INSTALLATION UND KONFIGURATION Handbuch - … · 2 Haftungsausschluss Die in diesem Handbuch...
100
INSTALLATION UND KONFIGURATION HANDBUCH Version 5.0
Transcript of INSTALLATION UND KONFIGURATION Handbuch - … · 2 Haftungsausschluss Die in diesem Handbuch...
INSTALLATION UND KONFIGURATION HANDBUCH
Version 5.0
2
Haftungsausschluss
Die in diesem Handbuch gemachten Angaben können sich jederzeit ohne
vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die
beschriebene Software 8MAN wird von protected-networks.com im Rahmen
einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in
Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses
Dokument darf ohne die vorherige schriftliche Erlaubnis von protected-
networks.com weder ganz noch teilweise in irgendeiner Form reproduziert,
übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell
oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website
von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB,
EULA und der Datenschutzerklärung zu sehen.
Urheberrecht
8MAN ist eine geschützte Bezeichnung für ein Programm und die
entsprechenden Dokumente, dessen Urheberrechte bei protected-
networks.com GmbH liegen. Marken und geschäftliche Bezeichnungen sind –
auch ohne besondere Kennzeichnung – Eigentum des jeweiligen
Markeninhabers.
3
Teil A -Installation- ................................................................................................................................................. 5
Teil B -Konfiguration- ............................................................................................................................................. 8
1 Erste Schritte nach der Installation ................................................................................................................ 8
Login 8MAN Konfiguration .................................................................................................................... 8 1.1
Basiskonfiguration ................................................................................................................................. 9 1.2
Lizenz laden ......................................................................................................................................... 12 1.3
8MAN Konfigurationsansicht .............................................................................................................. 13 1.4
Verschlüsselung der 8MAN Netzwerkkommunikation ....................................................................... 15 1.5
2 Scans ............................................................................................................................................................ 17
AD-Scan- und Ressourcenkonfiguration ............................................................................................. 17 2.1
FS-Scan- und Ressourcenkonfiguration ............................................................................................... 25 2.2
Logga ................................................................................................................................................... 30 2.3
SharePoint ........................................................................................................................................... 42 2.4
Exchange ............................................................................................................................................. 49 2.5
vSphere ............................................................................................................................................... 59 2.6
Lokale Konten ...................................................................................................................................... 61 2.7
Jobsliste ............................................................................................................................................... 64 2.8
3 Kollektoren ................................................................................................................................................... 65
Kollektorverbindung ............................................................................................................................ 65 3.1
Kollektoraktualisierung ....................................................................................................................... 66 3.2
Anmeldung für Kollektorinstallation ................................................................................................... 68 3.3
Kollektorinstallation ............................................................................................................................ 68 3.4
Kollektorentfernung ............................................................................................................................ 68 3.5
4 Ändern-Konfiguration .................................................................................................................................. 69
AD-Ändern-Konfiguration ................................................................................................................... 69 4.1
FS-Ändern-Konfiguration .................................................................................................................... 72 4.2
SharePoint- Ändern-Konfiguration ...................................................................................................... 78 4.3
5 Benutzerverwaltung..................................................................................................................................... 85
Benutzermanagement ........................................................................................................................ 85 5.1
Erweiterte Benutzerverwaltung .......................................................................................................... 86 5.2
6 Dateneigentümer ......................................................................................................................................... 87
Organisationskategorieeinstellungen ................................................................................................. 88 6.1
Dateneigentümer hinzufügen ............................................................................................................. 91 6.2
Verwendbare Ressourcen ................................................................................................................... 91 6.3
Einstellungen Ändern von Gruppenmitgliedschaften für Dateneigentümer ...................................... 92 6.4
7 Server ........................................................................................................................................................... 93
Autorisierung....................................................................................................................................... 93 7.1
Kommentare ....................................................................................................................................... 94 7.2
4
E-Mail .................................................................................................................................................. 94 7.3
Datenstand Speicherung ..................................................................................................................... 94 7.4
Server Schwellwerte............................................................................................................................ 95 7.5
Report ................................................................................................................................................. 95 7.6
Server Ereignis Protokollierung ........................................................................................................... 96 7.7
8 Server-Status ................................................................................................................................................ 97
Lizenzinformationen ........................................................................................................................... 97 8.1
Übersicht der angemeldeten Benutzer am 8MAN Server ................................................................... 98 8.2
9 8MAN starten............................................................................................................................................... 99
5
TEIL A -INSTALLATION-
Für die Installation von 8MAN sind die erforderlichen Systemanforderungen zu erfüllen (Teil A -Systemanforderungen-).
Der Computer auf dem der 8MAN Server installiert werden soll, muss in einer Windowsdomäne angemeldet sein und es
darf sich dabei nicht um ein standalone Computer handeln. Um die Installation zu beginnen starten Sie die Setup.exe Datei
als Administrator. Das Betriebssystem wird automatisch erkannt und im darauffolgenden Dialog können Sie wählen,
welche Sprache (Deutsch, Englisch oder Russisch) während der Installation verwendet werden soll. Die gewählte Sprache
wird als Standard für 8MAN und die 8MAN Konfiguration übernommen und kann später im Logindialog für 8MAN und die
8MAN Konfiguration geändert werden (Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch).
„OK“ und es erscheint der Setupassistentendialog.
Mit „Zurück“ und „Weiter“ können Sie durch die Installationsschritte navigieren.
Um die Installation durchzuführen, müssen Sie den Lizenzvereinbarungen zustimmen.
6
Bitte wählen Sie die zu installierenden 8MAN Komponenten und den Speicherort für die Installation aus. Die Architektur
der 8MAN Komponenten (Zusammenarbeit und Funktion der Komponenten) ist im 8MAN Architekturdokument detailliert
beschrieben. Bei einer normalen Installation übernehmen Sie die voreingestellte Auswahl. Der 8MAN Server muss nur auf
einem Computer installiert werden und sollte zuerst installiert werden (auch bei Programmaktualisierungen). Danach
können Kollektoren und die Benutzeroberflächen auf beliebig vielen Computern installiert werden.
Auf Computern mit 8MAN Server kann kein Kollektor installiert werden. Auf Computern ohne 8MAN Server kann jeweils
nur ein Kollektor installiert werden. Beachten Sie, dass die Versionen von Server und Kollektoren gleich sein müssen. Es
wird empfohlen die Benutzeroberflächen 8MAN und die 8MAN Konfiguration zusammen mit dem 8MAN Server auf einen
Computer zu installieren. Sollten 8MAN und die 8MAN Konfiguration ab Version 4.6 separat auf verschiedenen Computern
installiert sein, dann laden diese ab Version 5 automatisch vom 8MAN Server und führen diese aus. Die existierende
Installation wird nicht gelöscht, aktualisiert oder verändert und die neuen Dateien werden in einem lokalen Verzeichnis
temporär gespeichert. Somit sind für die Aktualisierung keine administrativen Rechte nötig. Der Anmeldedialog zeigt die
original installierte Version, während anschließend die aktualisierte Anwendung ausgeführt wird.
„Installieren“ und die Installation wird gestartet.Die Installation erkennt eine bereits installierte Version und führt ein
Update bei einer älteren Version durch oder bricht die Installation ab, wenn bereits eine neuere Version installiert ist.
7
„Fertig stellen“ schließt die Installation ab und es öffnet sich der Logindialog für die 8MAN Konfiguration.
8
TEIL B -KONFIGURATION-
1 ERSTE SCHRITTE NACH DER INSTALLATION
Login 8MAN Konfiguration 1.1
Nach der Installation erscheint der Logindialog für die 8MAN Konfiguration automatisch.
Für manuelle Starts .
Standardmäßig werden für die Anmeldung die Benutzerdaten vom momentan auf dem 8MAN Server Computer
angemeldeten Benutzer übernommen. Alternativ kann man sich mit anderen Anmeldeinformationen anmelden.
Im aufgeklappten Erweiterte-Optionen / Sprachauswahl-Bereich ( ) ist es möglich, den 8MAN Server, den Port sowie
die Sprache für die 8MAN Konfiguration auszuwählen:
9
Hier geben Sie den Computernamen oder die IP-Adresse des Computers ein auf dem der 8MAN Server läuft. Wenn der
8MAN Server lokal läuft, geben Sie bitte „localhost“ ein. Die voreingestellte Portnummer ist 55555. Als Sprache können Sie
Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch wählen. Wenn Sie die gewünschten Werte ausgewählt
haben „Anmelden“.
Basiskonfiguration 1.2
Die 8 MAN Konfiguration startet beim ersten Mal nach der Installation automatisch mit der Ansicht für die
Basiskonfiguration:
In der Basiskonfiguration konfigurieren Sie die Anmeldung für den 8MAN Server und den Microsoft SQL Server. Weitere
Informationen zu den einzelnen Bereichen der Basiskonfiguration können Sie unter „8MAN sagt!“ nachlesen.
1.2.1 8MAN Server Anmeldung
Der 8MAN Server ist ein Dienst, der mit lokalen System Berechtigungen läuft. Um sich am Microsoft SQL Server
anzumelden und im Active Directory Daten lesen zu können, benötigt der 8MAN Server Anmeldeinformationen. Die 8MAN
Server Anmeldung wird bei entsprechender Konfiguration bei der Anmeldung am Microsoft SQL Server verwendet.
Weiterhin werden diese Anmeldeinformationen auch standardmäßig bei neu zu konfigurierten Scans vorgeschlagen. Für
Scans können im Mein 8MAN Dashboard unter „Scans“ auch gesonderte Anmeldedaten eingegeben werden.
Der 1. Test überprüft automatisch nach Eingabe der Daten, ob die eingegebenen Daten für die 8MAN Server Anmeldung
10
korrekt sind. Wenn alles in Ordnung ist erscheint folgende Meldung:
1.2.2 SQL-Serverkonfiguration
In der SQL-Serverkonfiguration müssen der Microsoft SQL Server Name, die Microsoft SQL-Server Instanz, der SQL-
Datenbankname (keine Verwendung von Leerzeichen) und die Art der Anmeldung am SQL-Server festgelegt werden.
Standardmäßig ist für die SQL-Serverdatenbank das einfache Wiederherstellungsmodell eingestellt. Ein Wechsel zum
vollständigen Wiederherstellungsmodell ist erst nach der Erstkonfiguration möglich (Kap. 1.2.3).
Bei einem Haken in der Checkbox „Verwende Anmeldung des 8MAN-Servers (Windows Authentifizierung)“ werden die
Benutzerdaten die bei der 8MAN- Server Anmeldung eingegeben wurden, verwendet. Es ist auch möglich, die Microsoft
SQL Server eigene Benutzerverwaltung zu verwenden, tragen Sie dazu den Benutzernamen und das Passwort in die
entsprechenden Felder ein.
überprüft der 2. Test , ob die eingegebenen Daten für die SQL-Serveranmeldung korrekt sind. Wenn alles in
Ordnung ist erscheint folgende Meldung:
8MAN unterstützt auch Microsoft SQL Server 2005, 2008 oder 2012 in der Express Version. Der Microsoft SQL Server
Express ist in seiner Leistungsfähigkeit stark beschränkt (siehe Microsoft-Onlinehilfe). Bei einer Teststellung in größeren
Umgebungen ab ca. 500 Benutzern kann es deshalb notwendig werden, auf einen Standard MS SQL Server umzusteigen. Es
ist natürlich möglich einen bereits installierten Microsoft SQL Server zu verwenden.
Sobald alle Einstellungen vorgenommen wurden und der 1. und 2. Test erfolgreich waren, um die Konfiguration zu
speichern und „Ja“. im darauffolgenden Dialog:
11
Nun wird der 8MAN Server beendet und die 8MAN Konfiguration ist für ein paar Sekunden nicht mit dem 8MAN Server
verbunden.
Anschließend wird der 8MAN Server mit der neuen Konfiguration gestartet und die Erstkonfiguration ist beendet. Bei
Bedarf, z.B. beim Passwortablauf (Empfehlung: Verwendung von Benutzerkonten für 8MAN ohne zeitlichen Ablauf), Umzug
eines SQL-Datenbankservers oder Anlegung einer neuen SQL-Datenbank können die Daten in der Basiskonfiguration
geändert werden. Nach der Erstkonfiguration bzw. dem Anlegen einer neuen Datenbank wird standardmäßig ins Mein
8MAN Dashboard gewechselt:
Um 8MAN nutzen zu können müssen Sie als nächstes eine Lizenz laden (Kap. 1.3).
12
1.2.3 Wiederherstellungsmodell SQL-Datenbank
Das Wiederherstellungsmodell der SQL-Datenbank kann einfach oder vollständig sein. Das standardmäßig eingestellte und
von protected-networks.com empfohlene Wiederherstellungsmodell ist einfach. Um sich die Einstellungen für das
Wiederherstellungsmodell anzeigen zu lassen .
Wechsel zum vollständigen Wiederherstellungsmodell
Logdateien der Datenbank verkleinern
Alle Dateien der Datenbank verkleinern
Wechsel zum einfachen Wiederherstellungsmodell
Alle Dateien der Datenbank verkleinern.
Desweiteren werden Ihnen jetzt im Bereich Status der Konfiguration weitere Informationen zum Wiederherstellungsmodell
angezeigt.
Lizenz laden 1.3
13
Im Kapitel 8.1 ist beschrieben wie man eine Lizenz lädt.
8MAN Konfigurationsansicht 1.4
Mein 8MAN Dashboard Funktionen werden im Kap. 2 bis 8 erklärt.
Statusanzeige für
Vorgänge in 8MAN
Report Übersicht
(Kap. 1.4.1)
Abmelden Server
Schwellwerte
(Kap. 1.4.2)
Anmeldedaten
(Kap. 1.1)
14
1.4.1 Report Übersicht
Im Report-Übersicht-Dialog können Sie alle Reports ansehen, speichern oder löschen, welche auf dem 8Man Server
hinterlegt sind.
1.4.2 Server Schwellwerte
Im Server-Schwellwerte-Dialog erhalten Sie einen Überblick über die aktuellen Server Schwellwerte (Kap. 7.5)
15
Verschlüsselung der 8MAN Netzwerkkommunikation 1.5
Zur Verschlüsselung der Transportschicht mittels SSL-Verbindung für die 8MAN Netzwerkkommunikation müssen folgende
config.xml-Dateien unter C:\ProgramData\protected-networks.com\8MAN\cfg auf allen PCs mit 8MAN Komponenten
angelegt werden:
PC mit 8MAN PC mit 8MAN Konfiguration PC mit 8MAN Kollektor PC mit 8MAN Server
app8MAN.config.xml appConfig.config.xml pnCollector.config.xml
pnJob.config.xml
pnRun config.xml
pnService.config.xml
pnServiceInstaller.config.xml
pnJob.config.xml
pnRun config.xml
pnServer.config.xml
pnService.config.xml
pnServiceInstaller.config.xml
Sie können die erforderlichen Dateien, sofern diese nicht bereits vorhanden sind, aus dem Verzeichnis C:\Programme
\protected-networks.com\8MAN\etc kopieren und den Inhalt löschen. Beispiel für ein …\8Man\cfg-Verzeichnis mit
config.xml-Dateien für ein PC mit 8MAN Kollektor:
In den config.xml-Dateien mit gelöschtem Inhalt müssen folgende Zeilen eingefügt werden:
<?xml version="1.0" encoding="utf-8"?> <config> <network.useSecureChannels type=”System.Boolean”>true</network.useSecureChannels> </config>
Bei >true< ist die Verschlüsselung aktiviert bzw. bei >false< deaktiviert.
Für bereits im Verzeichnis …8MAN\cfg vorhandene config.xml-Dateien muss nur die Zeile <network.useSecureChannels
type=”System.Boolean”>true</network.useSecureChannels> im config-Abschnitt eingefügt werden.
Nach dem Speichern müssen alle auf dem PC laufenden 8MAN Komponenten geschlossen werden und der 8MAN Service
muss neugestartet werden.
16
Bei aktivierter Verschlüsselung sind Scans von Domänen ohne Vertrauensstellung nicht mehr möglich. Das heißt Sie
können nur bei deaktivierter Verschlüsselung Domänen ohne Vertrauensstellung scannen.
17
2 SCANS
In der Scankonfigurationsansicht können Sie Einstellungen für AD-, FS-, Logga (AD bzw. FS mit Überwachung)-, SharePoint-,
Exchange- und vSphere Scans vornehmen. Zusätzlich können Sie domänen- bzw. fileserverspezifische Einstellungen
vornehmen, die bei Berechtigungsänderungen mit 8MAN benötigt werden (Kap. 2.1.5 und 2.2.3). Die Konfigurationen
werden automatisch gespeichert.
Die Schaltflächen haben folgende Bedeutung:
Domänen- und
Kollektorauswahl
(Kap. 2.1.2)
SharePoint
(Kap. 2.4)
FS-Scan- und
Ressourcenkonfiguration
(Kap. 2.2)
Exchange
(Kap. 2.5)
Fileserver CSV Import
(Kap. 2.2.2.4)
vSphere
(Kap. 2.6)
Logga
(Kap. 2.3)
Lokale Konten
(Kap. 2.7)
AD-Scan- und Ressourcenkonfiguration 2.1
2.1.1 Scanvorbereitung für Domänen ohne Vertauensstellung
8MAN kann Domänen ohne Vertrauensstellung nur scannen, wenn die Verschlüsselung der 8MAN
Netzwerkkommunikation (Kap. 1.5) deaktiviert ist und die folgendende Scanvorbereitung durchgeführt wird. Zielstellung
dabei ist das Gewinnen von Berechtigungsinformationen von Objekten, die dem 8MAN Server bzw. innerhalb der Domäne
des 8MAN Servers nicht bekannt sind. Weitere Informationen für das Scannen der Domänen ohne Vertrauensstellung
werden an den entsprechenden Stellen im Kapitel 2.1 AD-Scan- und Ressourcenkonfiguration beschrieben.
18
2.1.1.1 Kollektorinstallation in der Domäne ohne Vetrauensstellung
Grundvoraussetzung für das Scannen einer Domäne ohne Vetrauensstellung ist die zusätzliche Installation eines 8MAN
Kollektors auf einem Host (z.B. Windows Fileserver) innerhalb der Domäne ohne Vertrauensstellung. Zu diesem Zweck
muss ein Kollektor (Teil A -Installation-) auf dem entfernten Host installiert werden. Der dadurch installierte Service
(pnCollector.exe) muss unter dem ‚Local System‘ Konto arbeiten. Um dem Kollektor eine Kommunikation zum 8MAN
Server ermöglichen zu können, ist es essentiell einen Eintrag in die hosts Datei vorzunehmen, der dafür sorgt, dass ein nicht
automatisch vorhandener Domain Name System (DNS) Eintrag für den 8MAN Server erzeugt wird. Der 8MAN Server muss
mit dem voll qualifizierten Namen und seiner IP Adresse benannt werden. Sollte sich die IP Adresse unter Umständen
ändern können, so muss der Eintrag manuell gepflegt werden.
2.1.1.2 Kollektorverbindung aus der Domäne ohne Vetrauensstellung
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung aus der
Domäne ohne Vertrauensstellung muss hierbei die IP Adresse (z. B.: xxx.xxx.xxx.xxx) des Computers mit installiertem
Kollektor eingetragen werden.
2.1.2 Domänen- und Kollektorauswahl
Im Active-Directory-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig
werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), die zu scannende
Domäne und den Kollektor für den Scan auswählen. Wenn ein Kollektor auf der zu scannenden Ressource installiert ist,
wählen Sie diesen aus. Sollte dies nicht der Fall sein, wählen Sie einen bzw. mehrere Kollektoren in der Nähe (Kollektoren
die auf Computern mit geringer Last installiert sind, sind zu bevorzugen) der zu scannenden Ressource aus. Der Kollektor
führt den eigentlichen Scan aus und ist normalerweise der 8MAN Server selbst. Für den einzelnen Zugriff (z. B. Scan,
Änderung, sonstige Anfragen) wird zum Zeitpunkt des Zugriffs der Kollektor automatisch ausgewählt, der die geringste Last
(Speicherverbrauch, CPU-Last) hat. Damit ist 8MAN in der Lage, die Last von vielen gleichzeitig auszuführenden Aufgaben
auf mehrere Kollektoren dynamisch zu verteilen (Kap. 2.1.3.4.2).
Bei Domänen ohne Vetrauensstellung wird initial mit hoher Wahrscheinlichkeit nicht die gewünschte Domäne zur Auswahl
stehen. Das ist dadurch bedingt, dass das voreingestellte Anmeldung keine passenden Rechte beinhaltet. Bei Verwendung
des für den Zweck in Frage kommenden Kontos wird die gewünschte Domäne angezeigt werden. Es ist unbedingt
notwendig, dass sich das gewünschte Konto auch interaktiv auf dem FS mit installiertem Kollektor in der Domäne ohne
Vertrauenstellung anmelden kann.
19
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie AD-
Scan- und Ressourceneinstellungen vornehmen können.
2.1.3 AD-Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung:
AD-Scaneinstellungen (Kap. 2.1.3)
v
AD-Ressourceneinstellungen (Kap. 2.1.5)
v
20
Scan ausführen und Scangröße in
der Datenbank
(Kap. 2.1.4)
Domänen- und
Kollektorauswahl
(Kap. 2.1.2)
und Ausführungsplan
(Kap. 2.1.3.2)
,
und
Zusätzliche Optionen
(Kap. 2.1.3.4)
Name der Konfiguration
(Kap.2.1.3.1)
Berechtigungen
Scannen
(Kap. 2.1.3.5)
Domänen- und Kollektorauswahl
(Kap. 2.1.2)
und
Verhalten im
Fehlerfall
(Kap.2.1.3.6)
Anmeldung Ressourcenscan
(Kap.2.1.3.3)
Fileserverauswahl
(Kap.2.1.3.7)
2.1.3.1 Name der Konfiguration
Im Name-der-Konfiguration-Dialog können Sie einen Namen für die Konfiguration eingeben, wenn Sie einen anderen
Anzeigenamen benötigen.
2.1.3.2 Ausführungsplan
Im Ausführungsplandialog können Sie definieren zu welchen Zeitpunkten Scans ausgeführt werden. Beachten Sie, dass die
Einstellung beim Tag größer oder gleich 29 bei bestimmten Zeitpunkten zu keinem automatischen Start der geplanten
Aufgabe führt (z.B.: der 29. Februar [ohne Schaltjahr] oder der 31.April).
21
2.1.3.3 Anmeldung Ressourcenscan
Im Anmeldungdialog können Sie die für den Ressourcenscan zu verwendende Anmeldung (standardmäßig werden zum
Scannen der Ressource die Anmeldedaten aus der Basiskonfiguration[Kap. 1.2.1] übernommen) eingeben.
2.1.3.4 Zusätzliche Optionen
Im Zusätzliche-Optionen-Dialog können Sie definieren wie der Scanner Objekte aus fremden Domänen behandelt und die
Anzahl der parallelen Anfragen während der Scans.
2.1.3.4.1 Unterstützung externer Domänen mit und ohne Vertrauensstellung
Benutzer oder Gruppen aus externen Domänen mit Vertrauensstellung werden in der eigenen Domäne als
ForeignSecurityPricipal-Objekte angelegt. Diese haben die gleiche Sicherheits-ID (SID) wie der Benutzer oder Gruppe in der
Ursprungsdomäne, es fehlen jedoch sämtliche weitere Eigenschaften wie z. B. Name oder Beschreibung. Damit diese
Informationen nun angezeigt werden können, gibt es im Dialog für die zusätzlichen Optionen der Domäne eine neue
Einstellung, mit der das Auflösen und Lesen der Eigenschaften dieser Fremd-Domänenobjekte aktiviert werden kann.
Es ist möglich, die Änderungsfunktionalitäten auch auf Domänen ohne Vetrauensstellung anzuwenden (weitere
Informationen zu den Scanvorbereitung für Domänen ohne Vertauensstellung finden Sie im Kap. 2.1.1). Externe Domänen
ohne Vertrauensstellung können von 8MAN gescannt und angezeigt werden. Dazu müssen lediglich die Kollektoren
angeschlossen und geeignete Zugangsdaten in den Dialogen eingetragen sein.
2.1.3.4.2 Parallele Scans
22
Bitte beachten Sie, dass sich mit der Anzahl der parallelen Anfragen auch die Rechenlast auf dem ausführenden Computer
erhöht. Ausgehend von 2 Prozessoren sind nach unseren Erfahrungen 4 bis 6 parallele Anfragen optimal. Mit der Anzahl
der Prozessoren kann diese Zahl jedoch höher angesetzt werden. Maximal ist die Anzahl auf 64 parallele Anfragen
begrenzt. Wenn Sie den Wert auf 1 stellen, werden keine parallelen Anfragen durchgeführt.
Scans im Active Directory und auf den Fileservern können sequentiell abgearbeitet werden. Dabei ist die Rechenlast des
ausführenden Computers sehr gering, weil die Geschwindigkeit von den Antwortzeiten der Domaincontroller und
Fileserver abhängt. Die Antwortzeit der Anfragen erhöht sich nur unwesentlich durch das parallele Verarbeiten der
Anfragen, die Geschwindigkeit des gesamten Scans kann sich jedoch erheblich verkürzen.
2.1.3.5 Berechtigungen Scannen
Im Berechtigungen-scannen-Dialog können Sie einstellen welche Objektklassen bei Berechtigungsscans zusätzlich gescannt
werden sollen.
2.1.3.6 Verhalten im Fehlerfall
Im Verhalten-im-Fehlerfall-Dialog können Sie einstellen wie oft und mit welcher Wartezeit der Scan bei eventeullen
Wartungsarbeiten wiederholt wird.
2.1.3.7 Fileserverauswahl
23
Welche Einstellungen Sie im Fileserver Auswahldialog vornehmen können, erfahren Sie im Kap. 4.2. Der ausgewählte FS
wird dem AD-Scan zugeordnet. Dies wird visuell durch eine Verbindungslinie gekennzeichnet. Sie können auch einen
seperaten FS-Scan per Drag-und Drop einem AD-Scan zuordnen bzw. von einem lösen, indem Sie eine FS-Scan-
Konfigurationsbubble auf eine AD-Scan-Konfigurationsbubble ziehen bzw. von einer wegziehen.Sie können den AD- und FS-
Scan zusammen ausführen ( ) oder den AD- bzw. FS-Scan einzeln ausführen.
2.1.4 Scan ausführen und Scangröße in der Datenbank
Nach einem Scan wird angezeigt wie viele Elemente insgesamt bei welcher Geschwindigkeit gescannt wurden, wie groß die
Datendatei und die Tabellen in der SQL Datenbank sind. Diese Information befindet sich auch in der Jobliste-Details. Bei
Fehlermeldungen können diese unter C:\ProgramData\protected-networks.com\8MAN\log in der pnServer.log
nachgelesen werden.
Zu beachten ist, dass sich die Datenbankgröße auf den reservierten Speicher bezieht, also nicht nur die eigentlichen Daten
und ggf. Indizes, sondern auch ein Puffer, der vom SQL Server verwaltet wird. Weiterhin kann es sein, dass die
Datenbankdatei durch den neuen Scan nicht unbedingt um die Größe des verwendeten Speicherplatzes der Tabellen
gewachsen ist. Die Größenänderung der Datenbankdatei hängt allein von den Wachstumseinstellungen der Datenbank ab.
Durch zusätzlich benötigten Speicher kann die Datenbank nicht wachsen oder wesentlich mehr Speicher als zum Zeitpunkt
notwendig reservieren.
2.1.5 AD-Ressourceneinstellungen
Während des Scannens besteht die Möglichkeit den Scan abzubrechen.
24
Die Schaltflächen haben folgende Bedeutung:
Anmeldung zum Schreiben im Active
Directory
(Kap. 2.1.5.1)
Auswahl der Oragnisationseinheit
für zu löschende Benutzer
(Kap. 2.1.5.4)
Auswahl der Organisationseinheit für
neue Benutzer
(Kap. 2.1.5.2)
Auswahl der Organisationseinheit
für 8MAN Gruppen
(Kap. 2.1.5.5)
Auswahl der Oragnisationseinheit für
neue Gruppen
(Kap. 2.1.5.3)
Zusätzliches 8MAN
Gruppenpräfix
(Kap. 2.1.5.6)
2.1.5.1 Anmeldung zum Schreiben im Active Directory
Um z.B. Gruppenmitgliedschaften in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben im AD
benötigt, diese können Sie im Anmeldung-Dialog einstellen.
2.1.5.2 Auswahl der Organisationseinheit für neue Benutzer
Im Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog können Sie die OU wählen in der neue Objekte,wie
Benutzer oder Gruppen, standardmäßig gespeichert werden sollen.
2.1.5.3 Auswahl der Oragnisationseinheit für neue Gruppen
Im Auswahl-der-Organisationseinheit-für-neue-Gruppen-Dialog können Sie die OU wählen in der neue Objekte,wie
25
Benutzer oder Gruppen, standardmäßig gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie Auswahl-der-
Organisationseinheit-für-neue-Benutzer-Dialog (Kap. 2.1.5.2).
2.1.5.4 Auswahl der Oragnisationseinheit für zu löschende Benutzer
Im Auswahl-der-Organisationseinheit-für-zu-löschende-Benutzer-Dialog wählen Sie die OU, in die zu löschende
Benutzerkonten verschoben werden sollen (zum Thema Soft-Delete & Recovery von Benutzern siehe
Produktbeschreibung) Der Dialog hat den gleichen Aufbau wie Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog
(Kap. 2.1.5.2).
2.1.5.5 Auswahl der Organisationseinheit für 8MAN Gruppen
Im Auswahl-der-Organisationseinheit-für-8MANGruppen-Dialog selektieren Sie die OU in der die von 8MAN erzeugten
Berechtigungsgruppen aus dem Gruppenassistenten gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie
Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog (Kap. 2.1.5.2).
2.1.5.6 Zusätzliches 8MAN Gruppenpräfix
Im Zusätzliches-8MAN-Gruppenpräfix-Dialog definieren Sie ein zusätzliches 8MAN Gruppenpräfix (8GP), das in allen 8MAN
Gruppen enthalten sein soll. Diese Gruppennamen werden in der „Gruppenassistent-Konfiguration“ eingestellt.
FS-Scan- und Ressourcenkonfiguration 2.2
Sie können einen FS-Scan entweder separat erstellen oder mit einem AD-Scan verknüpfen. Einen separaten FS-Scan
erstellen Sie (Kap. 2.2.1) oder (Kap. 2.2.2.4). Einen verknüpften Scan erstellen
Sie dagegen, indem Sie bei einem vorhandenen AD-Scan (Kap. 2.1.3.7).
2.2.1 FS- und Kollektorauswahl
Im Fileserver-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden
zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden FS und den
Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
26
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie FS-
Scan- und Ressourceneinstellungen vornehmen können.
2.2.2 FS-Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble [Kap. 2.1.3] aufweisen):
und Zusätzliche Optionen
(Kap. 2.2.2.1)
und Scantiefe
(Kap. 2.2.2.3)
Freigabe-Auswahl
(Kap. 2.2.2.2)
Scaneinstellungen (Kap. 2.2.2)
v
Ressourceneinstellungen (Kap. 2.2.3)
27
2.2.2.1 Zusätzliche Optionen
Im Zusätzliche-Optionen-Dialog können Sie den Fileservertypen und die Anzahl der parallelen Anfragen während der Scans
(weitere Informationen zu parallele Anfragen während der Scans Kap. 4.1.1) festlegen. Als Fileserver-Typ lassen Sie bitte
vorzugsweise die Standardeinstellung „Automatisch erkennen“ ausgewählt. Nur falls dies nicht funktioniert, sollten Sie den
Typ explizit angeben.
2.2.2.2 Freigabe-Auswahl
Im Freigabe-Auswahl-Dialog können Sie alle zu scannenden Freigaben wählen. Desweiteren können Sie im
Zusatzinformationen/Kommentare-zu-den-Freigaben-Feld neue Informationskategorien hinzufügen.
2.2.2.3 Scantiefe
Im Scantiefe-Dialog definieren Sie die Tiefe, bis zu welcher Scans durchgeführt werden sollen.
28
2.2.2.4 Fileserver CSV Import
…
Im Import-Datei-Dialog wählen Sie die zu öffnende csv-Datei. Mithilfe der csv-Datei ist es möglich die zu scannenden
Freigaben zu importieren. Dazu wird eine csv-Datei mit folgenden Werten benötigt:
zwei obligatorische Spalten mit folgenden Überschriften: „Server“ und „Freigabe“ und
Spalten durch Semikolon oder Tab getrennt
optionale Spalte mit Überschift „Kollektor“ (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor
verwendet)
weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren
Überschriften, z.B.: „Kostenstelle“ oder „Beschreibung“
Beispiel einer csv-Datei:
Nach dem Import der csv-Datei erscheint der Fileserver-CSV-Import-Dialog.
29
Informationen zu den Scaneinstellungen auf der rechten Seite erhalten Sie im Kap.2.2.2. Nachdem Sie alle Einstellungen
vorgenommen haben „Ok“. Als Ergebnis sehen Sie eine FS-Scan-Konfigurations-Bubble (Kap.2.2.2). In dieser sind Ihre
importierten Freigaben aufgeführt: .
2.2.3 FS-Ressourceneinstellungen
Die Schaltflächen haben folgende Bedeutung:
Anmeldung zum Schreiben auf dem
Fileserver
(Kap. 2.2.3.1)
Listrechte-Konfiguration
(Kap. 2.2.3.2)
2.2.3.1 Anmeldung zum Schreiben auf dem Fileserver
Um z.B. Verzeichnisberechtigungen in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben auf dem
Fileserver benötigt, diese können Sie im Anmeldung-Dialog einstellen.
2.2.3.2 Listrechte-Konfiguration
Im Listrechte-Konfiguration-Dialog können Sie durch Hakensetzen im Auswahlkasten „Listrechte (Ordenerinhalt anzeigen)
automatisch verwalten“ einstellen das 8MAN Listrechte automatisch verwalten soll.
30
Im unteren Bereich können Sie bestimmen, wie die Listrechte für die ersten fünf Verzeichnebenen realisiert werden sollen.
Belassen Sie hierbei bitte die Standardeinstellung, sofern Sie keine spezielle Konfiguration für Ihr System benötigen.
Logga 2.3
2.3.1 Vorbereitung für die Logga Konfiguration
2.3.1.1 AD-Logga Vorbereitung
Der 8MAN AD Logga arbeitet agentless, Sie müssen also keine extra Software auf den Domänen Controllern installieren.
Basis unserer Lösung sind die Security-Logs, die remote über bestehende Windows APIs ausgelesen werden. Damit ist auch
gewährleistet, dass kurzfristige Ausfälle des 8MAN Kollektors, z.B. wegen Wartung, nicht zu fehlenden Ereignissen im
8MAN Logbuch führen.
Für die AD Logga Funktionalität müssen 8MAN -Kollektoren installiert werden.
Die Kollektoren müssen nicht auf den Domain Controllern der zu überwachenden Domäne installiert werden, Sie können
hierfür jeden Server in dieser Domäne nutzen. Für AD Logga Kollektoren gelten zusätzliche Einschränkungen bezüglich der
Systemanforderungen. Sie können anhand des Dokuments 8MAN Systemanforderungen überprüfen, ob der Server für die
AD Logga Kollektorinstallation geeignet ist.
Da keine zusätzliche Komponente installiert werden muß, wird die normale Kollektorinstallation genutzt (siehe
Screenshot). Ist bereits ein 8MAN-Kollektor installiert, dann ist damit auch der AD Logga installiert.
31
2.3.1.1.1 Konfiguration der Überwachungsrichtlinien und SACL
Für die AD Logga Funktionalität sind spezielle Einstellungen der Überwachungsrichtlinien (Audit Policies) und eine
entsprechende Einstellung der System ACL (SACL) für die zu überwachenden Objekte notwendig. Diese Einstellungen
sollten Sie vor dem Starten des AD Logga vornehmen, weil sonst keine oder nur bestimmte Ereignisse aufgezeichnet
würden. Beachten Sie dabei, dass sich die Aktivierung der Überwachungsrichtlinien je nach Replikationsintervall zwischen
den Domänen Controllern (DCs) verzögern kann.
Um Überwachungsrichtlinien auf DCs ändern zu können, muß man Mitglied der entsprechenden Domain Administratoren
Gruppe oder der Gruppe der Enterprise Administratoren sein.
Für die Konfiguration der SACL ist das User Recht "Manage Auditing and Security Log " notwendig (was dem Privileg "
SeSecurityPrivilege" entspricht).
2.3.1.1.1.1 Aktivieren der Überwachungsrichtlinie.
2.3.1.1.1.1.1 Windows Server 2008
Die Administration der Erweiterten Überwachungsrichtlinen ist für Windows Server 2008 möglich, aber nicht über die
Windows Gruppenrichtlinienverwaltung. Hier müssen mit Hilfe von Auditpol.exe auf jedem Domänen Controller der zu
überwachenden Domäne die einzelnen Überwachungsrichtlinien eingerichtet werden.
Geben Sie dazu als lokaler Administrator folgende Kommandos ein.
Für „Richtlinienänderungen überwachen“:
>auditpol /set /subcategory:{0CCE922F-69AE-11D9-BED3-505054503030} /success:enable
Für „Verzeichnisdienständerungen“:
>auditpol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable
Für „Benutzerkontenverwaltung“, „Computerkontoverwaltung“, „ Sicherheitsgruppenverwaltung“,
„Verteilergruppenverwaltung“, „Anwendungsgruppenverwaltung“ und „Andere Kontoverwaltungsereignisse“:
>auditpol /set /subcategory:{0CCE9235-69AE-11D9-BED3-505054503030} /success:enable
>auditpol /set /subcategory:{0CCE9236-69AE-11D9-BED3-505054503030} /success:enable
>auditpol /set /subcategory:{0CCE9237-69AE-11D9-BED3-505054503030} /success:enable
>auditpol /set /subcategory:{0CCE9238-69AE-11D9-BED3-505054503030} /success:enable
>auditpol /set /subcategory:{0CCE9239-69AE-11D9-BED3-505054503030} /success:enable
>auditpol /set /subcategory:{0CCE923A-69AE-11D9-BED3-505054503030} /success:enable
32
2.3.1.1.1.1.2 Windows Server 2008R2
Die Einrichtung der Überwachungsrichtlinien ist nur auf einem der zur überwachenden Domäne gehörenden DC
notwendig. Die anderen DCs erhalten diese dann über die Replikation.
So aktivieren Sie die erweiterten Überwachungsrichtlinien mithilfe der Windows-Benutzeroberfläche
(Falls Sie die Gruppenrichtlinienverwaltung erst noch installieren müssen, klicken Sie im Server-Manager auf Features
hinzufügen. Wählen Sie Gruppenrichtlinienverwaltung aus, und klicken Sie dann auf Installieren.)
1. Klicken Sie auf Start, zeigen Sie auf Verwaltung und anschließend auf Gruppenrichtlinienverwaltung.
2. Doppelklicken Sie in der Konsolenstruktur auf den Namen der Gesamtstruktur, doppelklicken Sie auf Domänen,
doppelklicken Sie auf den Namen der Domäne, doppelklicken Sie auf Domänencontroller, klicken Sie mit der
rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.
3. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, doppelklicken Sie auf Windows-Einstellungen,
doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Erweiterte
Überwachungsrichtlinienkonfiguration, doppelklicken Sie auf Überwachungsrichtlinien.
4. Klicken Sie auf Kontenverwaltung und wiederholen Sie für alle angezeigten Unterkategorien die folgenden
Schritte:
1. Klicken Sie mit der rechten Maustaste auf die Unterkategorien und klicken Sie dann auf Eigenschaften.
2. Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren.
3. Aktivieren Sie das Kontrollkästchen Erfolgreich, und klicken Sie dann auf OK.
5. Klicken Sie auf DS-Zugriff, klicken Sie mit der rechten Maustaste auf die Unterkategorie
Verzeichnisdienständerungen überwachen und klicken Sie dann auf Eigenschaften. Aktivieren Sie das
Kontrollkästchen Folgende Überwachungsereignisse konfigurieren. Aktivieren Sie das Kontrollkästchen
Erfolgreich, und klicken Sie dann auf OK.
6. Klicken Sie auf Richtlinienänderung, klicken Sie mit der rechten Maustaste auf die Unterkategorie
Überwachungsrichtlinienänderungen überwachen und klicken Sie dann auf Eigenschaften. Aktivieren Sie das
Kontrollkästchen Folgende Überwachungsereignisse konfigurieren. Aktivieren Sie das Kontrollkästchen
Erfolgreich, und klicken Sie dann auf OK.
7. Gehen Sie zurück bis auf die Ebene Computerkonfiguration\ Richtlinien\Windows-
Einstellungen\Sicherheitseinstellungen und doppelklicken Sie Lokale Richtlinien und klicken dann auf
Sicherheitsoptionen. Aktivieren Sie die Richtlinie " Überwachung: Unterkategorieeinstellungen der
Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der
Überwachungsrichtlinien außer Kraft zu setzen "
2.3.1.1.1.2 Einrichten der Überwachung in Objekt-SACLs.
Die Einrichtung der SACL ist nur auf einem der zur überwachenden Domäne gehörenden DC notwendig. Die anderen DCs
erhalten diese dann über die Replikation.
1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -
Computer.
2. Klicken Sie im Menü auf Ansicht und Aktivieren Sie Erweiterte Features.
3. Klicken Sie mit der rechten Maustaste auf die Domäne, für die die Überwachung aktiviert werden soll, und
klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert und anschließend auf die Registerkarte Überwachung.
5. Klicken Sie auf Hinzufügen, und geben Sie einen Benutzer, eine Gruppe oder einen anderen Sicherheitsprinzipal
(hier typischerweise Jeder), dessen Zugriffe Sie überwachen wollen ein. Klicken Sie dann auf OK.
6. Klicken Sie in Übernehmen für auf Dieses und alle untergeordnete Objekte.
7. Aktivieren Sie unter Zugriff das Kontrollkästchen Erfolg für:
- Alle Eigenschaften schreiben
- Löschen
33
- Unterstruktur löschen
- Berechtigungen ändern
- Alle untergeordneten Objekte erstellen
- Alle untergeordneten Objekte löschen
8. Klicken Sie auf OK, bis Sie die Eigenschaftenseite für die Organisationseinheit bzw. ein anderes Objekt
geschlossen haben.
2.3.1.2 FS-Logga Vorbereitung
Der FS Logga ist in etwa gleichzusetzen mit einem 8MAN Kollektor mit der erweiterten Funktionalität zum Überwachen.
Für die FS-Logga-Funktionalität müssen 8MAN Kollektoren installiert werden. Da es für den FS Logga zusätzliche
Einschränkungen gibt, können Sie anhand des Dokuments 8MAN Systemanforderungen überprüfen, ob der Server für die
FS-Logga-Installation geeignet ist.
Aus Performance- und Systemstabilitätsgründen arbeitet der FS Logga nicht auf dem 8MAN Server selbst. (Das Setup
Programm unterbindet zwar nicht die Installation eines FS Logga auf dem 8MAN Server, aber der FS Logga wird auf dem
8MAN Server nicht gestartet.)
Wartung bei überwachten Windows Fileservern:
Beim Austausch von Festplatten oder beim Einbinden anderer Festplatten (Einrichten von Volume Mount Points) auf zu
überwachende Festplattenbereiche muss der FS Logga Kollektor deaktiviert bzw. angehalten werden. Gehen Sie dazu in
die Windows-Dienste-Übersicht und stoppen Sie den 8MAN Service für die Wartung.
2.3.1.2.1 FS Logga für Windows Fileserver Kollektorinstallation
Für den FS Logga für Windows Fileserver besteht die Notwendigkeit der Installation (s.Teil A -Installation-) auf dem zu
überwachenden Fileserver selbst. Der FS Logga für Windows Fileserver muß hierbei explizit ausgewählt werden (s.
Screenshot), um den zusätzlich notwendigen Minifiltertreiber (minitrc.sys) zu installieren.
2.3.1.2.2 FS Logga für NetApp Fileserver
Beim FS Logga für NetApp Fileserver, gibt es folgende Einschränkungen:
Der FS Logga für NetApp Fileserver ist nur auf Windows 64-Bit Systemen lauffähig
Pro FS Logga für NetApp Fileserver ist nur ein NetApp Fileserver konfigurierbar bzw. auslesbar
Der FS-Logga für NetApp Fileserver ist nur mit NetApp-Fileservern mit OnTap-Versionen ab 3.7.x. möglich
34
Es werden nur Zugriffe über CIFS (aber nicht über NFS) erfasst.
Der FS Logga für NetApp Fileserver kann nicht auf dem NetApp Fileserver installiert werden. Er wird auf einem Windows
Server installiert (dieser darf aber nicht der 8MAN Server sein), wobei NetApp dringend empfiehlt, einen Server aus
demselben Netzsegment zu wählen, da es sonst zu Performance- und Routingproblemen kommen kann.
Da beim FS Logga für NetApp Fileserver keine zusätzliche Komponente installiert werden muß, wird die normale
Kollektorinstallation genutzt (s. Screenshot und Teil A -Installation-). Ist bereits ein Datenkollektor oder der FS Logga für
Windows Fileserver installiert, dann ist damit auch der FS Logga für NetApp Fileserver installiert.
Da der FS Logga nicht auf dem NetApp Fileserver selbst installierbar ist, sind bestimmte Richtlinieneinstellungen für den FS
Logga notwendig, um die Kommunikation zwischen dem NetApp Fileserver und FS Logga zu gewährleisten. Folgende lokale
Computer-Richtlinien des Servers, auf dem der FS Logga läuft, sind notwendig (unter Richtlinien für Lokaler Computer
\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen):
Richtlinie Einstellung
Netzwerkzugriff: Die Verwendung von „Jeder“-Berechtigungen für anonyme
Benutzer ermöglichen
Aktiviert
Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann ntapfprq_<netapp name>
(wobei <netapp name> der name des
NetApp Fileservers ist)
Neben der Konfiguration des FS Logga ist für den NetApp Fileserver auch eine zusätzliche Einrichtung (Administration der
NetApp Fileserver) notwendig.
1. FPolicy Feature
Der FS Logga nutzt das FPolicy Feature der NetApp. Deshalb muss es aktiviert und passend eingestellt werden.
Aktivierung des FPolicy Features:
• options fpolicy.enable on
Einrichten der FPolicy:
• fpolicy create 8ManLogga screen
35
> fpolicy enable 8ManLogga > fpolicy options 8ManLogga cifs_setattr on
Die Angabe „8ManLogga“ der FPolicy muss mit dem Wert in der Konfigurationsdatei „pnCollector.config.xml“ auf
dem Fileserver mit installiertem FS Logga übereinstimmen. „8ManLogga“ ist der Default nach der Installation.
<tracer> . . . <netapp> <policy>8ManLogga</policy>
2. Domain-Accounts
Zur Registrierung des FS Logga auf dem Netapp Fileserver muß dieser unter einem Account laufen, der zur
Gruppe „Backup Operators“ auf dem NetApp Filserver gehört. Da der FS Logga unter dem Acount des Fileservers
läuft auf dem er installiert ist, muss dieser Account zu dieser Gruppe hinzugefügt werden:
>useradmin domainuser add <domain\computer-account> -g “Backup Operators”
Um die Freigaben mit den kompletten Pfaden abfragen zu können (Kap. 2.3.2.3.2) wird ein Account gebraucht,
der zur Gruppe „Power Users“ gehören.
>useradmin domainuser add <domain\user> -g “Power Users”
2.3.1.2.3 Kollektorverbindung FS Logga für Windows Fileserver
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der
Name des Fileserver mit installiertem FS Logga für Windows Fileserver eingetragen werden.
2.3.2 Logga Konfiguration
Die Logga Konfiguration ist nur in der 8MAN Administratorrolle nutzbar. Für die Logga Konfiguration ist ein eigener Lizenz-
Typ notwendig. Ob eine gültige Lizenz vorhanden ist, können Sie in der 8MAN Konfiguration unter „Server-Status“ in den
Lizenzinformationen überprüfen. Die Anzahl der Logga definiert, wie viele Domänene bzw.Fileserver (egal ob Windows
oder NetApp) Sie parallel überwachen können:
2.3.2.1 Fileserver und Active Directory mit Überwachung- und Kollektorauswahl
36
Im Logga-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum
Lesen des AD die Anmeldedaten aus der Basiskonfiguration[Kap. 1.2.1] übernommen), den zu überwachenden FS (wenn
Sie FS mit Überwachung ausgewählt haben) oder die zu überwachende Domäne (wenn Sie AD mit Überwachung
ausgewählt haben) und den Kollektor, der die Überwachung übernehmen soll, auswählen (weitere Informationen zum
Kollektor im Kap. 2.1.2). Da die verfügbaren NetApp Fileserver aus dem Active Directory ausgelesen werden, müssen Sie
gegebenenfalls die Anmeldung ändern, um die gewünschten Fileserver aufgelistet zu bekommen. Für die Auflistung der
Windows Fileserver spielt die Anmeldung keine Rolle.
Für Windows Fileserver ist generell nur der Kollektor auf dem ausgewählten Fileserver selbst wählbar. NetApp Fileserver
werden remote überwacht und deshalb ist es je nach Installation möglich, zwischen verschiedenen Kollektoren zu wählen,
wobei ein Kollektor nur einen NetApp Fileserver überwachen kann. Der gleichzeitige Einsatz eines Kollektors als AD- und
FS-Logga für Windows Fileserver bzw. NetApp Fileserver, sowie als AD- und FS-Scanner ist möglich.
Der Logga-Auswahldialog für FS mit Überwachung enthält:
Windows Fileserver, auf denen der FS Logga für Windows Fileserver installiert ist und
Fileserver, für die mit der angegebenen Anmeldung im Active Directory Accounts gefunden wurden, die bestimmte
Werte für das Attribut „operatingSystems“ haben. Der Default für „operatingSystems“ ist nach der Installation des
Kollektors auf „OnTap“ gesetzt. Wenn in Ihrem System die NetApp Fileserver mit anderen Werten für das Attribut
„operatingSystems“ eingerichtet sind, können Sie dies entsprechend anpassen. Gehen Sie dazu in die
Konfigurationsdatei pnCollector.config.xml auf dem Fileserver mit dem installiertem FS Logga für NetApp Fileserver
und ändern folgenden Eintrag:
<tracer> … <netapp> <NetappOperatingSystems>OnTap</NetappOperatingSystems>
Wenn mehrere Werte für das Attribut „operatingSystem“ notwendig sind, tragen Sie diese einfach mit Komma getrennt
ein. Haben nicht alle oder gar keine NetApp Fileserver das Attribut „operatingSystem“ , so lassen Sie diesen Eintrag leer. In
diesem Falle werden dann sämtliche mit dieser Anmeldung im Active Directory „sichtbaren“ Account aufgelistet.
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie AD-
Logga-Einstellungen (wenn Sie AD mit Überwachung ausgewählt haben) bzw. FS-Logga-Einstellungen (wenn Sie FS mit
Überwachung ausgewählt haben) vornehmen können.
37
2.3.2.2 AD-Logga-Einstellungen
Zur Anmeldung des AD Logga Kollektors bei den Domain Controllern (zum Zwecke der Ereignis-Zustellung) sind spezielle
Rechte notwendig. Das Benutzerkonto, mit dem der Kollektor konfiguriert wird, muß das User Recht "Manage Auditing and
Security Log " besitzen (was dem Privileg " SeSecurityPrivilege" entspricht).
Die Schaltflächen und aktivieren bzw. deaktivieren den AD-Logga (andere Schaltflächen
siehe AD-Scan- Konfigurations-Bubble Kap. 2.1.3):
Solange der AD-Logga eingeschaltet ist, ist es nicht möglich die Anmeldedaten zu ändern:
Die durch den AD Logga aufgezeichneten Daten können im 8MAN Logbuch angesehen werden.
2.3.2.2.1 AD Logga Scaneinstellungen in der Konfigurationsdatei pnCollector.config.xml
Über die Konfigurationsdatei pnCollector.config.xml des für den AD Logga ausgewählten Kollektors bzw. über die
Konfigurationsdatei pnServer.config.xml des 8MAN Servers können bestimmte Parameter geändert werden, um das
Verhalten des AD Logga in gegebenen Grenzen nach Ihren Wünschen anzupassen.
Was kann geändert werden:
a. Filterung von Ereignissen von AD Objekten mit Objekt Klasse "serviceConnectionPoint"
Um über den Active Directory Service von Clients auffindbar zu sein registrieren Web-Services wie z.B. SharePoint
ihre spezifischen Daten im AD als Service Connection Point. Die registrierten Services frischen diese Daten
regelmäßig auf, was zu entsprechenden AD-Objekt Änderungen führt, was wiederum AD-Ereignissen generiert,
die vom AD Logga aufgezeichnet werden. Da diese automatischen Änderungen meistens nicht von Interessen
sind, aber signifikante Datenmengen produzieren, werden standardmäßig diese Änderungen vom AD Logga
ignoriert. Wollen Sie jedoch auch diese Änderungen im 8MAN Logbuch speichern, ändern Sie folgende Zeile in
der pnCollector.config.xml unter:
<config>
38
.. <tracer> <adlogga> .. <filter> <objectClassServiceConnectionPoint type="System.Boolean">true</objectClassServiceConnectionPoint> ..
Setzen Sie dazu den Wert von "true" auf "false".
b. Anzahl von aufgelaufenen Ereignissen und Zeitdauer nach der die Daten in die 8MAN DB geschrieben werden.
Um bei hohem Datenaufkommen den Kollektor als auch 8MAN Server zu entlasten, wird nicht jedes einzelne
Ereignis sofort in die 8MAN DB übertragen. Standardmäßig sammelt der Kollektor 1000 Ereignisse oder sammelt
10 Minuten lang (je nachdem was zuerst eintritt) bevor die Daten im 8MAN Server verarbeitet werden. Wollen
Sie nicht warten bis 1000 Ereignisse zusammengekommen sind oder 10 Minuten nach Ereigniseingang vergangen
sind, können Sie diese Werte ändern. Dazu editieren Sie folgende Zeilen in der pnCollector.config.xml unter:
<config> .. <tracer> <adlogga> <ThWriSect> .. <transferinterval type="System.Int32">600000</transferinterval> <maxevents type="System.Int32">1000</maxevents>> ..
Die Werte für transferinterval sind in Millisekunden anzugeben. Als Minimum sind 15s (15000 ms) möglich
und das Maximum liegt bei 30min (1800000ms). Das Minimum für maxevents sind 10 Events und das Maximum
10000.
c. Dauer der Speicherung der Daten
Ist eine andere Speicherdauer für die gesammelten notwendig, dann muß der Eintrag für maximumDataAgeDays
in der pnServer.config.xml Datei auf dem 8MAN Server geändert werden. Die Angabe der Dauer ist in Tagen seit
Speicherung. Der Standardwert nach Installation ist 30 Tage.
<config> .. <tracer> <db> <adLoggaCleanUp> <maximumDataAgeDays type="System.Int32">30</maximumDataAgeDays> ..
2.3.2.3 FS-Logga-Einstellungen
In der Erweiterten Benutzerverwaltungsansicht im Erweiterte-Benutzerverwaltung-Bereich kann die Funktion zur
Ausführung von FS-Logga-Reports aktiviert bzw. deaktiviert werden. Bei aktivierter Funktion erscheinen auf der 8MAN
Startseite Sznarien für konfigurierte Reporttypen. Zurzeit ist dies jedoch nur für Administratoren anwendbar.
39
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble [Kap. 2.1.3] aufweisen):
und 2.3.2.3.1
(Kap. 2.3.2.3.1)
Report-Typen
(Kap. 2.3.2.3.2)
2.3.2.3.1 FS-Logga Aktivierung
Im folgenden Dialog können Sie den FS Logga aktivieren bzw. deaktivieren.
Solange der AD-Logga eingeschaltet ist, ist es nicht möglich die Anmeldedaten zu ändern.
2.3.2.3.2 Report-Typen
Für Fileserver mit Überwachung sind 3 verschiedenen Report-Typen verfügbar. Für jeden Report-Typ sind beliebig viele
Reports konfigurierbar (die Reports selbst können mit 8MAN erstellt und gespeichert werden). Im Gegensatz zu Windows
Fileservern ist für die Konfiguration der zu überwachenden Verzeichnisse auf NetApp Fileservern eine spezielle
Berechtigung notwendig. Dazu klicken Sie auf den Link der angezeigten Anmeldung und geben dann Credentials für einen
Account ein, der auf dem ausgewählten NetApp Fileserver zur Gruppe "Power Users" gehört. Einen Domänen-Account als
Power User richten Sie auf der NetApp folgendermaßen ein:
>useradmin domainuser add <domain\user> -g “Power Users”
Sobald eine Report-Konfiguration mit einem oder mehreren Verzeichnissen erstellt wurde, beginnt der FS Logga mit dem
Aufzeichnen der Dateiaktionen. Das Löschen aller Report-Konfigurationen sorgt für das Anhalten der Datenaufzeichnung.
40
Hinweis:
Werden nicht nur alle Report-Konfigurationen , sondern auch die FS-Logga-Konfigurations-Bubble gelöscht, dann haben
Sie die Wahl alle Logga Aufzeichnungen für diesen Fileserver zu löschen oder in der Datenbank zu behalten. Wenn Sie
„vorhandene Scans löschen“ wählen, gehen alle bis dahin für diesen Fileserver gesammelten Daten verloren.
Die aufgezeichneten Daten werden automatisch in die 8MAN Datenbank des 8MAN Servers übertragen. Diese Daten
werden dann maximal 30 Tage (Standardwert nach Installation) gespeichert und können solange für die Erstellung von
Reports verwendet werden. Ist eine andere Zeitspanne notwendig, dann muß der Eintrag für maximumDataAgeDays in
der pnServer.config.xml Datei auf dem 8MAN Server geändert werden:
<config> .. <tracer> <db> <cleanUp> <maximumDataAgeDays type=”System.Int32”>30</maximumDataAgeDays> </cleanUp> </db> ..
Bitte beachten Sie, dass eine längere Speicherdauer einen entsprechend größeren Speicherbedarf auf der 8MAN
Datenbank bedeutet. Je aufgezeichneter Aktion werden 31 Byte benötigt.
2.3.2.3.2.1 Dateizugriffe
Es werden alle Aktionen an den konfigurierten Verzeichnissen, Unterverzeichnissen und den dort enthaltenen Dateien
erfasst. Diese können dann später in einem Report aufgelistet werden.
Folgende Aktionen werden aufgezeichnet:
Datei gelesen
Datei geschrieben
Verzeichnis / Datei erzeugt
Verzeichnis / Datei gelöscht
Verzeichnis / Datei verschoben bzw. umbenannt
ACL geändert
ACL gelesen (nur wenn die Konfigurationsdatei geändert wurde; ACL-Lesen ist standardmäßig ausgeschaltet und für NetApp Fileserver nicht verfügbar)
41
2.3.2.3.2.2 Wo haben Änderungen stattgefunden?
Hier können Sie Verzeichnisse des Logga-Fileservers auswählen, um später einen Report zu erstellen, in dem ausschließlich
Datei- und ACL-Schreibzugriffe in den konfigurierten Verzeichnissen und Unterverzeichnissen aufgelistet werden:
Folgende Aktionen werden aufgezeichnet:
Datei geschrieben
ACL geändert
2.3.2.3.2.3 Hat ein unerlaubter Zugriff stattgefunden - Segregation of Duty (SoD)
Es werden alle Aktionen an den konfigurierten Verzeichnissen, Unterverzeichnissen und den dort enthaltenen Dateien
erfasst, die von Benutzern ausgeführt wurden, die nicht zu von Ihnen ausgewählten Benutzern oder Benutzergruppen
gehören. Die Auswahl der erlaubten Gruppen und Benutzer erfolgt später bei der Reporterstellung, nicht innerhalb dieser
Konfiguration.
Folgende Aktionen werden aufgezeichnet:
Datei gelesen
Datei geschrieben
Verzeichnis / Datei erzeugt
Verzeichnis /Datei gelöscht
Verzeichnis / Datei verschoben bzw. umbenannt
ACL geändert
ACL gelesen (nur wenn die Konfigurationsdatei geändert wurde; ACL-Lesen ist standardmäßig ausgeschaltet und für NetApp Fileserver nicht verfügbar)
2.3.2.3.3 Einschränkung der aufgezeichneten Datenmengen
Der FS Logga bietet zwei konfigurierbare Möglichkeiten der Reduzierung der anfallenden (und damit der aufgezeichneten)
Datenmengen. Beide Möglichkeiten sind gleichzeitig und unabhängig voneinander nutzbar.
Änderungen werden erst nach dem Neustart des 8MAN Service auf dem FS mit installiertem FS Logga wirksam.
2.3.2.3.3.1 Einschränkung der zu berücksichtigenden Typen von Dateiaktionen
Die anfallenden Datenmengen können reduziert werden, indem die aufgezeichneten Dateiaktionen auf die Dateiaktionen
einschränkt werden, die Sie für Ihre Reports benötigen. Gehen Sie dazu in die Konfigurationsdatei pnCollector.config.xml
auf dem FS mit installiertem FS Logga. Unter ThValSect werden alle Dateiaktionen, welche ein true enthalten, vom FS
Logga aufgezeichnet. Für die nicht notwendigen Dateiaktionen ändern Sie den Wert auf false. Die standardmäßige
Einstellung nach der Installation des FS Logga ist true für alle Dateiaktionen außer für aclread (ACL-lesen).
<tracer> <windows>
42
<SysInfo> <ThValSect> ... <create type=”System.Boolean”>true</create> <read type=”System.Boolean”>true</read> <readwrite type=”System.Boolean”>true</readwrite> <move type=”System.Boolean”>true</move> <aclread type=”System.Boolean”>false</aclread> <aclwrite type=”System.Boolean”>true</aclwrite> ...
2.3.2.3.3.2 Einschränkung der zu berücksichtigenden Sicherheits-IDs (SID‘s)
Die anfallenden Datenmengen werden reduziert, indem alle Dateiaktionen von bestimmten sogenannten Wellknown SID‘s
nicht erfasst werden.
Nach der Installation des FS Logga werden alle Dateiaktionen der folgenden SID‘s ignoriert:
S-1-5-18 NT-AUTORITÄT\SYSTEM S-1-5-19 NT-AUTORITÄT\LOKALER DIENST S-1-5-20 NT-AUTORITÄT\NETZWERDIENST S-1-5-32-551 Sicherungs-Operatoren
Sollen jedoch auch die Dateiaktionen dieser System-User aufgezeichnet werden, muß die entsprechende Konfiguration
geändert werden. Gehen Sie dazu in die Konfigurationsdatei pnCollector.config.xml auf dem Fileserver mit installiertem
Logga-Fileserver. Unter ThValSect dann den Wert für suspendfilter auf false ändern. Die Änderung betrifft immer alle oben
genannten SID‘s. Es ist nicht möglich, das Aufzeichnen der Aktionen nur einzelner dieser SID‘s zu unterdrücken.
<tracer> <windows> <SysInfo> <ThValSect> ... <suspendfilter type=”System.Boolean”>true</suspendfilter>
SharePoint 2.4
8MAN unterstützt das Auslesen von SharePoint 2010 und 2007. SharePoint Websitesammlungen mit „Forderungsbasierter
Authentifizierung“ (Claims-Based Authentication) werden von 8MAN unterstützt mit der Einschränkung, dass die Prinzipale
aus der Domäne sein müssen, die auch die Heimatdomäne des Sharepoints ist.
2.4.1 SharePoint Scanvorbereitung
Um SharePoint scannen zu können, benötigen Sie einen mit folgenden Voraussetzungen eingerichteten Account. Für die
Durchführung der SharePoint Scans und Berechtigungsvergabe wird ein Benutzer vorausgesetzt, der in der SharePoint- und
der Datenbank-Umgebung volle Berechtigung hat (z.B: Farm Administrator). Um diesen Account richtig berechtigen zu
können, wird ein Active Directory Account vorausgesetzt, ggf. kann mit 8MAN ein neuer Account erstellt werden.
Folgende Voraussetzungen für den Scanaccount sind absolut notwendig:
43
1. Der Scanaccount muss Mitglied der Share Point Farmadministrator Gruppe sein.
2. Der Benutzer muss über die Berechtigungen der einzelnen Webanwendungen „Vollzugriff“ Berechtigungen haben
3. Auf den SharePoint Datenbanken mindestens Leserechte.
4. Auf jeder SharePoint Datenbank die spezielle Berechtigung „SharePoint_Shell_Access“.
5. Der Scanaccount muss Mitglied der lokalen Administratoren Gruppe auf allen SharePoint Servern sein.
Im Kap. 2.4.1.1 und 2.4.1.2 finden Sie eine kleine Anleitung, wie Sie sich selbst mit 8MAN einen solchen Benutzer
(nachfolgend sa – Service Account benannt) erstellen können.
Neben dem Scanaccount wird noch ein auf dem SharePoint Server installierter und mit dem 8MAN Server verbundener
Kollektor benötigt (Kap. 2.4.1.3 und 2.4.1.4), um SharePoint scannen zu können.
2.4.1.1 Erstellung Scanaccount in Active Directory
Im ersten Schritt benötigen sie einen neuen sa, den sie sich in 8MAN mit Hilfe von „erstelle neuen Benutzer/Gruppe“ neu
erstellen können. Die gewählten Namen in den Screenshots sind nur Beispielnamen, hier: sa-sp_scanner.
Dieser neu erstellte sa muss nun in die Gruppe der lokalen Administratoren auf allen SharePoint Servern aufgenommen
werden.
44
2.4.1.2 Berechtigungsvergabe für Scanaccount
2.4.1.2.1 Farm Administrator
Der Scan Account muss in der Central Administration vom SharePoint in die Farm Administratoren Gruppe hinzugefügt
werden.
2.4.1.2.2 Web Application Policy – Full Read
Zur jetzigen Zeit muss der Scan Account bei allen Web Applications über Policies mit „Full Read“ berechtigt werden, da
sonst der komplette Inhalt nicht gescannt werden kann.
45
2.4.1.2.3 Zusätzliche unbedingt benötigte Berechtigungen
Folgende Berechtigungen sind ebenfalls notwendig (wenn SharePoint 2010 u.U. nicht nach Best Practices aufgesetzt
worden ist).Wir raten es immer auszuführen.
2.4.1.2.3.1 SharePoint Shell Administrator
Diese Berechtigung erweitert den Scan Account mit der Berechtigung die „SharePoint 2010 Management Shell“ verwenden
zu können. Damit bekommt der Account die spezielle Berechtigung „SharePoint_Shell_Access“ auf allen Datenbanken und
der Account wird auf allen SharePoint-Server in die lokale Gruppe „WSS_Admin_WPG“ hinzugefügt. Dafür muss folgender
Befehl in der „SharePoint 2010 Management Shell“ ausgeführt werden:
ForEach ($db in Get-SPDatabase) {Add-SPShellAdmin -Username <User account> -Database $db}
Bitte nach dem Ausführen nachprüfen ob der Scan Account wirklich in der lokalen Gruppe „WSS_Admin_WPG“ ist.
2.4.1.2.3.2 Lokaler Administrator
Es kann eventuell nötig sein, den Scan Account auf allen SharePoint-Servern in die Gruppe „Lokale Administratoren“
hinzuzufügen.
46
2.4.1.2.3.3 Datenbank Server Rechte „Public“
Es muss sichergestellt werden, dass der Scann Account mindestens Public Rechte besitzt
2.4.1.2.3.4 Datenbank Server System Administrator
In Einzelfällen kann es nötig sein, dass dieser Scan Account auf dem Datenbank-Server als System Administrator berechtigt
wird.
47
2.4.1.2.4 Web Application Policy – Full Control
Der Kollektor auf dem SharePoint ist zur Zeit nur lesend auf dem SharePoint tätig. Deshalb wird die „Full Control“
Berechtigung nicht benötigt. Nach der Erweiterung des Kollektors zum zusätzlichen Verwalten von Berechtigungen
(„Ändern“), wird diese Berechtigung benötigt werden. Ausführungen im Kap. 2.4.1.2.2 erneut durchführen, mit der Policy
„Full Control“.
2.4.1.3 Kollektorinstallation auf dem SharePoint Server
Um SharePoint scannen zu können muß ein Kollektor auf dem SharePoint Server installiert werden (weitere Informationen
zur Kollektorinstallation Teil A -Installation-).
2.4.1.4 Kollektorverbindung SharePoint Server
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der
Name des Sharepoint Servers mit installiertem Kollektor eingetragen werden.
2.4.2 SharePoint Scankonfiguration
2.4.2.1 SharePoint Server- und Kollektorauswahl
Im SharePoint-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden
zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden Sharepoint
Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2). Für SharePoint ist
nur der auf dem SharePoint Server installierte Kollektor wählbar.
48
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”. Es erscheint eine Konfigurations-Bubble in der Sie
SharePoint Scaneinstellungen vornehmen können.
2.4.2.2 SharePoint Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble [Kap. 2.1.3] aufweisen):
Webanwendung Auswahl
(Kap. 2.4.2.2.1)
Scanoptionen für SharePoint
(Kap. 2.4.2.2.2)
Bei sind die Anmeldedaten des sa-sp_scanner Accounts einzutragen. Nachdem Sie die zu
scannenden Websiten im Einstiegspunkt-Dialog ausgewählt haben erscheint und Sie können den Scan ausführen.
2.4.2.2.1 Webanwendung Auswahl
Im Webanwendung-Auswahl-Dialog können Sie die zu scannenden Webanwendungen auswählen. Die zu verwendende
Anmeldung wird aus der SharePoint-Konfigurations-Bubble (Kap. 2.4.2.2) übernommen.
49
2.4.2.2.2 Scanoptionen für SharePoint
Im Scanoptionen-für-SharePoint-Dialog können Sie zusätzliche Optionen für die SharePoint Scan Konfiguration definieren.
Exchange 2.5
Der 8MAN unterstützt das Auslesen von Exchange ab der Version 2007. Zwingende Voraussetzung zum Scannen von
Exchange ist eine lokal installierte PowerShell 2.0 oder höher. Von dem Rechner, der den Scan ausführt sollte weiterhin
eine Verbindung zu einem Exchange Client Access Server möglich sein. Achten Sie bitte auf vorhandene Firewalls die ggf.
Autodiscovery oder eine Verbindung zum Exchanger verhindern.
Zusätzliche Anforderungen unter Exchange 2007: Lokal installierte Exchange Management Tools
2.5.1 Exchange Scanvorbereitung
2.5.1.1 Exchange 2007 Scanvorbereitung
Für den Scan von Exchange 2007 benötigt 8MAN das PowerShell SnapIn der Exchange Management Tools.
(Microsoft.Exchange.Management.PowerShell.Admin)
Das SnapIn wird durch einen Exchange Server oder die Exchange Management Tools zur Verfügung gestellt. Dazu kann
entweder ein 8MAN Kollektor auf einem Exchange Server installiert werden (nicht empfohlen), auf einem Rechner mit
installierten Exchange Management Tools installiert werden (empfohlen) oder die Management Tools auf dem Computer
des 8MAN Servers installiert werden (nicht unbedingt empfehlenswert). Mit den Exchange Management Tools wird das
nötige SnapIn installiert und für die PowerShell registriert.
2.5.1.1.1 Berechtigungen für den Scanaccount
Die Anmeldung für den Exchangescan muss zumindest Mitglied der Gruppe „Exchange View-Only Administrators“ sein. Da
bei dem Scan auch die Auflösung von Distinguished Names durchgeführt wird und die Berechtigungen auf einem Postfach
50
teilweise auch direkt am Postfachbenutzer gesetzt werden, muss der Account auch über Leserechte im Active Directory
verfügen.
Zum Abruf von Stellvertretungsregeln und Postfachordnern sind weiterhin Impersonierungsrechte notwendig. Lesen Sie
bitte hierzu weiter unter: Exchange Web Service - Impersonation
2.5.1.1.2 Exchange Web Service in Exchange 2007
Postfachordner können in Exchange 2007 über den Exchange Web Service abgerufen werden. Leider arbeitet der Exchange
Web Service nicht sehr schnell und der Scan der Postfachordner kann unter Exchange 2007 einige Zeit in Anspruch
nehmen. Um dieses Problem ein wenig zu lindern, werden die Postfachinhalte parallel abgerufen.
Stellvertretungsregeln werden auch über den Exchange Web Service abgerufen. Für detaillierte Informationen zum
Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation
2.5.1.1.3 Mögliche Probleme
Wenn der Scan nicht ausgeführt werden kann, funktionieren ggf. die Exchange Management Tools nicht. Ist das Ausführen
der Exchange Management Shell mit dem Scanaccount möglich, prüfen Sie die 8MAN Log Dateien oder kontaktieren Sie
ihren Vertriebspartner bzw. protected-networks.
2.5.1.2 Exchange 2010 Scanvorbereitung
Exchange 2010 unterstützt das Verbinden mit dem Exchange Server über eine Remote PowerShell Verbindung. Dafür ist
nur eine lokale PowerShell nötig und keine Exchange Management Tools. Ein Exchange Scan kann also von einem
beliebigen 8MAN Kollektor ausgeführt werden. Die Verbindung wird allerdings über einen Client Access Server, der in der
aktuellen Active Directory Site sein muss, hergestellt.
2.5.1.2.1 Die richtige Site
Auf dem Exchange Client Access Server gibt es eine Site mit dem Namen „PowerShell“. Über diese Site verbindet sich der
8MAN über die PowerShell mit Exchange.
Im Standard werden bei remote PowerShell Verbindungen nicht alle PowerShell Features unterstützt, so lassen sich leider
keine Skripte ausführen. Skripte werden aber bei dem Exchange Scan benötigt. Dazu ist folgende Einstellung notwendig:
Öffnen Sie die IIS Konfiguration auf dem Server auf dem der Scan ausgeführt werden soll. In der web.config der PowerShell
Site in der „appSettings“ Sektion gibt es eine Einstellung „PSLanguageMode“. Bei dieser Einstellung muss auf
„FullLanguage“ stehen.
51
Sie können dazu
1. Entweder die Einstellung direkt ändern. Damit ermöglichen Sie allen Berechtigten Zugriff über die remote
Exchange Verbindung.
2. Oder Sie kopieren diese Site und ändern die Einstellung auf der Kopie. Bei der Kopie haben Sie die Möglichkeit
nur dem 8MAN Scanaccount das Recht zu geben auf diese Site zuzugreifen.
(Siehe auch: http://blogs.microsoft.co.il/blogs/scriptfanatic/archive/2011/08/22/get-full-control-over-your-
exchange-remote-powershell-session.aspx)
Wenn sie Änderungen an den Eigenschaften der Website vorgenommen haben, müssen sie den Webserver neustarten.
2.5.1.2.2 Zusatzeinstellungen in der Scankonfiguration in Exchange 2010
Für den Exchange Scan sind zusätzlich folgende Einstellungen in 8MAN notwendig (Vergleich Kap. 2.5.2.2.3):
Auf dem Dialog können Sie die zu verwendende Website und den Authentifizierungsmechanismus einstellen. Im unteren
Teil des Dialogs finden Sie die Adresse, die der Scanner verwenden wird.
Im Standardfall verbindet sich der 8MAN mit der Default „PowerShell“ Website auf dem Exchange Client Access Server. Die
Site „PowerShell“ existiert auf allen Exchange Client Access Servern. Wollen Sie allerdings, dass der 8MAN Scan auf einer
anderen Website durchgeführt werden soll, ändern Sie die Einstellung in der Scankonfiguration. „exadmin“ ist in diesem
Fall eine Website mit eingerichtetem FullLanguage Support.
Im Standardfall verbindet sich der 8MAN mit dem „Default“ Authentifizierungsmechanismus zu dem Exchange Client
52
Access Server. Bitte wählen Sie einen Authentifizierungsmechanismus, der im IIS für diese Website aktiviert ist. Default,
Basic und Kerberos sollten die üblichen Mechanismen sein und wurden bei unseren Tests auch erfolgreich verwendet. Das
Bild unten beschreibt beispielhaft mögliche Einstellungen.
Im Standardfall verbindet sich der 8MAN zum Exchange Client Access Server mit dem voll qualifizierten Servernamen.
Wenn dies nicht möglich ist, funktioniert ggf. die Verbindung über den einfachen Servernamen. Aktivieren oder
deaktivieren Sie dazu die Checkbox auf dem Dialog.
Wir empfehlen außerdem die https Unterstützung auf dem IIS Server zu aktivieren. Wenn die Site keine https
Verbindungen zulässt, warnt der Scanner während des Scans.
2.5.1.2.3 Berechtigungen für den Scan Account
Der Scanaccount muss zumindest Mitglied der Gruppe „View-Only Organization Management“ sein. Da bei dem Scan auch
die Auflösung von Distinguished Names durchgeführt wird und Berechtigungen teilweise auf dem Active Directory
Postfachbenutzer gelesen werden, muss der Scanaccount auch über Leserechte im Active Directory verfügen.
Beachten Sie, wenn der Scanaccount nur Mitglied der „Organization Management“ Gruppe ist, ggf. nicht alles lesen kann,
weil z.B. Postfachinhalte durch Deny-Rechte geschützt sind. Als Mitglied der „Organization Management“ Gruppe ist es z.B.
nicht möglich, die Stellvertretungsregelung abzurufen, weil die Impersonierung fehlschlägt.
Zum Abruf von Stellvertretungsregeln sind weiterhin Impersonierungsrechte notwendig. Lesen Sie bitte hierzu weiter
unter: Exchange Web Service - Impersonation
2.5.1.2.4 Exchange 2010 und Throttling
Für den Abruf von Stellvertretungen wird auch in Exchange 2010 der Exchange Web Service verwendet. Der Scan orientiert
sich an den gegebenen Throttlingeinstellungen des Exchange Servers für den Scanaccount. Sie können den Scan also mit
einer optimalen Throttlingeinstellung beschleunigen. (Siehe auch: http://technet.microsoft.com/de-
de/library/dd298094(v=exchg.141).aspx) Interessant ist vorrangig die Einstellung „EWSMaxConcurrency“. Sie beeinflusst
die Anzahl der parallelen Abfragen, mit denen der Scan die Stellvertretungsregeln abruft. (Siehe auch: Fehler!
erweisquelle konnte nicht gefunden werden. und Fehler! Verweisquelle konnte nicht gefunden werden.)
Für detaillierte Informationen zum Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation
2.5.1.2.5 Selbstversuch in der PowerShell
Falls Sie die Einstellungen einmal in der PowerShell direkt probieren wollen, verwenden Sie bitte folgende Vorgehensweise:
1. Starten Sie eine PowerShell Konsole (möglichst mit der Anmeldung die auch für die Remote Session verwendet
werden soll, sonst gibt’s unverständliche „Access Denied“ Meldungen)
53
2. Erzeugen Sie ein Credential Objekt mit
$cred = get-credential 3. Erzeugen Sie ein SessionOption Objekt (Ausschalten aller Checks für den Test) mit
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck –SkipRevocationCheck 4. Erzeugen Sie eine Session (URI und Authentication (Authentifizierungsmechanismus) müssen Sie ggf. ändern,
eine https Verbindung wird empfohlen sollte aber nicht zwingend notwendig sein)
$session = New-PSSession -configurationname Microsoft.Exchange -connectionURI https://b-
labex59/exadmin/ -Credential $cred -SessionOption $so -Authentication Kerberos
5. Betreten der Session und Sie können cmdlets ausführen (welche ausführbar sind, ist von den
Rechten abhängig)
Enter-PSSession $session
2.5.1.2.6 Fehler bei Verbindungen mit der Remote PowerShell
Leider existieren ein paar Fallstricke, die die remote Verbindung mit dem Exchange Server nicht möglich machen. Neben
der bereits unter Die richtige Site erwähnten notwendigen Sprachunterstützung gibt es folgende:
1. Nicht aktivierte Authentifizierungsmechanismen:
8MAN versucht im Standardfall eine Verbindung mit dem Standard/Default Authentifizierungsmechanismus herzustellen.
Falls das nicht möglich ist, prüfen Sie bitte folgende Punkte:
a. Der Authentifizierungsmechanismus ist auf der IIS Site nicht aktiviert. Nach einer Aktivierung und
einem Neustart der Website sollte es keine Probleme geben.
b.
c. Wenn Sie diesen nicht aktivieren möchten, können Sie einen anderen Authentifizierungsmechanismus
verwenden. Passen Sie dazu die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in
der Scankonfiguration in Exchange 2010)
2. Der voll qualifizierte Servername ist nicht erreichbar
Manchmal ist der Client Access Server nicht über den voll qualifizierten Servernamen erreichbar, ggf. reicht es nur den
Servernamen zu verwenden, passen Sie dafür die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in der
Scankonfiguration in Exchange 2010)
54
Es ist möglich, dass eine Firewall die Verbindung mit dem Exchange Server verhindert. Bitte prüfen Sie auch die Firewall
Einstellungen.
3. „Kein Zugriff“ beim Verbinden
Wenn Sie einen solchen Fehler im Log des 8MAN bei den Verbindungsversuchen zu einem Client Access Server finden, liegt
es daran, dass der Scanaccount keinen Zugriff auf die Website hat. Ändern Sie hierzu auf dem IIS die Berechtigung an der
anzusprechenden Site (Standard „PowerShell“). Auf unserer Testumgebung funktionierten sogar nur direkte
Berechtigungen, jedoch keine indirekten Berechtigungen über die Gruppenmitgliedschaft in der Administratoren Gruppe
(Standardberechtigung auf diesen Websiten).
Im Bild oben sehen Sie beispielhaft die in unserer Testumgebung gesetzten Berechtigungen.
2.5.1.3 Exchange Web Service - Impersonation
Während über die PowerShell administrative Informationen (die Struktur selbst und Berechtigungen auf den Objekten) von
Exchange über Postfächer und Öffentliche Ordner abgerufen werden können, ist es möglich über den Exchange Web
Service auf die Inhalte zuzugreifen. Stellvertretungsregeln können bisher lediglich über den Exchange Web Service
abgerufen werden.
Achtung! Das Abrufen von Postfachinhalten kann mit Datenschutzrichtlinien in Ihrem Unternehmen kollidieren. Bereits aus
der Ordnerstruktur eines Postfachs lassen sich ggf. pikante Informationen ableiten. Bevor Sie sich entscheiden
Postfachordner abzurufen, sollten Sie prüfen, ob es rechtlich möglich ist, diese abzurufen und einzusehen.
Bitte beachten Sie, dass die Impersonierung nur auf aktiven Active Directory Accounts funktioniert.
Zugriffe auf den Exchange Web Service geschehen immer im Kontext des Postfachbenutzers, dazu benötigt der
Scanaccount das Recht zu impersonieren. Impersonierungsrechte werden in Exchange 2007 und 2010 unterschiedlich
verwaltet und konfiguriert. Für die Einrichtung der Impersonierung folgen Sie bitte diesen Links:
55
- Exchange 2007: http://msdn.microsoft.com/library/exchange/bb204095(v=exchg.80).aspx Zusammenfassung:
Die Impersonierung muss im ersten Schritt für jede einzelne Postfachdatenbank aktiviert warden. Im zweiten
Schritt muss die Scananmeldung das Impersonierungsrecht für explizit genannte oder alle Postfächer einer
Postfachdatenbank erhalten.
- Exchange 2010: http://msdn.microsoft.com/library/exchange/bb204095(v=exchg.140).aspx Zusammenfassung:
Unter Exchange 2010 muss dem Scanaccount nur eine Managementrolle zugewiesen werden, in der explizit das
Impersonierungsrecht vergeben wird.
Der Exchange Web Service muss nicht gesondert adressiert werden, der Zugriff erfolgt wie in Outlook über eine
Autodiscovery Funktion. Falls diese einmal hakt, könnte es an folgenden Problemen liegen:
1. Eine Firewall verhindert die Benutzung der Autodiscovery Funktion
Prüfen Sie hierfür ggf. auf verworfene Pakete in der Firewall
2. Der zuständige CAS Server ist nicht erreichbar
Führen Sie hierfür den Autodiscovertest in Outlook durch
Mit einem Rechtsklick bei gedrückter Strg-Taste auf das Outlook Icon im Informationsbereich erscheint obiges
Kontextmenü. Mit einem Klick auf „E-Mail-AutoKonfiguration testen“ kann die Autodiscovery Funktion direkt in Outlook
getestet werden.
3. Wenn die Beiden obigen Vorschläge keine Hinweise liefern, prüfen Sie bitte das Serverlog und schicken Sie es an
ihren Vertriebspartner bzw. an protected-networks.
2.5.2 Exchange Scankonfiguration
2.5.2.1 Exchange Server- und Kollektorauswahl
Im Exchange-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden
zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden Exchange
Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
56
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie
Exchange Scaneinstellungen vornehmen können.
2.5.2.2 Exchange Scaneinstellungen in der 8MAN Konfiguration
Die übliche Scangeschwindigkeit ist derzeit 10 Elemente pro Sekunde. Wenn Sie nur eine Teilmenge für zu lesende
Öffentliche Ordner festlegen, werden keine Statistikdaten abgerufen, weil das Auslesen dieser Daten dann extrem langsam
ist.
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble [Kap. 2.1.3] aufweisen):
und
Scanoptionen
Exchange
(Kap. 2.5.2.2.1)
und
Exchange
Verbindungseinstellungen
(Kap. 2.5.2.2.3)
-Dialog nur für Exchange
2010-
Postfachdetails
(Kap. 2.5.2.2.2)
2.5.2.2.1 Scanoptionen Exchange
Im Scanoptionen-für-Exchange-Dialog können Sie Einstellungen für Postfächer und Öffentliche Ordner vornehmen.
57
2.5.2.2.2 Postfachdetails
Im Postfachdetails-Dialog kann aktiviert werden, dass der Exchange Web Service beim Scan für Stellvertretungen benutzt
wird (weitere Informationen zum Exchange Web Service – Impersonation Kap. Fehler! Verweisquelle konnte nicht
efunden werden.). Zu beachten sind hier insbesondere die möglichen Probleme mit dem Datenschutz. nach Aktivierung
des Abrufs von Postfachdetails können Sie auch den Abruf von Postfachordnern aktivieren. Beachten Sie hier benötigte
Impersonierungsrechte für den Scanaccount.
2.5.2.2.3 Exchange Verbindungseinstellungen
Im Exchange-Verbindungseinstellungen-Dialog können Sie die Verbindung zu Exchange 2010 konfigurieren (weitere
Informationen im Kap. Fehler! Verweisquelle konnte nicht gefunden werden.).
58
2.5.2.3 Exchange Scaneinstellungen in den Konfigurationsdateien
Verschiedene Einstellungen können nicht in der Scan Konfiguration in der 8MAN Konfiguraton vorgenommen werden. Um
doch Einfluss auf den Scan zu nehmen, gibt es ein paar Einstellungen die in den Konfigurationsdateien eingestellt werden
können.
2.5.2.3.1 Postfachkategorien - Attributdefinition
Im Standardfall sortiert der 8MAN die Postfächer ab 200 Postfächer in Kategorien anhand der Active Directory Eigenschaft
„sn“. Die zu verwendende Eigenschaft kann über die Konfigurationsdatei auf ein beliebiges Textfeld aus dem Active
Directory verändert werden. Dazu muss in der pnJob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird,
folgende Einstellung im Bereich <config> vorgenommen werden:
<collector.scanner.exchange.sortingPropertytype="System.String">sn</ collector.scanner.exchange.sortingProperty>
2.5.2.3.2 Postfachkategorien - Kürzungsregeln
Im Standardfall werden Kategorienbezeichnungen mit 10 Zeichen für Anfang und Ende erzeugt, sollte es anders sein,
setzen sie folgende Einstellung in der pnServer.config.xml auf dem 8MAN Server im Bereich <config>:
<exchange.CategoryLength type="System.Int32">10</exchange.CategoryLength>
Der mögliche Wertebereich ist 1 bis 500.
2.5.2.3.3 Postfachkategorien verhindern
Im Standardfall werden ab einer Menge von 200 Postfächern Postfachkategorien erzeugt. Ein zu kleiner Scrollbalken auf
der Ressourcen-Ansicht sorgt nicht gerade für Übersicht. Wenn dies allerdings nicht gewünscht ist, setzen sie folgende
Einstellung in der pnServer.config.xml auf dem 8MAN Server im Bereich <config>:
<exchange.makeMailBoxCategories type="System.Boolean">false </exchange.makeMailBoxCategories>
Die beiden möglichen Einstellungen sind „true“ oder „false“. „true“ für die Erzeugung von Kategorien. „false“ für eine
flache Liste von Postfächern in der Ressourcen-Ansicht.
2.5.3 Exchange 2010 Throttling Factor
Im Standardfall verwendet der 8MAN beim Zugriff auf den Exchange Web Service die maximal durch die ThrottlingPolicy
möglichen parallelen Anfragen. Falls die ThrottlingPolicy unbegrenzt viele Anfragen zulässt wird die Anzahl der Prozessoren
mal 8 verwendet. Wenn dieser Faktor zu hoch oder zu niedrig ist, fügen Sie bitte folgende Einstellung in der
pnJob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird, im Bereich <config> ein:
<collector.scanner.exchange.processormultiplierForUnlimitedThrottling type="System.Int32">8</
collector.scanner.exchange.processormultiplierForUnlimitedThrottling>
59
Ersetzen Sie “8” durch eine sinnvolle Zahl als Faktor. Die gegebene Zahl wird mit der Prozessoranzahl multipliziert, das
Ergebnis ist die Anzahl der verwendeten parallelen Abfragen auf den Exchange Web Service.
vSphere 2.6
2.6.1 vSphere Scanvorbereitung
2.6.1.1 Kollektorinstallation auf dem vSphere Server
Der 8MAN Kollektor muss auf dem vSphere-Server installiert werden (Teil A -Installation-). Über diesen lokalen Kollektor kommuniziert der 8MAN-Server später mit dem vSphere-Server und fragt alle benötigten Informationen ab.
2.6.1.2 Kollektorverbindung vSphere Server
Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der
Name des vSphere Servers mit installiertem Kollektor eingetragen werden.
2.6.2 vSphere Scankonfiguration
2.6.2.1 vSphere Server- und Kollektorauswahl
Im vSphere-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden
zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu scannenden vSphere
Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap. 2.1.2).
60
Wird zur Ressource-Suche ein auf dem vSphere-Center berechtigtes Benutzerkonto verwendet, erscheinen nach einiger Zeit alle verfügbaren vSphere-Servernamen in der Liste als verfügbare vSphere-Ressourcen. Das unter „Verwendete Anmeldung“ aufgeführte Benutzerkonto muss auf dem vSphere-Center Lese-Rechte für alle Elemente (Bestandslisten und Netzwerk) und deren Berechtigungen besitzen. Ist dies nicht der Fall, wird keine vSphere-Ressource gefunden. Wir empfehlen hier die Verwendung eines Administrator-Kontos. Die Suche nach Ressourcen kann anfangs einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmWare-Kommunikationsschnittstelle einige Zeit in Anspruch nimmt.
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble in der Sie
Exchange Scaneinstellungen vornehmen können.
2.6.2.2 vSphere Scaneinstellungen
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble[Kap. 2.1.3] aufweisen):
vSphere Scaneinstellungen (Kap. 2.6.2.2)
Im Auswahl-der-Sprache-für-die-vSphere-Scan-Dialog können Sie die Sprache für die Darstellung der Rollen und Privilegien
aus dem vCenter wählen.
61
Die Startphase eines Scans kann einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmWare-
Kommunikationsschnittstelle einige Zeit in Anspruch nimmt. Danach werden die einzelnen Informationen jedoch relativ
zügig ausgelesen und gespeichert.
Lokale Konten 2.7
Mit 8MAN ist es möglich die lokalen Konten von verschiedenen FileServern zu scannen, um diese bei den Berechnungen
von Gruppenmitgliedschaften mit zu verwenden.
2.7.1 Lokale Konten- und Kollektorauswahl
Im Auswahl-der-lokalen-Konten-Dialog können Sie die für die Ressourcensuche zu verwendende Anmeldung
(standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen), den zu
scannenden Server mit lokalen Konten und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im
Kap. 2.1.2).
Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures
eingebaut worden:
Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt.
62
Ein Klick auf den Header sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen
werden standardmäßig nach Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle
Elemente aus der Liste.
Der Filter über der Liste wurde erweitert sodass er „Wildcard (*)“ Anfragen unterstützt. Man kann jetzt noch
komplexere Filterkriterien anwenden:
63
Die untere Kollektorliste enthält alle konfigurierten Kollektoren. Das Icon rechts zeigt ob der ausgewählte
Kollektor die geladenen Ressourcen scannen kann:
Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures
eingebaut worden:
Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt. Ein Click auf den Header
sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen werden standardmäßig nach
Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle Elemente aus der Liste:
Wenn Sie alle Einstellungen vorgenommen haben „Anwenden”.Es erscheint eine Konfigurations-Bubble“ in der Sie
lokale Kontenscaneinstellungen vornehmen können.
2.7.2 Lokale Kontenscaneinstellungen
Für lokale Konten auf einem Window Fileserver werden mindestens die Anmeldedaten eines Domänenbenutzers benötigt.
Für lokale Konten auf nicht Windows Fileservern muss der Anmeldungsaccount Mitglied der lokalen Administratorgruppe
sein.
Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan-
Konfigurations-Bubble [Kap. 2.1.3] aufweisen):
Lokale Kontenscaneinstellungen (Kap. 2.7.2)
Im Zusätzliche-Optionen-für-den-Scanner-der-lokalen-Konten-Dialog können Sie die Max. parallelen Anfragen einstellen
(Kap. 2.1.3.4.2).
64
Jobsliste 2.8
In der Jobsliste werden alle Scanaufträge der aktuellen Scankonfigurationen gruppiert in einer Baumansicht angezeigt.
Desweiteren werden die Ausführungzeiten für Datenbank-Bereinigungen (alte Datenstände [Kap. 7] werden dabei
gelöscht) angezeigt. Für einen detailiertere Ansicht und es öffnet sich die Jobliste-Details-Ansicht mit den
zusätzlichen Spalten Ausführungsdauer, Ergebnis und letzte Meldung.
In der Jobliste und Jobliste-Details sind Aktionen zum Starten, Löschen und Abbrechen von Scanaufträgen im Kontextmenü
(Rechtsklick) verfügbar und können gleich aus der Liste ausgeführt werden. Dabei gibt es folgende Einschränkungen:
Zeitgesteuerte Aufträge können gestartet, aber nicht gelöscht werden.
Zukünftige Berechtigungsänderungen können gelöscht und sofort ausgeführt werden.
Alle laufenden Aufträge können gestoppt werden.
65
3 KOLLEKTOREN
In der Kollektorenansicht können installierte Kollektoren (Teil A -Installation-) mit dem 8MAN Server verbunden werden.
Die Schaltflächen (teilweise aus dem Kontextmenü[Rechtsklick]) haben folgende Bedeutung:
und
Kollektorverbindung
(Kap. 3.1) und
Anmeldung für
Kollektorinstallation
(Kap. 3.3)
Kollektorinstallation
(Kap. 3.4)
Kollektorentfernung
(Kap. 3.5)
Kollektorverbindung 3.1
Für die Kollektorverbindung mit dem 8MAN Server tragen Sie den Namen oder die IP-Adresse des Computers, auf dem der
Kollektor installiert wurde, in das Kollektor-hinzufügen-Feld ein (Standard-Port ist 55555 und muss nicht angegeben
werden) Für den Vorgang des Kollektorhinzufügens können Sie optinal eine Anmeldung zur Fern-Administration des
Kollektors im Maschinen-Administratoren-Anmeldung-Bereich eingeben:
66
Diese wird beim hinzufügen des Kollektors in die Spalte „Administrator“ übernommen und kann manuell geändert werden
(Kap. 3.3). Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es bei dauerhafter Angabe
einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann (diese könnte, z.B.
Systeminstabilitäten verursachen). bzw. „Keine Anmeldung“ im Active-Directory-Anmeldung-Dialog setzt die
Anmeldung im Maschinen-Administratoren-Anmeldung-Bereich wieder auf optinal.
„Nachdem Sie den Namen bzw. die IP-Adresse eingegeben haben . Nun wird eine Verbindung zwischen 8MAN Server
und Kollektor hergestellt und die Spalte „Zustand“ zeigt bei erfolgreicher Verbindung den Text „Verbunden“ an.
Kollektoraktualisierung 3.2
Der 8MAN-Server aktualisiert alle konfigurierten Kollektoren automatisch, sobald die erste Netzwerk-Verbindung
hergestellt werden kann. Bis zur Version 4.5 kamen zwei unterschiedliche Methoden zur Aktualisierung zum Einsatz. Beide
Varianten haben jedoch in der Praxis in bestimmten Konstellationen dazu geführt, dass die Kollektoren nicht aktualisiert
wurden. Aus diesem Grund wurde mit der Version 4.6 eine dritte Aktualisierungsmethode eingeführt, die in den
Fehlerfällen eingesetzt werden kann.
3.2.1 Beschreibung der Aktualisierungsmethoden
Im Folgenden nun eine kurze Beschreibung der einzelnen Aktualisierungsmethoden mit ihren Voraussetzungen sowie den
Vor- und Nachteilen.
Methode 1 Methode 2 Methode 3
Aktualisierungs-
technik
Der Server überträgt alle zu
aktualisierenden Dateien zum
Kollektor. Dieser spielt die
neuen Dateien ein und der
Kollektor wird wieder neu
gestartet.
Der Server überträgt das
komplette Installationspaket
zum Kollektor. Dieser startet
das Paket. Nach der
Installation wird der Kollektor
neu gestartet.
Der Server kopiert alle
benötigten Installationsdateien
in das Dateisystem der
Kollektormaschine unter
Verwendung eines
Administrator-Kontos. Der
Server startet die Installation.
Nach der Installation wird der
Kollektor neu gestartet.
Voraussetzungen Kollektor ist installiert und
läuft.
Kollektor-Version vor 4.4.
Kollektor ist installiert und
läuft.
Kollektor-Version 4.4. oder
neuer.
Benutzer-Konto, das direkt
oder indirekt in der lokalen
Administratoren-Gruppe der
Kollektor-Maschine Mitglied
ist.
67
Die Maschinen von Server und
Kollektor befinden sich in
Domänen mit vollen
Vertrauensstellungen.
Vorteile Kleines Aktualisierungs-Paket. Alle Dateien – inkl. Dienste und
Treiber – werden aktualisiert.
Alle Dateien – inkl. Dienste und
Treiber – werden aktualisiert.
Der Kollektor muss nicht
bereits installiert gewesen
sein.
Nachteile Dienste und Treiber werden
nicht aktualisiert.
Der Kollektor muss bereits
installiert sein und laufen.
In bestimmten Umgebungen
schlägt der Start Aktualisierung
fehl.
Der Kollektor muss bereits
installiert sein und laufen.
Ein Benutzer-Konto mit hohen
Berechtigungen ist
erforderlich.
3.2.2 Einsatzumgebungen der Aktualisierungsmethoden
Die sich anschließende Tabelle zeigt einzelne Einsatzumgebungen aus der hervorgeht, dass bei einer installierten 4.4 oder
4.5 unter Windows Server 2003 die Aktualisierung nicht automatisch erfolgen kann (orange hinterlegt). Die automatisch
ausgewählten Aktualisierungsmethoden, die fehlerfrei funktionieren, sind grün hinterlegt. Ist ein Administrator-Konto
hinterlegt, wird automatisch die Methode 3 verwendet (blau hinterlegt).
Betriebssystem Vertrauensstellung 8MAN-Version Methode 1 Methode 2 Methode 3
Windows Server 2003 Ja - Nein Nein Ja
Windows Server 2003 Nein - Nein Nein Nein
Windows Server 2003 Ja Vor 4.4. Ja Nein Ja
Windows Server 2003 Nein Vor 4.4. Ja Nein Nein
Windows Server 2003 Ja 4.4. oder 4.5 Nein Nein Ja
Windows Server 2003 Nein 4.4. oder 4.5 Nein Nein Nein
Windows Server 2003 Ja Ab 4.6. Nein Ja Ja
Windows Server 2003 Nein Ab 4.6. Nein Ja Nein
Windows Server 2008 oder später Ja - Nein Nein Ja
Windows Server 2008 oder später Nein - Nein Nein Nein
Windows Server 2008 oder später Ja Vor 4.4. Ja Nein Ja
Windows Server 2008 oder später Nein Vor 4.4. Ja Nein Nein
Windows Server 2008 oder später Ja 4.4. oder 4.5 Nein Ja Ja
Windows Server 2008 oder später Nein 4.4. oder 4.5 Nein Ja Nein
Windows Server 2008 oder später Ja Ab 4.6. Nein Ja Ja
Windows Server 2008 oder später Nein Ab 4.6. Nein Ja Nein
68
Anmeldung für Kollektorinstallation 3.3
Im Active-Directory-Anmeldung-Dialog können Sie die für die Kollektoraktualisierung benötigten Anmeldedaten
eingegeben. Sofern sie bereits Anmeldedaten bei der Kollektorverbindung (Kap. 3.1) eingegeben haben, werden diese in
der Spalte „Administrator“ angezeigt. Sollte Sie noch keine Anmeldedaten eingegeben können Sie dies im Active-Directory-
Anmeldung-Dialog (Kap. 3.1) tun. Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es
bei dauerhafter Angabe einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann
(diese könnte, z.B. Systeminstabilitäten verursachen).
Kollektorinstallation 3.4
Wenn Sie einen Kollektor installieren wollen und noch kein Anmeldedaten eingegeben haben (Kap. 3.1 und 3.3), erscheint
folgender Dialog:
Nachdem die Angabe der Anmeldedaten erfolgt ist, wird der Kollektor installiert (weitere Informationen Kap. 3.2).
Kollektorentfernung 3.5
Bevor ein Kollektor gelöscht wird, erfolgt folgende Sicherheitsabfrage:
69
4 ÄNDERN-KONFIGURATION
AD-Ändern-Konfiguration 4.1
In der AD-Ansicht können Sie Vorgabewerten, die als Voreinstellungen für die eigentliche Benutzung der Funktion in 8MAN
(z. B. Benutzer anlegen) dienen, definieren (Kap. 4.1.1 Erforderliche Angaben und 4.1.2 Kap. Optionale Attribute) und Sie
können ein externes Programm an 8MAN anbinden (Kap. 4.1.3. Externes Programm). Die hier gesetzten Werte können in
8MAN auch nachträglich noch geändert werden. Um die Einstellungen zu speichern „Zurück“.
70
4.1.1 Erforderliche Angaben
Im Anmeldename-Bereich können Sie Bildungsregeln des Anmeldenamens für neu anzulegende Benutzer, Administratoren
oder Dienstkonten erstellen, wodurch eine Vorbelegung aufgrund von Vor- und Nachname sowie Typ des Benutzerkontos
generiert wird.
Im Kontooptionen-Bereich können Sie Kontooptionen, wie z.B.das Start-Kennwort das für neue Benutzer gelten soll,
einstellen.
4.1.2 Optionale Attribute
Im optionale-Attribute-Bereich können Sie Attribute (LDAP) auswählen, die Sie beim Erstellen von neuen Benutzern oder
Gruppen setzen möchten. Erforderliche Attribute sind hierbei nicht abwählbar (erkennbar an dem grünen Haken). Bitte
beachten Sie, dass Attribute, die Sie hier abwählen, nicht bei der Erstellung eines neuen Objektes in 8MAN verwendet
werden können.
4.1.3 Externes Programm
71
Im externes-Programm-Bereich können Sie einstellen das beim Anlegen eines neuen Benutzers ein externes Programm
ausgeführt werden soll.
Unterstützte Formate für externe Programme sind *.ps1, *.bat, *.cmd und *.vbs
Sie können einen Namen, den Pfad für das externe Programm und optional Kommandozeilen Argumente angeben. Bei den
Kommandozeilen Argumenten kann man, wie auch schon bei den Bildungsregeln für den Benutzeranmeldenamen,
gewünschte Attribute (LDAP) in geschweifte Klammern schreiben (z.B. {samaccountname}). Die dann ermittelten Werte für
die Attribute werden dem externen Programm übergeben. Falls man sich bei den Argumenten verschrieben hat und kein
Wert für dieses Argument ermittelt werden kann, so wird das Argument ohne Umsetzung (z.B. {unbekannt}) an das externe
Programm übergeben. Wenn für die Ausführung des Programms keine Anmeldedaten konfiguriert wurden, dann werden
automatisch bei der Programm-Ausführung die Anmeldedaten für das Ändern im AD benutzt.
Einschränkungen
Das externe Programm muss sich lokal auf dem 8MAN Server befinden. Bei Eingabe des Verzeichnisses und des
Dateinamens wird überprüft, ob das Programm verfügbar ist.
Wenn Sie die Checkbox zum Ausführen nicht angewählt haben, dann wird bei Benutzer anlegen diese
Konfiguration nicht berücksichtigt. Nur im Falle einer angewählten Checkbox wird die Konfiguration benutzt.
Wenn das Programm beim Anlegen eines Benutzers nicht mehr verfügbar ist oder die Konfiguration fehlerhaft
ist, dann wird eine Fehlermeldung ausgegeben. Das Benutzeranlegen ist weiterhin möglich, jedoch eine externe
Programmausführung nicht. Es wird dabei zusätzlich ein Hinweis ins Logbuch geschrieben, dass man den
Benutzer angelegt hat, das externe Programm aber nicht ausgeführt wurde.
Bei *.bat und *.cmd sollte beachtet werden, dass die Ausgabe nur mit dem ASCII Zeichensatz arbeitet.
Ausnahme dabei ist, wenn man die *.bat bzw. *.cmd Dateien mit einem einfachen Editor geschrieben hat.
Die Ausgaben des externen Programms werden im Erfolgsfall als Nachricht im Merkzettel hinterlegt und ebenfalls in das
Logbuch des neu erzeugten Benutzers geschrieben:
72
Im Fehlerfall innerhalb der externen Programausführung werden die Ausgaben bis zum Fehlerauftritt in das Serverlog
geschrieben, sodass es möglich ist, nachträglich die Fehler zu analysieren.
FS-Ändern-Konfiguration 4.2
In dieser Ansicht können Sie sämtliche Werte, die für die Ausführung des Gruppenassistenten und für
Berechtigungsänderungen auf dem FS notwendig sind, einstellen. Hierzu zählen die Grundeinstellungen (Kap. 4.2.1),
Zugriffskategorien (Kap. 4.2.2), 8MAN Gruppen (Kap. 4.2.3) und die FS-Blacklist (Kap. 4.2.4). Informationen zum Status der
Konfiguration finden Sie im Kap. 4.2.5.
4.2.1 Grundeinstellungen
73
Im Grundeinstellungen-Bereich können Sie den Gruppenassisent (Kap. 4.2.1.1), den Simulationsmodus (Kap. 4.2.1.2) und
Verzögertes Schreiben von ACEs (Kap. 4.2.1.3) aktivieren. Desweiteren können Sie die AD-Gruppenverwendung (Kap.
4.2.1.4) und den Initialer Test der Berechtigungsänderungen (Kap. 4.2.1.5) einstellen.
4.2.1.1 Gruppenassisent
Der Gruppenassistent bleibt nach der Installation von 8MAN auf einem neuen System zunächst inaktiv. Dies ist notwendig,
da es Einstellungen in Bezug auf AD und FS gibt, die auf Ihre Umgebung abgestimmt sein müssen. Setzen Sie einen Haken in
die Checkbox , um den Gruppenassistent zu aktivieren. Wenn Sie den Gruppenassistenten deaktivieren, kann er im 8MAN
nicht verwendet werden. Ist der Gruppenassistent aktiviert kann er im 8MAN bei Bedarf deaktiviert werden
4.2.1.2 Simulationsmodus
Mit Änderungen nur simulieren wird ein Simulationsmodus aktiviert, so dass Änderungen in den Berechtigungen nicht
wirksam werden, d. h. Sie werden nur simuliert und angezeigt.
4.2.1.3 Verzögertes Schreiben von ACEs
Aktivieren Sie diese Option und stellen Sie die Anzahl der Tage ein, um die eine Änderung von ACEs verzögert werden soll.
Dies ist sinnvoll, da in bestimmten Situationen Berechtigungsänderungen erst nach einer erneuten Anmeldung eines
Benutzers wirksam werden. Durch das Verzögerte Schreiben können Sie die Änderungen auf einen Zeitpunkt verschieben,
an dem keine oder nur wenige Benutzer angemeldet sind.
4.2.1.4 AD-Gruppenverwendung
74
Um eine entsprechende Standardisierung bei der Berechtigungsvergabe umzusetzen, bietet 8MAN an, lokale, globale,
universelle, sowie lokale und globale Berechtigungsgruppen anzulegen. Damit werden Direktberechtigungen vermieden
und eine einheitliche Vergabestruktur aufgesetzt. Es ist damit auch nicht notwendig, eigene Gruppenstrukturen für
Berechtigungen aufzusetzen. Es wird standardmäßig empfohlen, nur lokale Gruppen anzulegen.
Beachten Sie, dass eine Auswahl nur vorgenommen werden kann, wenn Sie bisher noch keine Auswahl getroffen und
gespeichert haben oder der Simulationsmodus aktiviert ist. Die Auswahl im Simulationsmodus ist dabei unabhängig von
der im „echten“ Betrieb. Sofern Sie noch keine Konfiguration angelegt haben und mit aktiviertem Simulationsmodus
speichern, haben Sie weiterhin die freie Wahl der Gruppenstrategie für den „echten“ Betrieb. Erst wenn Sie bei
ausgeschalteter Simulation speichern, wird die Strategie verbindlich festgelegt.
Wichtig: Beachten Sie bitte, dass diese Einstellung nur einmalig vorgenommen werden kann. Eine nachträgliche
Umstellung führt zu Inkonsistenzen.
4.2.1.5 Initialer Test der Berechtigungsänderungen
Sie können einen initialen Test aktivieren (der Simulationsmodus muß dafür ausgeschaltet werden), mit dem geprüft wird,
ob die Anmeldedaten ausreichend sind, um Änderungen im System durchführen zu können. Damit entfällt beim Ändern
von Verzeichnisberechtigungen in 8MAN der folgende Dialog:
4.2.2 Zugriffskategorien
75
Im Bereich der Rechtekennzeichen legen Sie zum einen fest, welche Zugriffskategorien im Gruppenassistenten zur
Verfügung stehen und zum anderen, welche Kürzel jede Kategorie besitzen soll. Soll auch eine Listgruppe angelegt werden,
muss „Ordnerinhalt auflisten“ angeklickt werden. Die hier aktivierten Zugriffskategorien erscheinen im Gruppenassistenten
als Spalten in die Sie zur Änderung von Zugriffsberechtigungen einzelne oder mehrere Benutzer hinein bzw. wieder heraus
schieben können. Die Kürzel werden analog zu den gruppenspezifischen Zeichen (Kap. 4.2.3.1) den Gruppennamen
hinzugefügt (Beispiel für Kürzel md in Vorschaufeld Kap. 4.2.3.3).
4.2.3 8MAN Gruppen
Der Gruppenassistent erstellt für die Zugriffsberechtigungen auf einem Verzeichnis eigene Gruppen, die einen einheitlichen
Aufbau besitzen. Im 8MAN-Gruppen-Bereich können Sie diesen Aufbau Ihren Erfordernissen anpassen: Gruppenspezifische
Zeichen (Kap. 4.2.3.1), Pfadverwendung in Gruppennamen (Kap. 4.2.3.2) und Namensformat (Kap. 4.2.3.3).
4.2.3.1 Gruppenspezifische Zeichen
Definieren Sie hier die Kürzel zur Kennzeichnung der verschiedenen Gruppentypen. Das Trennzeichen, das Sie hier
76
festlegen, kann zur Abgrenzung der einzelnen Namensbestandteile genutzt werden. Das hier aufgeführte Listgruppen-
Suffix wird im Rahmen der automatischen Listrechteverwaltung verwendet und kennzeichnet entsprechend automatisch
angelegte Listgruppen. Als Beispiel ist im Vorschaufeld das Kürzel g für globale Gruppenzu sehen.
4.2.3.2 Pfadverwendung in Gruppennamen
Hier können die Vorgaben für den Pfad gemacht werden, der im Gruppennamen auftaucht. Der Pfad ist wichtig, um bei
einem Verschieben oder Umbenennen die frühere Herkunft ggf. einfach wiederherstellen zu können. Auf der linken Seite
können Sie zwischen kompletten Pfad (\\Server\Freigabe\Verzeichnis\...), relativen Pfad zum Server
(\Freigabe\Verzeichnis\...) oder relativen Pfad zur Freigabe (\Verzeichnis\...) wählen. Auf der rechten Seite können Sie den
gewählten Pfad noch weiter auf bestimmte Pfadanteile beschränken. 8MAN wird ausgehend von dieser Vorgabe den
Namen für die 8MAN Gruppen anhand des aktuellen Pfades erstellen. Ein Beispiel Ihrer Pfadverwendung in Gruppennamen
sehen Sie im Vorschaufeld.
4.2.3.3 Namensformat
Sie bestimmen, welche Namensbestandteile und in welcher Reihenfolge diese zu einem Gruppennamen zusammengefügt
werden Das Format des Gruppennamens kann nahezu frei konfiguriert werden. Wählen Sie unter „Namensformat“ einfach
die Bestandteile und Trennzeichen aus, die sich an den jeweiligen Positionen befinden sollen. . Jede Information (Präfix,
Gruppenkennung, Pfad und Zugriffsrecht) kann nur einmal verwendet werden. Wird es an einer anderen Stelle
eingeschaltet, wird es an der vorherigen Stelle automatisch entfernt. Ein Beispiel Ihres Namensformats sehen Sie im
Vorschaufeld.
4.2.4 FS-Blacklist
Die FS-Blacklist erlaubt Ihnen Benutzer , Gruppen und SIDs auszuwählen, deren Berechtigungen durch 8MAN nicht
verändert werden sollen. Als Anmeldung für die Suche in AD werden standardmäßig die Anmeldedaten aus der
Basiskonfiguration [Kap. 1.2.1] übernommen).
77
Sie fügen einen Benutzer bzw. ein Gruppe hinzu, indem Sie in das Suchfeld den Namen bzw. Teilnamen eingeben und
anschließend in den Suchergebnissen den entsprechenden Eintrag auswählen. Per Drag-and-Drop, Doppelklick oder
wird die zugehörige SID in die FS-Blacklist eingefügt. Alternativ können Sie direkt eine SID in das Suchfeld eingeben und in
die FS-Blacklist einfügen. Neben dem Filterfeld gibt es noch die Möglichkeit interne Einträge (gesperrte Einträge) oder
eigene Einträge in der Blacklist ein- bzw. auszublenden. Zum Entfernen eines Eintrags aus der Blacklist, wählen Sie einen
Eintrag aus und . Desweiteren gibt es noch die Möglichkeit Standardeinträge wiederherzustellen
. Dabei werden alle Well-Known-SIDs in die Blacklist eingetragen die von 8MAN empfohlen werden
(Ihre selbstdifinierten Einträge bleiben hierbei erhalten).
4.2.5 Status der Konfiguration
Dieser Informationsbereich zeigt Ihnen den Zustand der aktuellen Konfiguration sowie Meldungen über den Abschluss von
Lade- und Speichervorgängen.Diese Analyse zeigt an, ob es zu Fehlern in der Konfiguration kam. Zur Aktivierung der neuen
oder geänderten Konfiguration muß diese mit „Übernehmen”. gespeichert werden.Sofern Sie eine Konfiguration
geändert haben, erscheint die folgende Sicherheitsabfrage:
78
Um die Konfiguration zu übernehmen „Ja”. Sofern die Konfiguration gültig ist und das Speichern erfolgreich war, werden
entsprechende Meldungen angezeigt:
Im Fall einer fehlerhaften oder unvollständigen Konfiguration, werden entsprechende Hinweise angezeigt und es erfolgt
keine Speicherung:
SharePoint- Ändern-Konfiguration 4.3
Die Durchführung von Änderungen mit 8MAN kann erst erfolgen, wenn eine Konfiguration des Änderungsmoduls für
SharePoint vorgenommen wurde und bereits mindestens einmal ein Scan des SharePoints erfolgt ist. Die Konfiguration von
SharePoint können Sie in folgenden Kapiteln vornehmen: Konfiguration (Kap. 4.3.1), Grundeinstellungen (Kap. 4.3.2),
Zugriffskategorien (Kap. 4.3.3), 8MAN-Gruppen (Kap. 4.3.4), SharePoint-Websitesammlung-Blacklist (Kap. 4.3.5),
SharePoint-Globale-Blacklist (Kap. 4.3.6). Die SharePointkonfiguration erfolgt pro Websitesammlung, das bedeutet, dass
jede Websitesammlung ihre eigene Konfiguration haben kann.
79
Einschränkungen bei der Konfiguration von SharePoint:
Der Gruppenassistent ist nur arbeitsfähig, wenn auf dem SharePoint ein 8MAN Kollektor installiert und
funktionsfähig ist.
Forderungsbasierte (claimbased) SharePoint Berechtigungen sind nur in der Art unterstützt, als dass die
Prinzipals Elemente der Domäne sein müssen, die den SharePoint beheimatet.
8MAN unterstützt momentan die Veränderung von Berechtigungen auf SharePoint Objekt Level beginnend mit
der Websitesammlung.
Die Modifikation von Farmadministratoren, Websitesammlungsadministratoren, Websitesammlungbesitzern
bzw. sekundären Besitzern wird im Moment nicht unterstützt, die Resourceansicht jedoch zeigt alle
Berechtigungsebenen komplett an.
Die Modifikation von Websitesammlungs-Policies wird in der Version nicht unterstützt, in der Resourceansicht
jedoch korrekt wiedergegeben.
Die Wiederherstellung der Vererbung wird nicht unterstützt.
4.3.1 Konfiguration
Im Konfiguration-Bereich können Sie entscheiden, ob die aktuelle Konfiguration für alle Websiten übernommen werden
soll (Kap. 4.3.1.1) und ob Konfigurationen gelöscht werden sollen (Kap. 4.3.1.2).
4.3.1.1 Übernehmen für alle Websitesammlungen
Im folgenden Dialog können Sie einstellen, dass die aktuelle Konfiguration für alle Websiten übernommen werden soll.
Bereits existierende Konfigurationen gehen damit verloren.
80
4.3.1.2 Lösche diese Konfiguration
Im folgenden Dialog können Sie die ausgewählte Konfiguration der ausgewählten Websitesammlung löschen.
4.3.2 Grundeinstellungen
Im Grundeinstellungen-Bereich können Sie den Gruppenassistenten (Kap. 4.3.2.1), den Simulationsmodus (Kap. 4.3.2.2),
die Initiale Prüfung der Änderung ohne Benutzer-Aufforderung (Kap. 4.3.2.3) und die Verwendung von (Kap. 4.3.2.4)
einstellen. Der Bereich Grundeinstellungen beinhaltet einige Optionen, die analog zum FS-Ändern-Grundeinstellungen-
Bereich (Kap. 4.2.1) sind.
4.3.2.1 Gruppenassistenten aktivieren
Diese Option sorgt dafür, dass der 8MAN für Berechtigungen auf SharePoint Objekten explizit SharePoint Gruppen anlegt.
4.3.2.2 Änderungen nur simulieren (Simulationsmodus)
Diese Option unterbindet die Möglichkeit der letztlichen Ausführung einer mit 8MAN vorgenommenen Änderung. Sobald
das System im produktiven Einsatz arbeiten soll, muss diese Option selbstverständlich deaktiviert werden.
81
4.3.2.3 Initiale Prüfung der Änderungen ohne Benutzer-Aufforderung
Hier können Sie einstellen ob eine initiale Prüfung der Konfiguration ohne Benutzer-Aufforderung durchgeführt werden
soll. Im Kapitel 4.2.1.5 wird dies für das Ändern von Verzeichnisberechtigungen auf FS in 8MAN beschrieben. Diese
Beschreibung gilt analog auch für Änderungen in Sharepoint.
4.3.2.4 Standardgruppen verwenden
Die Websitesammlungobjekte verfügen nach dem Neuanlegen über eine Anzahl von automatisch erzeugten Gruppen
(Owners Group, Visitors Group, Members Group,…). Die Aktivierung der Option bewirkt, dass im Fall des aktivierten
Gruppenassistenten vorzugsweise diese vordefinierten Gruppen zum Einsatz kommen.
4.3.2.5 SharePoint Anmeldung
Im SharePoint-Anmeldung-Dialog können Sie Anmeldedaten zum Schreiben in SharePoint eingeben.
4.3.3 Zugriffskategorien
82
Der Bereich ‚Zugriffskategorien‘ ermöglicht die Konfiguration von den Berechtigungen, die in der
Gruppenassistentenanzeige des 8MAN bereitgestellt werden sollen. Es besteht die Möglichkeit, zwischen der 8MAN-Rolle
‚Administratoren‘ und der Rolle ‚Alle Anderen‘ zu differenzieren. Die Grundidee ist dem ‚Alle Anderen‘-Benutzer nur einen
eingeschränkten Handlungsspielraum bei der Berechtigungsvergabe einzuräumen. Alle hier nicht ausgewählten
Berechtigungen und alle weiteren werden allerdings in der Kategorie ‚Sonstige Berechtigungen‘ zusammengefasst. Diese
Kategorie ermöglicht prinzipiell nur das Entfernen von Permissions. Die Kategorie ‚Limited Access‘ ist grundsätzlich als
schreibgeschützt zu betrachten, da der SharePoint ‚Listrechte‘ selber automatisch verwaltet. Es gibt keine Einschränkungen
für kundenspezifische Permission-Sets. Die Konfiguration bietet zusätzlich zu den Standardberechtigungen auch alle frei
definierten Permission-Sets zur Auswahl.
4.3.4 8MAN-Gruppen
Der Abschnitt ‚8MAN Gruppen‘ widmet sich der Namensbildung der automatisch erzeugten 8MAN Resourcegruppen
(weitere Informationen im Kap. 4.2.3). Es existiert eine Vielzahl von möglichen Kombinationen. Generell wird als Suffix das
Kennzeichen der Zugriffskategorien verwendet. Die Regeln sind nur von Bedeutung, wenn die Option „Gruppenassistent
verwenden“ aktiv ist.
83
4.3.5 SharePoint-Websitesammlung-Blacklist
Die Sharepoint-Websitesammlung-Blacklist erlaubt Ihnen Benutzer , Gruppen und SIDs für die ausgewählte
Websitesammlung auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen.
Im Kapitel 4.2.4 wird die FS-Blacklis beschrieben. Diese Beschreibung gilt analog auch für den Sharepoint-
Websitesammlung-Blacklist, wobei es folgende Ergänzungen gibt. Anstelle des Anzeigens von eigenen Einträgen in der
globalen Blacklist gibt es hier die Option globale Blacklist-Einträge ein- bzw. auszublenden. Desweiteren können Sie
widerrufene (gelöschte) Blacklist-Einträge aus der globalen Blackliste bzw. lokale (Websitesammlung) Blacklist-Einträge ein-
bzw. ausblenden. Mit können Sie widerrufene Blacklist-Einträge aus der globalen Blacklist wiederherstellen.
4.3.6 SharePoint-Globale-Blacklist
Die Sharepoint-Globale-Blacklist ( ) erlaubt Ihnen Benutzer , Gruppen und SIDs für alle
Websitesammlungen auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen.
84
Im Kapitel 4.2.4 wird die FS-Blacklist und im Kapitel 4.3.5 die Sharepoint-Websitesammlung-Blacklist beschrieben. Diese
Beschreibungen geltent analog auch für die Sharepoint-Globale-Blacklist, wobei es folgende Ergänzungen gibt. In der
globalen Blacklist gibt es noch die Option Blacklist-Einträge zu sperren ( ) bzw.entsperren ( )um Änderungen dieser
Blacklist-Einträge in den Websitesammlungen-Blacklists zu verhindern bzw. zu erlauben.
85
5 BENUTZERVERWALTUNG
Benutzermanagement 5.1
In der Benutzerverwaltung haben Sie die Möglichkeit den Zugriff auf den 8Man einzuschränken. Das Benutzermanagement
wird durch Hackensetzen bei „Benutzermanagement aktiv“ aktiviert. Als Anmeldung für die Suche in AD werden
standardmäßig die Anmeldedaten aus der Basiskonfiguration [Kap. 1.2.1] übernommen).
Sie haben die Möglichkeit auf der linken Seite Benutzer und Gruppen zu suchen und per Drag-and-Drop , Doppelklick oder
zur rechten Seite in die Liste der Benutzer, die 8MAN benutzen dürfen, hinzuzufügen. Es wird dabei in allen
verfügbaren Domänen gesucht. Wenn sie das Domänenkürzel voranstellen (z.B. „pn\“) wird nur in der Domäne „pn“
gesucht.
Die Benutzer die 8MAN benutzen dürfen, können veschiedene Rollen (Berechtigungen) zugewiesen werden, diese werden
in Form von Symbolen angezeigt:
Keine Berechtigung
Lesen und Reports erstellen
Lesen, Reports erstellen und Ändern (Data Owner)
86
Administrator
Um Benutzer aus der Liste zu löschen . Desweiteren können Sie in derunteren Hälfte des Benutzverwaltung-Bereichs
Erweiterte Benutzerverwaltung 5.2
Zum Aufklappen des Erweiterte-Benutzerverwaltung-Bereichs .
Verwenden Sie die “Erweiterte Benutzerverwaltung“ um zu definieren, welche Rolle welche Funktionen, in 8MAN
benutzen kann. Es gibt die Rollen Administrator, DataOwner und Alle Anderen. Die Funktionen werden durch bzw.
aktiviert bzw. deaktiviert. Wenn 8MAN Benutzern im Benutzermanagement eine Rolle zugewiesen wurde, können
diese 8MAN Benutzer alle im Erweiterte-Benutzerverwaltung-Bereich aktivierten Funktionen benutzen. Alle deaktivierten
Funktionen sind dann nicht sichtbar. Wenn Ihre Lizenz bestimmte Funktionen ausschließt (z.B. eine 8MAN-Visor- Lizenz)
können Sie diese Funktionen (grauer Hintergrund) auch nicht im Erweiterte-Benutzerverwaltung-Bereich aktivieren oder
deaktivieren.
87
6 DATENEIGENTÜMER
Die Dateneigentümer-Konfiguration ermöglicht eine Zuweisung von Ressourcen zu Dateneigentümern, aufbauend auf
individuell strukturierbaren Organisationskategorien. Das eigene Unternehmen kann so abgebildet werden und einzelnen
Organisationskategorien können Ressourcen bzw. Benutzer oder Gruppen zugeordnet werden.
Die Schaltflächen bzw. Bereiche haben folgende Bedeutung:
Organisationskategorieeinstellungen
(Kap. 6.1)
und
Verwendbare
Ressourcen
(Kap. 6.3)
und
Dateneigentümer hinzufügen
(Kap. 6.2)
Einstellungen für das Ändern
von Gruppenmitgliedschaften für
Dateneigentümer (Kap. 6.4)
Anzahl an Dateneigentümern bzw.
aller verwendaren Ressourcen
Einstellungen für 8MAN-
Gruppen (Einstellungen
Scankonfiguration Kap.
2.1.5.5 und 2.1.5.6)
Kap
88
Organisationskategorieeinstellungen 6.1
Die Schaltflächen haben folgende Bedeutung:
Hinzufügen
(Kap. 6.1.1)
Dateneigentümer CSV Import
(Kap. 6.1.5)
Umbenennen
(Kap. 6.1.2)
Dateneigentümer CSV Export
(Kap. 6.1.6)
Eintrag löschen
(Kap. 6.1.3)
Report der Konfiguration
(Kap. 6.1.7)
Alles zurücksetzen
(Kap. 6.1.4)
6.1.1 Hinzufügen
Im Name-der-Organisationskategorie-Dialog könnenn Sie den Namen einer neuen Organisationskategorie unterhalb der
ausgewählten Organisationskategorie eingeben.
6.1.2 Umbenennen
Im Organisationskategorie-umbennen-Dialog können Sie den Namen der Organisationskategorie ändern.
6.1.3 Eintrag löschen
Im Löschen-Dialog (Eintrag löschen) können Sie das Organisations Kriterium mit dazugehörigem Inhalt löschen.
89
6.1.4 Alles zurücksetzen
Im Löschen-Dialog (Alles zurücksetzen) können Sie alle bereits konfigurierten Organisationen löschen.
6.1.5 Dateneigentümer CSV Import
Voraussetzung für den Dateneigentümer CSV Import ist, dass sowohl das AD, in dem die Data Owner sind, als auch die
Fileserver, deren Zugriff gesetzt werden soll, bereits gescannt wurden. Desweiteren wird eine csv-Datei mit folgenden
Werten benötigt:
acht obligatorische Spalten mit folgenden Überschriften: „Server“, „Freigabe“ bzw. „Share“, „8ManUser“,
„Ressourcetype“ (AD,FS, SharePoint und Exchange), „Organisationseinheit“ (LDAP-Pfad der OU an, in der die
8MAN Gruppen des Dateneigentümers erstellt werden sollen), „Präfix“ (Zusatz Präfix beim Erstellen der 8MAN
Gruppen), „Schreibgeschützt“ (Wert 0 veränderbare Ressource und 1 Lese-Ressource) und „Level 1“
Spalten durch Semikolon oder Tab getrennt
optionale Spalte mit Überschift „Kollektor“ (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor
verwendet) oder „Level 2“ bis „Level 10“
weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren
Überschriften
Beispiel einer csv-Datei:
im Import-Datei-Dialog können Sie die zu importierende csv-Datei auswählen und „Öffnen".Im
90
Dateneigentümer CSV-Import-Dialog werden die zu importierenden Daten aufbereitet und Sie erhalten eine Vorschau der
zu importierenden Organisationen:
Benutzer oder Freigaben die nicht importierbar sind, werden in extra Reitern angezeigt. Des Weiteren gibt es jetzt die
Möglichkeit beim Import zu entscheiden, ob man die bereits vorher konfigurierten Dateneigentümer aus der
Benutzerverwaltung beim Importieren der neuen Konfiguration entfernen möchte. Ist das Häkchen gesetzt, werden alle
vorher eingetragenen Dateneigentümer gelöscht und nur die neuen Dateneigentümer übernommen.Mit „Anwenden“
werden alle importierbaren Organisationskategorien als neue Organisationsstruktur übernommen. Vorhandene Strukturen
werden gelöscht.
6.1.6 Dateneigentümer CSV Export
Im Speichern-unter-Dialog können Sie die Dateneigentümerkonfiguration im csv-Format speichern. Dabei werden die im
Kap. 6.1.5 beschriebenen Werte verwendet.
91
6.1.7 Report der Konfiguration
Im Speichern-unter-Dialog können Sie einen Report über die Größe (Speicherplatzauslastung) der einzelnen Freigaben
eines Dateneigentümers im csv-Format speichern. Als Ergebnis wird eine neue Reportdatei im csv Format geöffnet.
Die Spalte User wird gefüllt, wenn als Data Owner eine Gruppe eingetragen wurde. Dann werden alle Mitglieder dieser
Gruppe aufgelistet.
Dateneigentümer hinzufügen 6.2
Dem Dateneigentümer-Bereich können Benutzer und Gruppen aus dem Benutzer & Gruppen-Auswahl-Bereich auf der
linken Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste hinzugefügt werden. Beim
Klicken auf einen Benutzer oder einer Gruppen im Dateneigentümer-Bereich erscheint , mit wird der Benutzer
oder die Gruppe gelöscht.
Verwendbare Ressourcen 6.3
Die Schaltflächen haben folgende Bedeutung:
Die Ressource ist veränderbar
(Kap. 6.3)
Die Ressource ist lesbar (
Kap. 6.3)
92
Als verwendbare Ressource für Dateneigentümer können AD, FS, SharePoint und Exchange verwendet werden. Im
verwendbare-Ressourcen-Bereich können einzelne Benutzer-, Gruppen- und Computer-Objekte, Organisationseinheiten
oder ganze Domänen enthalten sein. Einem Dateneigentümer können Ressourcen als veränderbare Ressourcen oder Lese-
Ressourcen zugeordnet werden. Dem verwendbare-Ressourcen-Bereich können Ressourcen aus dem Ressourcen-Auswahl-
Bereich auf der rechten Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste
hinzugefügt werden. Beim Klicken auf eine Ressource im verwendbare-Ressourcen-Bereich erscheint. bzw.
und Sie können die Ressourcen als Lese- bzw. veränderbare Ressource setzen oder löschen.
Standardmäßig werden die Elemente beim Hinzufügen als veränderbare Ressourcen eingestellt. Werden aber Domänen-
Unterelemente (z.B. eine OU oder eine Gruppe) hinzugefügt, dann wird die Domäne zur Lese- Ressource geändert und das
untergeordnete Element zur veränderbaren-Ressource. Sie können den Ressourcentyp nachträglich manuell umsetzen.
Für Dateneigentümer der verwendbaren Ressourcen gilt dann:
Neue Gruppen und Benutzer können innerhalb veränderbarer OUs erzeugt werden.
Innerhalb veränderbarer Gruppen darf er Änderungen vornehmen und veränderbare Mitglieder hinzufügen oder
entfernen.
Bei veränderbaren Objekten können Attributinhalte verändert werden.
Veränderbare Benutzer können deaktiviert und gelöscht bzw. wieder hergestellt werden.
Von veränderbaren Benutzern kann das Passwort zurückgesetzt werden.
Für veränderbare Gruppen und Benutzer können Berechtigungen auf den zugewiesenen veränderbaren
Fileserver-Ressourcen geändert, hinzugefügt oder entfernt werden.
Aufgrund des übergeordneten OU Kriteriums müssen neue/gelöschte Mitglieder in der Konfiguration nicht nachträglich
einfügt/entfernt werden (um die DO Konfiguration auf dem jeweils aktuellsten Stand zu halten), da die Abfragen der OU-
Zugehörigkeit immer erst zum Überprüfungszeitpunkt (z.B. AD Change) stattfinden.
Einstellungen Ändern von Gruppenmitgliedschaften für 6.4
Dateneigentümer
Im Ändern-von-Gruppenmitgliedschaften-Bereich können Sie festlegen, wie Sie mit Gruppenmitgliedschaften umgehen
wollen, die nicht explizit im eigenen Dateneigentümer-verwendbare-Ressourcen-Bereich enthalten sind. Die
Standardwerte sind dabei entfernen von Gruppenmitgliedern bzw. nicht hinzufügen von Gruppenmitgliedern.
Diese Einstellungen wirken sich nur auf das Ändern von Gruppenmitgliedschaften aus. Das Ändern von Berechtigungen auf
den Verzeichnissen wird wie bisher über Fileserver-Ressourcen-Einträge festgelegt. Wenn Sie ein Verzeichnis als
veränderbare Ressource eintragen, dann können Sie darauf Änderungen vornehmen. Diese Änderungen an
Verzeichnisrechten sind dann nur mit ihren eingetragenen veränderbaren-Domänenobjekten (Benutzer und Gruppen)
möglich.
93
7 SERVER
Die Bereiche in der Serveransicht finden Sie in folgenden Kapiteln beschrieben:
Autorisierung
(Kap. 7.1)
Server
Schwellwerte
(Kap. 7.5)
Kommentare
(Kap. 7.2)
Report
(Kap. 7.6)
(Kap. 7.3)
Server Ereignis
Protokollierung
(Kap. 7.7)
Datenstand
Speicherung
(Kap. 7.4)
Autorisierung 7.1
Im Autorisierung-Bereich können Sie einstellen ob alla Änderungen eines Dateneigentümers mit 8MAN durch einen 8MAN
Administrator autorisiert werden müssen.
94
Kommentare 7.2
Im Kommentare-Bereich können Sie die Anzahl der Tage einstellen, für die Kommentarzettel an Accounts und Ressourcen
angezeigt werden sollen.
E-Mail 7.3
Im E-Mail-Bereich können das Senden von E-Mails für Fehler, Alarme, Änderungsbenachrichtigungen oder
Reporteinstellungen aktivieren.
Datenstand Speicherung 7.4
Im Datenstand-Speicherung-Bereich können Sie das Scan-Archiv aktivieren, um alte und bereits in der Datenbank gelöschte
Datenstände zu laden. Desweiteren können Sie das automatische löschen alter Datenstände in der Datenbank aktivieren.
95
Server Schwellwerte 7.5
Im Server-Schwellwerte-Bereich können Sie Einstellungen für die Überprüfung der Server Schwellwerte vornehmen
(Überblick über die aktuellen Server Schwellwerte Kap. 1.4.2).
Report 7.6
Im Report-Bereich können Sie verschiedene Einstellungen für Reports vornehmen, z.B. können Sie einstellen, das
Gruppenmitglieder ab einer bestimmten Mitgliederzahl im Report nicht explizit aufgelistet werden sollen. Die Gruppe
selbst wird im Report weiterhin angezeigt, jedoch nur mit dem Vermerk über die Anzahl der enthaltenen Mitglieder.
96
Dies gilt für alle Reports des 8MAN. Sinnvoll ist es, z.B: die Gruppe Domänenbenutzer in die Liste der Gruppen mit
aufzunehmen.
Server Ereignis Protokollierung 7.7
Im Server-Ereignis-Protokollierung-Bereich können Sie Einstellungen für die Server Ereignis Protokollierung vornehmen.
97
8 SERVER-STATUS
Lizenzinformationen 8.1
Im Lizenzinformationen-Bereich können Sie durch „Lizenz laden“ eine Lizenz laden. Es erscheint folgender
Dateiauswahldialog:
Gehen Sie zum Verzeichnis das die Lizenzdatei enthält. Standardmäßig speichert 8MAN die Lizenzdatei unter
C:\ProgramData\protected-networks.com\8MAN\licenses. Wählen Sie die Lizensdatei aus und „Öffnen“.
98
Nun können Sie die Lizenzinformationen sehen:
„Zurück“ gelangen Sie wieder ins Mein 8MAN Dashboard. Nach dem erfolgreichen Laden einer Lizenz zeigt das Mein
8MAN Dashboard den Funktionsumfang der Lizenz an (Kap. 1.4). Für die Volllizenz sind je nach 8MAN Version verschiedene
Konfigurationspunkte verfügbar.
Übersicht der angemeldeten Benutzer am 8MAN Server 8.2
Im Server-Status-Bereich wird eine Liste aller angemeldeten Benutzer an das 8MAN System angezeigt. Es wird zwischen
8MAN, 8MAN Konfiguration und 8MAN Reports unterschieden.
99
9 8MAN STARTEN
8MAN kann nun gestartet werden . .
Ändern Sie den Port nur, wenn das gemeinsam mit dem Support von protected-networks.com in der Konfigurationsdatei
geändert wurde.
Fertig – Viel Spaß mit 8MAN!
Für Fragen erreichen Sie unseren Support unter +49(30)3906345-44.
8MAN benutzt die WPF Toolkit Bibliothek v.3.5.50211.1 , © Microsoft Corporation 2010
100
http://wpf.codeplex.com/license
Über uns:
protected-networks.com wurde 2009
in Berlin gegründet und entwickelt
seitdem 8MAN, eine Software für
Benutzer- und
Berechtigungsmanagement unter
dem Windows Betriebssystem.
www.8man.com
Deutschland (Hauptsitz) protected-networks.com GmbH Alt-Moabit 73 10555 Berlin Tel. +49 (030) 390 63 45 - 0 Fax +49 (030) 390 63 45 – 51 [email protected] www.protected-networks.com
UK protected-networks.com 1 Stanhope Gate Camberley, Surrey , GU15 3DW +44 (0) 1276 919 989 [email protected] www.8man.co.uk
USA
8MAN USA, Inc. +1 (855) TRY-8MAN [email protected] www.8man.com
