun nachträglich die Kennwortoptionen eines Benutzerkontos ändern. Hierfür können sie überall wo sie auf Benutzerkonten treffen über das Kontextmenü den Eintrag auswählen. Im nun erscheinenden Dialog können sie ihre gewünschte(n) Option(en) auswählen und die Änderung durchführen:
2.20 Erweitert: FS Ressourcen Ansicht überarbeitet 2.20.1 Sid-Historie zeigt im Hinweistext die Sids an Bei erkannten Accounts mit einer SID-Historie werden jetzt im Hinweistext alle SIDs aufgelistet, die zu diesem Account zugehörig sind.
2.20.2 Freigabe-Information wird im eigenen Bereich angezeigt Die Informationen zu den Freigaben werden jetzt in einem eigenen Bereich oberhalb des Zugriffsberechtigungsbereichs angezeigt.
Access Rights Management. Only much Smarter.
www.8man.com
28
2.20.3 Berechtigungsänderungs-Bereich zeigt eine Zusammenfassung der Änderungen in einer Liste an Bei der Anzeige der Berechtigungsänderungen für Fileserver wurden jetzt die 3 einzelnen Bereiche (aktuelle, hinzugefügte und entfernte Berechtigunge) zusammengefasst in einer Liste. Hinweis Bitte beachten Sie, dass die Anzahl der Einträge in der Liste der abweichenden Berechtigungen links unten nicht immer mit der Anzahl der Einträge in der Liste der Berechtigungsänderungen rechts übereinstimmen muss:
Es wurden 5 Accounts als effektive Berechtigungen hinzugefügt im Vergleich zum übergeordneten Verzeichnis. In der Detailliste findet man in diesem Beispiel 6 mal ein Benutzer) mehrere Berechtigungen gefunden wurden.
Für entfernte Berechtigungseinträge werden in der Detailliste 7 Administratorengruppe mehrere Berechtigungen entfernt wurden.
Access Rights Management. Only much Smarter.
, da für den gleichen Account (hier
Einträge angezeigt, da hier z.B. für die
www.8man.com
29
2.21 Erweitert: Data Owner Konfiguration für Group Wizard Die Group Wizard Konfiguration für einzelne Organisationskategorien wurde aus der direkten Ansicht der Organisation entfernt. Sie ist nun über eine extra Schaltfläche erreichbar. Wenn Sie keine Einstellungen für den Group Wizard vorgenommen haben, dann wird automatisch die Schaltfläche grau angezeigt, sie ist aber weiterhin benutzbar:
Über den Hinweistext sehen Sie eine Zusammenfassung der Einstellungen:
Nach Betätigen der Schaltfläche öffnet sich der Dialog zum Ändern der Group Wizard Einstellungen:
2.22 Erweitert: “Corporate ID Branding” für Reporte konfigurierbar Mit Version 5.5 ist es möglich Reporte durch eigene Style-Definitionen zu individualisieren. Sollten Sie Interesse an dieser Funktionalität haben, setzen Sie sich bitte mit unserem Support-Team in Verbindung (siehe Seite 2). Diese Individualisierbarkeit ist für alle Reporte im PDF-Format möglich. Im Detail sind dies:
Access Rights Management. Only much Smarter.
www.8man.com
30
-
OU Mitglieder und Gruppenzugehörigkeiten
-
Konto-Details
-
Wo hat ein Benutzer/Gruppe Zugriff
-
Wer hat wo Zugriff? (für Exchange und SharePoint)
-
Berechtigungsdifferenz-Report
Nachfolgend sehen Sie eine mögliche Verwendung eines eigenen Logos in einem PDF-Report:
2.23 Erweitert: Anzeige der Szenario-Konfiguration überarbeitet Mit Version 5.5 wurde die Anzeige der Szenario-Konfiguration überarbeitet:
Bei Aktivierung „Nur direkte Einträge“ sind alle anderen gesperrt, wobei „NTFS (ohne Share-Rechte)“ aktiviert und alles andere deaktiviert ist. Bei Deaktivierung „Nur direkte Einträge“ sind verschiedene Kombinationen möglich.
Diese Einstellungen können Sie auch beim Aufruf des Szenarios (von der Startseite) einstellen:
Access Rights Management. Only much Smarter.
www.8man.com
31
2.24 Erweitert: Report-Einstellung wiederverwenden Mit Version 5.5 ist es möglich eine eingestellte Report-Konfiguration wieder zu verwenden. Dazu wurde ein neues Symbol (sichtbar nach Erstellung eines Reports) erstellt:
2.25 Erweitert: Vorhandene Reportkonfigurationen beim Import löschen Mit Version 5.5 können Sie vorhandene Reportkonfigurationen beim Import löschen:
2.26 Erweitert: Gruppenmitgliedschaften für neu zu erstellende Benutzer auswählen (bisher: Gruppen-Templates) Mit Version 5.5 können Sie bei der Benutzererstellung beliebige Gruppenmitgliedschaften angeben, in die der neue Account automatisch hinzugefügt werden soll. Der Dialog „Erzeuge neuen Benutzer“ bietet hierfür die gleichen Funktionen, wie sie bereits aus dem „Mitgliedschaften ändern“ Dialog bekannt sind:
Funktionen Gruppen-Template laden Bietet Ihnen eine Auswahl der installierten Gruppen-Templates und fügt die Gruppennamen des ausgewählten Templates der Liste unter „Gruppenmitgliedschaften“ hinzu. Aus Zwischenablage einfügen
Access Rights Management. Only much Smarter.
www.8man.com
32
Fügt den Inhalt der Zwischenablage der Liste unter „Gruppenmitgliedschaften“ hinzu. Liste leeren Löscht alle eingetragenen Gruppen aus der Liste unter „Gruppenmitgliedschaften“. Suche nach Gruppen Suchen Sie nach beliebigen Gruppen und fügen Sie die gewünschte durch Klick auf das Suchergebnis der Liste unter „Gruppenmitgliedschaften“ hinzu.
Überprüfung Alle eingetragenen Gruppennamen werden im Active Directory gesucht und je nach Ergebnis unterschiedlich gekennzeichnet: Suche
Ergebnis
Im obigen Beispiel erzielte die Suche für den Namen „Tierfreunde“ ein eindeutiges Ergebnis. Der zweite Eintrag „Diese Gruppe gibts nicht“ wurde nicht gefunden. Er bleibt bei der Benutzererstellung unberücksichtigt Der Begriff „den“ erzielte mehrere Ergebnisse, die durch das Auswahldreieck auf der rechten Seite angezeigt werden. Wird hierbei kein anderes Ergebnis ausgewählt, wird der angezeigte Vorschlag – im Beispiel „Bedenkliche Gruppe“ verwendet.
3 Bekannte Probleme Die Version 5.5.127 beinhaltet die folgenden bekannten Probleme: Nummer
Problem
18449
GrantMA: Nach dem Schließen des Browserfensters ohne vorheriges Logout durch den Benutzer wird die Session noch 10 Minuten weiter geführt. Eine erneute Anmeldung ist erst nach diesem Zeitraum wieder möglich.
18297
Das Benutzen der AD-Scanoption „Erzeuge einen Platzhalter für das direkt verknüpfte Objekt in der fremden Domäne“ sollte nicht mehr benutzt werden. Beim Scan werden solche Objekte als „Foreign“ interpretiert und nicht explizit als Platzhalter–Objekte dargestellt. Das kann zur Verwirrung und Updateproblemen führen, da dieses Objekt auch keine SID enthält.
18295
Scanvergleichs-Ansicht: Es kann nicht differenziert werden, ob SharePoint-Änderungen mit 8MAN durchgeführt wurden. Im 8MAN-Logbuch sind die SharePoint-Änderungen, die mit 8MAN ausgeführt wurden, zu finden.
18225
Das Verschieben von Active Directory Objekten ist nicht in externen nicht-vertrauenswürdigen Domänen möglich
Access Rights Management. Only much Smarter.
www.8man.com
33
15095
Beim Import von Scan- und Reportkonfigurationen werden lokale Zeiten verwendet.
15092
Wenn eine Admin-Freigabe ($ Share) auch als normale Freigabe eingetragen wurde, dann kommt es zu Problemen bei der Zuordnung bzw. Anzeige der Freigabe-Berechtigungen.
14923
Bei erzeugten Berechtigungsreporten für Fileserver in der Reportübersicht werden in bestimmten Fällen die Scanzeiten falsch umgerechnet. Dies tritt auf, wenn der 8MAN Server und die 8MAN Benutzeroberfläche in unterschiedlichen Zeitzonen arbeiten.
9626
In einigen Umgebungskonstellationen stürzt der Microsoft Service Control Manager (SCM) in der Startphase ohne weitere Meldungen ab.
9442
Die Fehlermeldung: "To ensure a consistent system state, the 8MAN Server service will shut down now.” Bei einem Verlust der SQL Verbindung zwischen 8MAN Server und SQL Server kommt es zu einem 8MAN Server Neustart.
9298
Neuer Win8 Kernel ändert Verarbeitungsablauf und Reihenfolge von IRP Paketen, falsche Interpretation der getätigten Dateiänderungen. Das hat Auswirkungen auf die FS Logga Reporte, diese können u.U. eine Dateiverschiebung nicht erkennen, bzw. die Dateiaktionen werden einzeln aufgelistet.
8864
Nach dem Löschen eines Domänenkontos werden dessen ACE-Referenzen im SharePoint nicht automatisch entfernt
8705
Die Erstellung von Filesystem Logga Reports kann je nach Datenaufkommen und gewähltem Zeitraum durchaus im Stundenbereich liegen. Die Einschränkung des Zeitfensters oder eine eingeschränkte Pfadauswahl kann dazu beitragen, dass der Verarbeitungszeitraum kleiner wird. Für 1600 Seiten werden ca. 5 Minuten Verarbeitungszeit angesetzt.
8694
Falls bei einem Exchange Scan ein Fehler aufgetreten ist, dann werden derzeit die Scanprobleme nicht mit erfasst bzw. nicht in der Ressourcen Ansicht angezeigt.
8687
In der Ressourcen Ansicht werden auf der rechten Seite im Berechtigungsbaum u.a. die Trusted Installer Mitglieder nicht aufgelöst.
8686
vSphere Datenstände werden nicht automatisch gelöscht, wenn man den Datenstand mit der Scankonfiguration löscht.
8669
Kerberos Token Size fehlt in der Liste der Benutzer-LDAP-Attribute in der Accounts View, in der Multiselection-Ansicht ist der Eintrag vorhanden.
7456
Scan-Vergleich: Organisationseinheiten werden zurzeit nicht aufgelöst.
6526
Der CSV-Report für geänderte Pfade zeigt keine hinzugefügten oder entfernten Benutzer an, wenn man vorher die rechte Seite (Benutzer-Berechtigungs-Ansicht) nicht mindestens einmal aufgeklappt hat.
6447
Der Versuch, einen FS Logga-Report zu erstellen, noch bevor die ersten Daten (Standard-Zeitintervall ist 10 Minuten) geliefert wurden, wird mit einer unbestimmten Fehlermeldung quittiert anstatt auf das konkrete Problem hinzuweisen. Zudem ist der angegebene Report-Zeitraum ungültig. Workaround: FS Logga-Reports frühestens 10 Minuten nach der entsprechenden Report-Konfigurationsänderung starten.
5708
Verzeichnisrechte ändern im Aufräummodus: Es wird nicht bei allen Accounts (z.B. SYSTEM) in der Vorschau angezeigt, dass diese unberücksichtigt bleiben, da sie in der Blacklist enthalten sind.
3474
Beim Scannen eines DFS werden die lokalen Benutzer und Gruppen der dahinter benutzen File Server nicht ausgelesen. Dadurch werden lokale Gruppen und lokale User nicht aufgelöst, wenn Sie direkt auf den Verzeichnissen Berechtigt sind. Bspw. haben Administratoren ja oft Domain Administratoren in der lokalen Gruppe als Mitglieder - diese würden dann nicht dargestellt.
3364
Wenn das letzte Mitglied einer 8MAN Gruppe ein temporäres Mitglied ist, wird die Gruppe nicht von 8MAN nach dem Entfernen des letzten Mitgliedes gelöscht.
Access Rights Management. Only much Smarter.
www.8man.com
34
Access Rights Management. Only much Smarter.
www.8man.com
35
4 How To 4.1 Update der Kollektoren Nach der Installation des 8MAN Servers mit der Version 3.0.xx werden alle konfigurierten und laufenden 8MAN Kollektoren ab der Version 2.1.xx automatisch auf die neue Version aktualisiert. Der Aktualisierungsvorgang erfolgt innerhalb weniger Minuten nach Abschluss der Serverinstallation. In einigen Fällen kann die Aktualisierung bis zu 30 Minuten in Anspruch nehmen. Wenn innerhalb dieses Zeitraumes keine Aktualisierung stattgefunden hat, sollte diese manuell vorgenommen werden. Hinweis zum Logga-Kollektor: Kollektoren der Versionen kleiner als 4.4.x können nicht automatisch auf eine Version 4.4.x oder höher aktualisiert werden. In diesen Fällen muss der Logga-Kollektor installiert werden. Bitte beachten Sie auch, dass, falls sie mehrere 8MAN Server an einem Kollektor betreiben, alle 8MAN Server die gleiche Version haben müssen, da ansonsten die 8MAN Server konkurrierend immer den Kollektor updaten werden. Dieser Zustand kann nur noch durch eine Neuinstallation behoben werden. Die erfolgreiche Aktualisierung wird in der Datei updates.log protokolliert. Diese Datei ist im „Log“-Verzeichnis auf dem Kollektor-Host zu finden. Abhängig von der Systemsprache und der Windowsversion befinden sich alle Log-Dateien in einem der folgenden Verzeichnisse: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\log English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\log Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\log
Ältere 8MAN Kollektoren vor der Version 2.1.xx besitzen noch nicht die Funktionalität der automatischen Versionsaktualisierung und müssen manuell installiert werden.
4.2 Auf einem Windows 2003 Server File Server beträgt die Prozessorlast bis zu 100% verursacht durch wmiprvse.exe (WMI) Der File Server wird sehr langsam und reagiert kaum noch. Das Verhalten ist im Knowledge Base Artikel http://support.microsoft.com/kb/933593/de von Microsoft beschrieben. Der dort beschriebene Workaround ist ein Hotfix, den wir erfolgreich getestet haben. Um die Last wieder zu normalisieren muss der Hotfix installiert werden, der die tägliche Arbeit eines File Servers nicht beeinträchtigt.
Access Rights Management. Only much Smarter.
www.8man.com
36
4.3 Auslesen von EMC Celera File Server Wenn auf einem sogenannten Admin „C$“ Share die Backup Snapshots gespeichert werden, muss dieser Share in eine Exclude Liste eingetragen werden, so dass wirklich nur noch die „reinen“ Shares ausgelesen werden. 1.
Stoppen Sie den Service 8MAN - Service
2.
Öffnen Sie die Datei mit einem Texteditor: \etc\pnServer.config.xml
3.
Ändern Sie in der Datei die folgenden Einträge im Abschnitt: C$
4.
Starten Sie den Service 8MAN – Service
4.4 Einstellung von Wiederholungsversuchen bei Setzen der Berechtigungen auf den File Servern In seltenen Fällen kommt es vor, dass neu erzeugte 8MAN Gruppen nicht sofort auf den File Servern zur Verfügung stehen. (Berechtigungsgruppe in der Verzeichnis Sicherheit (ACL)). Dieses Verhalten haben wir u.a. bei verschiedenen EMC Modellen im Mixed Mode Betrieb festgestellt. Die Ursache liegt vermutlich an einem zeitversetzen Informieren der File Server. 8MAN bietet einen Workaround an. Man kann Wiederholungen von bestimmten Aktionen mit Hilfe von Zusatzparametern in der pnJob.config.xml einstellen. Wir empfehlen dringend, die Datei im Bereich der User Settings zu ändern bzw. wenn nicht vorhanden neu anzulegen, um den Verlust nach einem Program-Update zu verhindern. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn diese Datei nicht vorhanden ist, können sie die originale Datei aus dem Installationsverzeichnis kopieren. Dieses befindet sich standardmäßig im: „C:\Programme\ protected-networks.com\8MAN\etc“ oder im Englischen OS „C:\Program Files\ protected-networks.com\8MAN\etc“.
Anschließend öffnen sie die Datei pnJobs.config.xml und ändern folgende Werte: 1 1
Access Rights Management. Only much Smarter.
www.8man.com
37
Beide Werte sind standardmäßig auf 1 eingestellt, was bedeutet, dass 1 mal wiederholt (retryCount) versucht wird, mit einer Wartezeit von 1 Sekunde (retryValue), die neue SID zu ermitteln. Wir empfehlen grundsätzlich erst einmal den Anzahl der Wiederholungen zu erhöhen. Nur wenn das nicht funktioniert, kann zusätzlich auch die Wartezeit verlängert werden. Außerdem sollte versucht werden herauszufinden, warum die neuen Gruppen nicht sofort zur Verfügung stehen, möglicherweise sind spezielle Konfigurationseinstellungen dafür verantwortlich. Wenn der folgende Abschnitt nicht vorhanden sein sollte, kopieren sie die Zeilen von diesem Dokument innerhalb des globalen Abschnittes z.B. : 1 1
4.5 Einstellung von IP Adressen, die 8MAN nicht beachten soll In einigen Fällen kann es notwendig sein, IP Adressen einzustellen, die der 8MAN Server nicht benutzen soll. Beispiel: Es werden Virtuialisierungstools wie Virtuell Box oder VMWare verwendet oder sie haben 2 echte Netzwerkkarten, die unterschiedliche oder gar abgetrennte Subnetze bedienen sollen. Wenn nun auf solchen Computern der 8MAN-Client gestartet wird, dann wird normalerweise auf allen Kommunikationskanälen, also auf allen Netzwerkadressen versucht, eine Verbindung zum 8MAN Server aufzunehmen. Der 8MAN Server selbst versucht wiederum eine aktive Verbindung zum 8MAN-Client herzustellen. Die Rückadresse ist systembedingt eine beliebige IP Adresse, aus denen, die vom Client übermittelt wurden. Das kann dazu führen, dass zum Beispiel der Client auf dem 10.10.10.x Netzwerk den Server anfragt, dieser aber auf den 192.168.x.x antwortet. Die Reihenfolge, wie der Client seine Adressen einpackt, kann nur beeinflusst werden, in dem man an den Netzwerkkarten die Prioritäten verändert oder die automatische Metrik in der IP Einstellung auf 1 abändert. (Siehe Abb.)
Um Systemeinstellungen auf den Rechnern zu vermeiden, kann man im 8MAN Server selbst die IP Adressen auflisten, die er nicht für die Rückantwort verwenden soll. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Öffnen Sie die Datei pnServer.config.xml und ändern Sie den folgenden Abschnitt oder fügen Sie diesen innerhalb des Abschnittes ein.
Access Rights Management. Only much Smarter.
www.8man.com
38
Beispiel: 192.0.0.0;194.162.0.0
192.0.0.0 Filtert alle Adresse die mit 192. beginnen aus. 194.162.0.0 Filtert alle Adresse die mit 192.162. beginnen aus.
4.6 Laden von Kommentaren verhindern In einigen Fällen verzögert das Laden der Logbuchkommentare die Benutzung des 8MAN und es kann ungewohnt lange dauern, bis die Verzeichnispfade in der Resourceansicht angezeigt werden. Um das Laden der Logbuchkommentare zu unterbinden und damit die Resourceansicht zu beschleunigen, kann man die Konfiguration folgendermaßen anpassen. Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. true
Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. true Kommentare werden geladen (Standard). false Kommentare werden nicht geladen Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
Access Rights Management. Only much Smarter.
www.8man.com
39
4.7 Folgen von Symlinks Der Filesystem Scanner kann in seinem Verhalten bezüglich des Verfolgens von Symlinks beeinflußt werden. Die Einstellungen werden in der Datei pnServer.config.xml und pnJobs.config.xml durchgeführt. Die Dateien befinden sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigem Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen / Erweiterungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der globalen Sektion kopiert werden. false
false Folge den Symlinks nicht (Standard) true Folge den Symlinks Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
4.8 Ändern der Maximalanzahl der zu ladenden OUs Die Einstellungen werden in der Datei pnServer.config.xml durchgeführt. Die Datei befindet sich unter: Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Access Rights Management. Only much Smarter.
www.8man.com
40
Sollte die Datei dort nicht zu finden sein, kann sie auch manuell mit folgendem standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion eingefügt werden. 64
64 Die Anzahl*1024 OU Einträge, die maximal gelesen werden Wenn der Wert nicht gesetzt bzw. nicht vorhanden ist, wird die Zahl 8 genommen. Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
4.9 Welche Objekte werden aus dem Active Directory gelesen Der Scanner für das ActiveDirectory verwendet einen Filter auf Objektklassen, um das zu verarbeitende Datenvolumen zu reduzieren ohne relevante Informationen zu verlieren. Folgende Objektklassen werden gelesen:
Benutzer („user“)
Gruppe („group“)
Computer („computer“)
Domäne („domainDNS“)
Organisationseinheit („organizationalUnit“)
Alle Objekte anderer Klassen werden vom Scanner nicht gelesen und während des Scannens in der Job-Übersicht als ausgefiltert angezeigt.
4.10 Modifizieren der internen Blackliste Normalerweise können auf Grund der internen Blackliste folgende Security Identifer nicht aus der DACL entfernt werden: "S-1-3-0" "S-1-5-5-(?.+)" "S-1-5-32-544" "S-1-5-18" "S-1-5-(?.+)-500$"
Ersteller/Besitzer Logon User Session (Sollte niemals aus DACL entfernt werden) Lokale Administratoren Lokales System Domänen Administrator
Die folgenden Einstellungen in den Konfigurationsdateien deaktivieren den Schreibschutz der internen Blackliste und man kann den Inhalt in der Konfigurationsoberfläche ändern. Vorsicht! Die Einstellungen werden in der Datei pnServer.config.xml, pnJobs.config.xml und appConfig.config.xml durchgeführt. Die Dateien befinden sich unter:
Access Rights Management. Only much Smarter.
www.8man.com
41
Deutsch, Windows XP/Windows Server 2003 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\protected-networks.com\8MAN\cfg English, Windows XP/Windows Server 2003 C:\Documents and Settings\All Users\Application Data\protected-networks.com\8MAN\cfg Deutsch/Englisch, Windows Vista/Windows 7/Windows Server 2008 C:\ProgramData\protected-networks.com\8MAN\cfg
Wenn sich die Dateien dort nicht befinden, können sie auch manuell mit folgenden standardmäßigen Inhalt erstellt werden:
Anschließend müssen die folgenden Änderungen/ Erweiterungen durchgeführt werden. Wenn die Einträge nicht vorhanden sind, muss der ganze Abschnitt innerhalb der Sektion kopiert werden. false
true Die interne Blacklist ist schreibgeschützt, d.h. es können keine Einträge entfernt werden. false Die interne Blacklist ist nicht schreibgeschützt, Einträge können beliebig entfernt werden. Die Veränderung der Einstellung wird erst nach Neustart des 8MAN Services wirksam.
4.11 UAC Grundsätzlich empfehlen wir die UAC auszuschalten, sowohl auf dem 8MAN Server als auch auf allen Kollektoren. Folgende Tabelle soll die für den 8MAN Server notwendigen Account-Credentials mit eingeschalteter UAC veranschaulichen. Nur der pnServer kann sowohl als lokaler Administrator, als auch als Domänen User gestartet bzw. eingerichtet werden. Alle anderen Accounts müssen Domänen-Accounts und zusätzlich in der Gruppe der lokalen Administratoren sein.
Lokaler Administrator auf dem 8MAN Server oder Kollektor
Lokaler Benutzer
Domänenbenutzer
pnServer
X
X
X
Fileserver Read
X
-
X
Fileserver Write
X
-
X
AD Read
X
-
X
AD Write
X
-
X
Access Rights Management. Only much Smarter.
www.8man.com
42
4.12 Warum werden bei sogenannten Admin Shares (Freigaben) wie C$, E$ etc. keine Share Berechtigungen angezeigt? Administrative Shares sind Shares, die Windows autark, ohne Eingriffsmöglichkeit von außen, verwaltet. Auf diese Shares dürfen nur Benutzer der lokalen Fileserver Administrator Gruppe zugreifen. Diese Shares besitzen keine „Access Control List“, die man auslesen könnte und daher zeigt 8MAN in diesem Fall auch keine Shareberechtigungen an.
Access Rights Management. Only much Smarter.
www.8man.com
43
Anhang Anhang I: Übersicht Zugriffsberechtigungen Name der Kategorie
Beschreibung
Vollzugriff
Der Benutzer hat vollen Zugriff auf Objekte jeden Typs und jeder Ebene.
Schreiben
Der Benutzer hat schreibenden Zugriff auf Objekte jeden Typs und jeder Ebene.
Lesen
Der Benutzer hat lesenden Zugriff auf Objekte jeden Typs und jeder Ebene.
Access Rights Management. Only much Smarter.
www.8man.com
44
Benutzer verwalten
Der Benutzer hat das Recht Objekte vom Typ User anzulegen und zu löschen. Außerdem hat er Vollzugriff auf untergeordnete Objekte des Typs User.
Gruppe verwalten
Der Benutzer hat das Recht Objekte vom Typ Gruppe anzulegen und zu löschen. Außerdem hat er Vollzugriff auf untergeordnete Objekte des Typs Gruppe.
Access Rights Management. Only much Smarter.
www.8man.com
45
inetOrgPerson verwalten
Der Benutzer hat das Recht Objekte vom Typ inetOrgPerson anzulegen und zu löschen. Außerdem hat er Vollzugriff auf untergeordnete Objekte des Typs inetOrgPerson.
Gruppenmitgliedschaften ändern
Der Benutzer hat das Recht die Mitglieder von untergeordneten Objekten des Typs Gruppe zu lesen und zu schreiben.
Passwörter verwalten
Der Benutzer hat das Recht die Eigenschaften „Benutzer muss Passwort bei der nächsten Anmeldung ändern“ und das Passwort für untergeordnete Objekte des Typs User zu lesen
Access Rights Management. Only much Smarter.
www.8man.com
46
und zu schreiben.
Gruppenrichtlinien verwalten
Der Benutzer hat das Recht die Eigenschaften „GP-Link“ und „GP-Options“ zu lesen und zu schreiben.
Richtlinienergebnissatz (Planung und Protokollierung)
Der Benutzer hat das Recht Richtlinienergebnissätze für Planung und Protokollierung zu erstellen.
Access Rights Management. Only much Smarter.
www.8man.com
47
Anhang II: Software-Lizenzvereinbarungen
Json.net, © 2006-2014 Microsoft, https://json.codeplex.com/license
#ziplib 0.85.5.452, © 2001-2012 IC#Code, http://www.icsharpcode.net/opensource/sharpziplib/
PDFsharp 1.33.2882.0, © 2005-2012 empira Software GmbH, Troisdorf (Germany), http://www.pdfsharp.net/PDFsharp_License.ashx
JetBrains Annotations, ©2007-2012 JetBrains, http://www.apache.org/licenses/LICENSE-2.0
Microsoft Windows Driver Development Kit, © Microsoft, EULA auf dem Computer auf dem der FS Logga für Windows Fileserver installiert ist unter: C:\Program Files\protected-networks.com\8MAN\driver (Verwendung nur für FS Logga für Windows Fileserver)
NetApp Manageability SDK, © 2013 NetApp, https://communities.netapp.com/docs/DOC-1152 (Verwendung nur für FS Logga für NetApp Fileserver)
WPF Shell Integration Library 3.0.50506.1, © 2008 Microsoft Corporation , http://archive.msdn.microsoft.com/WPFShell/Project/License.aspx MSDN CODE GALLERY BINARY LICENSE You are free to install, use, copy and distribute any number of copies of the software, in object code form, provided that you retain: • all copyright, patent, trademark, and attribution notices that are present in the software, • this list of conditions, and • the following disclaimer in the documentation and/or other materials provided with the software. The software is licensed “as-is.” You bear the risk of using it. No express warranties, guarantees or conditions are provided. To the extent permitted under your local laws, the implied warranties of merchantability, fitness for a particular purpose and non-infringement are excluded. This license does not grant you any rights to use any other party’s name, logo, or trademarks. All rights not specifically granted herein are reserved. v061708
WPF Toolkit Library 3.5.50211.1, © Microsoft 2006-2013, http://wpf.codeplex.com/license
Sammy.js, © 2008 Aaron Quint, Quirkey NYC, LLC; https://raw.githubusercontent.com/quirkey/sammy/master/LICENSE Mustache.js, © 2009 Chris Wanstrath (Ruby) and © 2010-2014 Jan Lehnardt (JavaScript), https://github.com/janl/mustache.js/blob/master/LICENSE
jQuery, © 2014 The jQuery Foundation, https://jquery.org/license/
Metro UI CSS 2.0, © 2012-2013 Sergey Pimenov, https://github.com/olton/Metro-UI-CSS/blob/master/LICENSE
LoadingDots, © 2011 John Nelson, http://www.johncoder.com
Underscore.js, © 2009-2014 Jeremy Ashkenas, DocumentCloud and Investigative Reporters & Editors https://github.com/jashkenas/underscore/blob/master/LICENSE
easyModal.js, © 2013 Flavius Matis, https://github.com/flaviusmatis/easyModal.js
jsTimezoneDetect, © 2012 Jon Nylander, project maintained at https://bitbucket.org/pellepim/jstimezonedetect; https://bitbucket.org/pellepim/jstimezonedetect/src/f9e3e30e1e1f53dd27cd0f73eb51a7e7caf7b378/LICENCE.txt ?at=defaultjquery-tablesort
jquery-tablesort, © 2013 Kyle Fox, https://github.com/kylefox/jquery-tablesort
Access Rights Management. Only much Smarter.
www.8man.com
