INSTALLATION UND KONFIGURATION HANDBUCH. Version 5.0

Transkript

1 INSTALLATION UND KONFIGURATION HANDBUCH Version 5.0

2 2 Haftungsausschluss Die in diesem Handbuch gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von protected-networks.com im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von protectednetworks.com weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen. Urheberrecht 8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei protectednetworks.com GmbH liegen. Marken und geschäftliche Bezeichnungen sind auch ohne besondere Kennzeichnung Eigentum des jeweiligen Markeninhabers.

3 3 Teil A -Installation Teil B -Konfiguration Erste Schritte nach der Installation Login 8MAN Konfiguration Basiskonfiguration Lizenz laden MAN Konfigurationsansicht Verschlüsselung der 8MAN Netzwerkkommunikation Scans AD-Scan- und Ressourcenkonfiguration FS-Scan- und Ressourcenkonfiguration Logga SharePoint Exchange vsphere Lokale Konten Jobsliste Kollektoren Kollektorverbindung Kollektoraktualisierung Anmeldung für Kollektorinstallation Kollektorinstallation Kollektorentfernung Ändern-Konfiguration AD-Ändern-Konfiguration FS-Ändern-Konfiguration SharePoint- Ändern-Konfiguration Benutzerverwaltung Benutzermanagement Erweiterte Benutzerverwaltung Dateneigentümer Organisationskategorieeinstellungen Dateneigentümer hinzufügen Verwendbare Ressourcen Einstellungen Ändern von Gruppenmitgliedschaften für Dateneigentümer Server Autorisierung Kommentare... 94

4 Datenstand Speicherung Server Schwellwerte Report Server Ereignis Protokollierung Server-Status Lizenzinformationen Übersicht der angemeldeten Benutzer am 8MAN Server MAN starten... 99

5 5 TEIL A -INSTALLATION- Für die Installation von 8MAN sind die erforderlichen Systemanforderungen zu erfüllen (Teil A -Systemanforderungen-). Der Computer auf dem der 8MAN Server installiert werden soll, muss in einer Windowsdomäne angemeldet sein und es darf sich dabei nicht um ein standalone Computer handeln. Um die Installation zu beginnen starten Sie die Setup.exe Datei als Administrator. Das Betriebssystem wird automatisch erkannt und im darauffolgenden Dialog können Sie wählen, welche Sprache (Deutsch, Englisch oder Russisch) während der Installation verwendet werden soll. Die gewählte Sprache wird als Standard für 8MAN und die 8MAN Konfiguration übernommen und kann später im Logindialog für 8MAN und die 8MAN Konfiguration geändert werden (Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch). OK und es erscheint der Setupassistentendialog. Mit Zurück und Weiter können Sie durch die Installationsschritte navigieren. Um die Installation durchzuführen, müssen Sie den Lizenzvereinbarungen zustimmen.

6 6 Bitte wählen Sie die zu installierenden 8MAN Komponenten und den Speicherort für die Installation aus. Die Architektur der 8MAN Komponenten (Zusammenarbeit und Funktion der Komponenten) ist im 8MAN Architekturdokument detailliert beschrieben. Bei einer normalen Installation übernehmen Sie die voreingestellte Auswahl. Der 8MAN Server muss nur auf einem Computer installiert werden und sollte zuerst installiert werden (auch bei Programmaktualisierungen). Danach können Kollektoren und die Benutzeroberflächen auf beliebig vielen Computern installiert werden. Auf Computern mit 8MAN Server kann kein Kollektor installiert werden. Auf Computern ohne 8MAN Server kann jeweils nur ein Kollektor installiert werden. Beachten Sie, dass die Versionen von Server und Kollektoren gleich sein müssen. Es wird empfohlen die Benutzeroberflächen 8MAN und die 8MAN Konfiguration zusammen mit dem 8MAN Server auf einen Computer zu installieren. Sollten 8MAN und die 8MAN Konfiguration ab Version 4.6 separat auf verschiedenen Computern installiert sein, dann laden diese ab Version 5 automatisch vom 8MAN Server und führen diese aus. Die existierende Installation wird nicht gelöscht, aktualisiert oder verändert und die neuen Dateien werden in einem lokalen Verzeichnis temporär gespeichert. Somit sind für die Aktualisierung keine administrativen Rechte nötig. Der Anmeldedialog zeigt die original installierte Version, während anschließend die aktualisierte Anwendung ausgeführt wird. Installieren und die Installation wird gestartet.die Installation erkennt eine bereits installierte Version und führt ein Update bei einer älteren Version durch oder bricht die Installation ab, wenn bereits eine neuere Version installiert ist.

7 Fertig stellen schließt die Installation ab und es öffnet sich der Logindialog für die 8MAN Konfiguration. 7

8 8 TEIL B -KONFIGURATION- 1 ERSTE SCHRITTE NACH DER INSTALLATION 1.1 Login 8MAN Konfiguration Nach der Installation erscheint der Logindialog für die 8MAN Konfiguration automatisch. Für manuelle Starts. Standardmäßig werden für die Anmeldung die Benutzerdaten vom momentan auf dem 8MAN Server Computer angemeldeten Benutzer übernommen. Alternativ kann man sich mit anderen Anmeldeinformationen anmelden. Im aufgeklappten Erweiterte-Optionen / Sprachauswahl-Bereich ( ) ist es möglich, den 8MAN Server, den Port sowie die Sprache für die 8MAN Konfiguration auszuwählen:

9 9 Hier geben Sie den Computernamen oder die IP-Adresse des Computers ein auf dem der 8MAN Server läuft. Wenn der 8MAN Server lokal läuft, geben Sie bitte localhost ein. Die voreingestellte Portnummer ist Als Sprache können Sie Deutsch, Englisch, Russisch, Französisch, Spanisch und Serbisch wählen. Wenn Sie die gewünschten Werte ausgewählt haben Anmelden. 1.2 Basiskonfiguration Die 8 MAN Konfiguration startet beim ersten Mal nach der Installation automatisch mit der Ansicht für die Basiskonfiguration: In der Basiskonfiguration konfigurieren Sie die Anmeldung für den 8MAN Server und den Microsoft SQL Server. Weitere Informationen zu den einzelnen Bereichen der Basiskonfiguration können Sie unter 8MAN sagt! nachlesen MAN Server Anmeldung Der 8MAN Server ist ein Dienst, der mit lokalen System Berechtigungen läuft. Um sich am Microsoft SQL Server anzumelden und im Active Directory Daten lesen zu können, benötigt der 8MAN Server Anmeldeinformationen. Die 8MAN Server Anmeldung wird bei entsprechender Konfiguration bei der Anmeldung am Microsoft SQL Server verwendet. Weiterhin werden diese Anmeldeinformationen auch standardmäßig bei neu zu konfigurierten Scans vorgeschlagen. Für Scans können im Mein 8MAN Dashboard unter Scans auch gesonderte Anmeldedaten eingegeben werden. Der 1. Test überprüft automatisch nach Eingabe der Daten, ob die eingegebenen Daten für die 8MAN Server Anmeldung

10 10 korrekt sind. Wenn alles in Ordnung ist erscheint folgende Meldung: SQL-Serverkonfiguration In der SQL-Serverkonfiguration müssen der Microsoft SQL Server Name, die Microsoft SQL-Server Instanz, der SQL- Datenbankname (keine Verwendung von Leerzeichen) und die Art der Anmeldung am SQL-Server festgelegt werden. Standardmäßig ist für die SQL-Serverdatenbank das einfache Wiederherstellungsmodell eingestellt. Ein Wechsel zum vollständigen Wiederherstellungsmodell ist erst nach der Erstkonfiguration möglich (Kap ). Bei einem Haken in der Checkbox Verwende Anmeldung des 8MAN-Servers (Windows Authentifizierung) werden die Benutzerdaten die bei der 8MAN- Server Anmeldung eingegeben wurden, verwendet. Es ist auch möglich, die Microsoft SQL Server eigene Benutzerverwaltung zu verwenden, tragen Sie dazu den Benutzernamen und das Passwort in die entsprechenden Felder ein. überprüft der 2. Test, ob die eingegebenen Daten für die SQL-Serveranmeldung korrekt sind. Wenn alles in Ordnung ist erscheint folgende Meldung: 8MAN unterstützt auch Microsoft SQL Server 2005, 2008 oder 2012 in der Express Version. Der Microsoft SQL Server Express ist in seiner Leistungsfähigkeit stark beschränkt (siehe Microsoft-Onlinehilfe). Bei einer Teststellung in größeren Umgebungen ab ca. 500 Benutzern kann es deshalb notwendig werden, auf einen Standard MS SQL Server umzusteigen. Es ist natürlich möglich einen bereits installierten Microsoft SQL Server zu verwenden. Sobald alle Einstellungen vorgenommen wurden und der 1. und 2. Test erfolgreich waren, speichern und Ja. im darauffolgenden Dialog: um die Konfiguration zu

11 11 Nun wird der 8MAN Server beendet und die 8MAN Konfiguration ist für ein paar Sekunden nicht mit dem 8MAN Server verbunden. Anschließend wird der 8MAN Server mit der neuen Konfiguration gestartet und die Erstkonfiguration ist beendet. Bei Bedarf, z.b. beim Passwortablauf (Empfehlung: Verwendung von Benutzerkonten für 8MAN ohne zeitlichen Ablauf), Umzug eines SQL-Datenbankservers oder Anlegung einer neuen SQL-Datenbank können die Daten in der Basiskonfiguration geändert werden. Nach der Erstkonfiguration bzw. dem Anlegen einer neuen Datenbank wird standardmäßig ins Mein 8MAN Dashboard gewechselt: Um 8MAN nutzen zu können müssen Sie als nächstes eine Lizenz laden (Kap. 1.3).

12 Wiederherstellungsmodell SQL-Datenbank Das Wiederherstellungsmodell der SQL-Datenbank kann einfach oder vollständig sein. Das standardmäßig eingestellte und von protected-networks.com empfohlene Wiederherstellungsmodell ist einfach. Um sich die Einstellungen für das Wiederherstellungsmodell anzeigen zu lassen. Wechsel zum vollständigen Wiederherstellungsmodell Logdateien der Datenbank verkleinern Alle Dateien der Datenbank verkleinern Wechsel zum einfachen Wiederherstellungsmodell Alle Dateien der Datenbank verkleinern. Desweiteren werden Ihnen jetzt im Bereich Status der Konfiguration weitere Informationen zum Wiederherstellungsmodell angezeigt. 1.3 Lizenz laden

13 13 Im Kapitel 8.1 ist beschrieben wie man eine Lizenz lädt MAN Konfigurationsansicht Mein 8MAN Dashboard Funktionen werden im Kap. 2 bis 8 erklärt. Statusanzeige für Vorgänge in 8MAN Report Übersicht (Kap ) Server Schwellwerte (Kap ) Anmeldedaten (Kap. 1.1) Abmelden

14 Report Übersicht Im Report-Übersicht-Dialog können Sie alle Reports ansehen, speichern oder löschen, welche auf dem 8Man Server hinterlegt sind Server Schwellwerte Im Server-Schwellwerte-Dialog erhalten Sie einen Überblick über die aktuellen Server Schwellwerte (Kap. 7.5)

15 Verschlüsselung der 8MAN Netzwerkkommunikation Zur Verschlüsselung der Transportschicht mittels SSL-Verbindung für die 8MAN Netzwerkkommunikation müssen folgende config.xml-dateien unter C:\ProgramData\protected-networks.com\8MAN\cfg auf allen PCs mit 8MAN Komponenten angelegt werden: PC mit 8MAN PC mit 8MAN Konfiguration PC mit 8MAN Kollektor PC mit 8MAN Server app8man.config.xml appconfig.config.xml pncollector.config.xml pnjob.config.xml pnrun config.xml pnservice.config.xml pnserviceinstaller.config.xml pnjob.config.xml pnrun config.xml pnserver.config.xml pnservice.config.xml pnserviceinstaller.config.xml Sie können die erforderlichen Dateien, sofern diese nicht bereits vorhanden sind, aus dem Verzeichnis C:\Programme \protected-networks.com\8man\etc kopieren und den Inhalt löschen. Beispiel für ein \8Man\cfg-Verzeichnis mit config.xml-dateien für ein PC mit 8MAN Kollektor: In den config.xml-dateien mit gelöschtem Inhalt müssen folgende Zeilen eingefügt werden: <?xml version="1.0" encoding="utf-8"?> <config> <network.usesecurechannels type= System.Boolean >true</network.usesecurechannels> </config> Bei >true< ist die Verschlüsselung aktiviert bzw. bei >false< deaktiviert. Für bereits im Verzeichnis 8MAN\cfg vorhandene config.xml-dateien muss nur die Zeile <network.usesecurechannels type= System.Boolean >true</network.usesecurechannels> im config-abschnitt eingefügt werden. Nach dem Speichern müssen alle auf dem PC laufenden 8MAN Komponenten geschlossen werden und der 8MAN Service muss neugestartet werden.

16 Bei aktivierter Verschlüsselung sind Scans von Domänen ohne Vertrauensstellung nicht mehr möglich. Das heißt Sie können nur bei deaktivierter Verschlüsselung Domänen ohne Vertrauensstellung scannen. 16

17 17 2 SCANS In der Scankonfigurationsansicht können Sie Einstellungen für AD-, FS-, Logga (AD bzw. FS mit Überwachung)-, SharePoint-, Exchange- und vsphere Scans vornehmen. Zusätzlich können Sie domänen- bzw. fileserverspezifische Einstellungen vornehmen, die bei Berechtigungsänderungen mit 8MAN benötigt werden (Kap und 2.2.3). Die Konfigurationen werden automatisch gespeichert. Die Schaltflächen haben folgende Bedeutung: Domänen- und Kollektorauswahl (Kap ) FS-Scan- und Ressourcenkonfiguration (Kap. 2.2) Fileserver CSV Import (Kap ) Logga (Kap. 2.3) SharePoint (Kap. 2.4) Exchange (Kap. 2.5) vsphere (Kap. 2.6) Lokale Konten (Kap. 2.7) 2.1 AD-Scan- und Ressourcenkonfiguration Scanvorbereitung für Domänen ohne Vertauensstellung 8MAN kann Domänen ohne Vertrauensstellung nur scannen, wenn die Verschlüsselung der 8MAN Netzwerkkommunikation (Kap. 1.5) deaktiviert ist und die folgendende Scanvorbereitung durchgeführt wird. Zielstellung dabei ist das Gewinnen von Berechtigungsinformationen von Objekten, die dem 8MAN Server bzw. innerhalb der Domäne des 8MAN Servers nicht bekannt sind. Weitere Informationen für das Scannen der Domänen ohne Vertrauensstellung werden an den entsprechenden Stellen im Kapitel 2.1 AD-Scan- und Ressourcenkonfiguration beschrieben.

18 Kollektorinstallation in der Domäne ohne Vetrauensstellung Grundvoraussetzung für das Scannen einer Domäne ohne Vetrauensstellung ist die zusätzliche Installation eines 8MAN Kollektors auf einem Host (z.b. Windows Fileserver) innerhalb der Domäne ohne Vertrauensstellung. Zu diesem Zweck muss ein Kollektor (Teil A -Installation-) auf dem entfernten Host installiert werden. Der dadurch installierte Service (pncollector.exe) muss unter dem Local System Konto arbeiten. Um dem Kollektor eine Kommunikation zum 8MAN Server ermöglichen zu können, ist es essentiell einen Eintrag in die hosts Datei vorzunehmen, der dafür sorgt, dass ein nicht automatisch vorhandener Domain Name System (DNS) Eintrag für den 8MAN Server erzeugt wird. Der 8MAN Server muss mit dem voll qualifizierten Namen und seiner IP Adresse benannt werden. Sollte sich die IP Adresse unter Umständen ändern können, so muss der Eintrag manuell gepflegt werden Kollektorverbindung aus der Domäne ohne Vetrauensstellung Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung aus der Domäne ohne Vertrauensstellung muss hierbei die IP Adresse (z. B.: xxx.xxx.xxx.xxx) des Computers mit installiertem Kollektor eingetragen werden Domänen- und Kollektorauswahl Im Active-Directory-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), die zu scannende Domäne und den Kollektor für den Scan auswählen. Wenn ein Kollektor auf der zu scannenden Ressource installiert ist, wählen Sie diesen aus. Sollte dies nicht der Fall sein, wählen Sie einen bzw. mehrere Kollektoren in der Nähe (Kollektoren die auf Computern mit geringer Last installiert sind, sind zu bevorzugen) der zu scannenden Ressource aus. Der Kollektor führt den eigentlichen Scan aus und ist normalerweise der 8MAN Server selbst. Für den einzelnen Zugriff (z. B. Scan, Änderung, sonstige Anfragen) wird zum Zeitpunkt des Zugriffs der Kollektor automatisch ausgewählt, der die geringste Last (Speicherverbrauch, CPU-Last) hat. Damit ist 8MAN in der Lage, die Last von vielen gleichzeitig auszuführenden Aufgaben auf mehrere Kollektoren dynamisch zu verteilen (Kap ). Bei Domänen ohne Vetrauensstellung wird initial mit hoher Wahrscheinlichkeit nicht die gewünschte Domäne zur Auswahl stehen. Das ist dadurch bedingt, dass das voreingestellte Anmeldung keine passenden Rechte beinhaltet. Bei Verwendung des für den Zweck in Frage kommenden Kontos wird die gewünschte Domäne angezeigt werden. Es ist unbedingt notwendig, dass sich das gewünschte Konto auch interaktiv auf dem FS mit installiertem Kollektor in der Domäne ohne Vertrauenstellung anmelden kann.

19 19 Wenn Sie alle Einstellungen vorgenommen haben Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie AD- Scan- und Ressourceneinstellungen vornehmen können. AD-Scaneinstellungen (Kap ) v v AD-Ressourceneinstellungen (Kap ) AD-Scaneinstellungen Die Schaltflächen haben folgende Bedeutung:

20 20 Scan ausführen und Scangröße in der Datenbank Domänen- und Kollektorauswahl (Kap ) (Kap ) und Ausführungsplan (Kap ), und Zusätzliche Optionen (Kap ) Name der Konfiguration (Kap ) Berechtigungen Scannen (Kap ) Domänen- und Kollektorauswahl (Kap ) und Verhalten im Fehlerfall (Kap ) Anmeldung Ressourcenscan Fileserverauswahl (Kap ) (Kap ) Name der Konfiguration Im Name-der-Konfiguration-Dialog können Sie einen Namen für die Konfiguration eingeben, wenn Sie einen anderen Anzeigenamen benötigen Ausführungsplan Im Ausführungsplandialog können Sie definieren zu welchen Zeitpunkten Scans ausgeführt werden. Beachten Sie, dass die Einstellung beim Tag größer oder gleich 29 bei bestimmten Zeitpunkten zu keinem automatischen Start der geplanten Aufgabe führt (z.b.: der 29. Februar [ohne Schaltjahr] oder der 31.April).

21 Anmeldung Ressourcenscan Im Anmeldungdialog können Sie die für den Ressourcenscan zu verwendende Anmeldung (standardmäßig werden zum Scannen der Ressource die Anmeldedaten aus der Basiskonfiguration[Kap ] übernommen) eingeben Zusätzliche Optionen Im Zusätzliche-Optionen-Dialog können Sie definieren wie der Scanner Objekte aus fremden Domänen behandelt und die Anzahl der parallelen Anfragen während der Scans Unterstützung externer Domänen mit und ohne Vertrauensstellung Benutzer oder Gruppen aus externen Domänen mit Vertrauensstellung werden in der eigenen Domäne als ForeignSecurityPricipal-Objekte angelegt. Diese haben die gleiche Sicherheits-ID (SID) wie der Benutzer oder Gruppe in der Ursprungsdomäne, es fehlen jedoch sämtliche weitere Eigenschaften wie z. B. Name oder Beschreibung. Damit diese Informationen nun angezeigt werden können, gibt es im Dialog für die zusätzlichen Optionen der Domäne eine neue Einstellung, mit der das Auflösen und Lesen der Eigenschaften dieser Fremd-Domänenobjekte aktiviert werden kann. Es ist möglich, die Änderungsfunktionalitäten auch auf Domänen ohne Vetrauensstellung anzuwenden (weitere Informationen zu den Scanvorbereitung für Domänen ohne Vertauensstellung finden Sie im Kap ). Externe Domänen ohne Vertrauensstellung können von 8MAN gescannt und angezeigt werden. Dazu müssen lediglich die Kollektoren angeschlossen und geeignete Zugangsdaten in den Dialogen eingetragen sein Parallele Scans

22 22 Bitte beachten Sie, dass sich mit der Anzahl der parallelen Anfragen auch die Rechenlast auf dem ausführenden Computer erhöht. Ausgehend von 2 Prozessoren sind nach unseren Erfahrungen 4 bis 6 parallele Anfragen optimal. Mit der Anzahl der Prozessoren kann diese Zahl jedoch höher angesetzt werden. Maximal ist die Anzahl auf 64 parallele Anfragen begrenzt. Wenn Sie den Wert auf 1 stellen, werden keine parallelen Anfragen durchgeführt. Scans im Active Directory und auf den Fileservern können sequentiell abgearbeitet werden. Dabei ist die Rechenlast des ausführenden Computers sehr gering, weil die Geschwindigkeit von den Antwortzeiten der Domaincontroller und Fileserver abhängt. Die Antwortzeit der Anfragen erhöht sich nur unwesentlich durch das parallele Verarbeiten der Anfragen, die Geschwindigkeit des gesamten Scans kann sich jedoch erheblich verkürzen Berechtigungen Scannen Im Berechtigungen-scannen-Dialog können Sie einstellen welche Objektklassen bei Berechtigungsscans zusätzlich gescannt werden sollen Verhalten im Fehlerfall Im Verhalten-im-Fehlerfall-Dialog können Sie einstellen wie oft und mit welcher Wartezeit der Scan bei eventeullen Wartungsarbeiten wiederholt wird Fileserverauswahl

23 23 Welche Einstellungen Sie im Fileserver Auswahldialog vornehmen können, erfahren Sie im Kap Der ausgewählte FS wird dem AD-Scan zugeordnet. Dies wird visuell durch eine Verbindungslinie gekennzeichnet. Sie können auch einen seperaten FS-Scan per Drag-und Drop einem AD-Scan zuordnen bzw. von einem lösen, indem Sie eine FS-Scan- Konfigurationsbubble auf eine AD-Scan-Konfigurationsbubble ziehen bzw. von einer wegziehen.sie können den AD- und FS- Scan zusammen ausführen ( ) oder den AD- bzw. FS-Scan einzeln ausführen Scan ausführen und Scangröße in der Datenbank Während des Scannens besteht die Möglichkeit den Scan abzubrechen. Nach einem Scan wird angezeigt wie viele Elemente insgesamt bei welcher Geschwindigkeit gescannt wurden, wie groß die Datendatei und die Tabellen in der SQL Datenbank sind. Diese Information befindet sich auch in der Jobliste-Details. Bei Fehlermeldungen können diese unter C:\ProgramData\protected-networks.com\8MAN\log in der pnserver.log nachgelesen werden. Zu beachten ist, dass sich die Datenbankgröße auf den reservierten Speicher bezieht, also nicht nur die eigentlichen Daten und ggf. Indizes, sondern auch ein Puffer, der vom SQL Server verwaltet wird. Weiterhin kann es sein, dass die Datenbankdatei durch den neuen Scan nicht unbedingt um die Größe des verwendeten Speicherplatzes der Tabellen gewachsen ist. Die Größenänderung der Datenbankdatei hängt allein von den Wachstumseinstellungen der Datenbank ab. Durch zusätzlich benötigten Speicher kann die Datenbank nicht wachsen oder wesentlich mehr Speicher als zum Zeitpunkt notwendig reservieren AD-Ressourceneinstellungen

24 24 Die Schaltflächen haben folgende Bedeutung: Anmeldung zum Schreiben im Active Directory (Kap ) Auswahl der Organisationseinheit für neue Benutzer (Kap ) Auswahl der Oragnisationseinheit für neue Gruppen (Kap ) Auswahl der Oragnisationseinheit für zu löschende Benutzer (Kap ) Auswahl der Organisationseinheit für 8MAN Gruppen (Kap ) Zusätzliches 8MAN Gruppenpräfix (Kap ) Anmeldung zum Schreiben im Active Directory Um z.b. Gruppenmitgliedschaften in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben im AD benötigt, diese können Sie im Anmeldung-Dialog einstellen Auswahl der Organisationseinheit für neue Benutzer Im Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog können Sie die OU wählen in der neue Objekte,wie Benutzer oder Gruppen, standardmäßig gespeichert werden sollen Auswahl der Oragnisationseinheit für neue Gruppen Im Auswahl-der-Organisationseinheit-für-neue-Gruppen-Dialog können Sie die OU wählen in der neue Objekte,wie

25 25 Benutzer oder Gruppen, standardmäßig gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie Auswahl-der- Organisationseinheit-für-neue-Benutzer-Dialog (Kap ) Auswahl der Oragnisationseinheit für zu löschende Benutzer Im Auswahl-der-Organisationseinheit-für-zu-löschende-Benutzer-Dialog wählen Sie die OU, in die zu löschende Benutzerkonten verschoben werden sollen (zum Thema Soft-Delete & Recovery von Benutzern siehe Produktbeschreibung) Der Dialog hat den gleichen Aufbau wie Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog (Kap ) Auswahl der Organisationseinheit für 8MAN Gruppen Im Auswahl-der-Organisationseinheit-für-8MANGruppen-Dialog selektieren Sie die OU in der die von 8MAN erzeugten Berechtigungsgruppen aus dem Gruppenassistenten gespeichert werden sollen. Der Dialog hat den gleichen Aufbau wie Auswahl-der-Organisationseinheit-für-neue-Benutzer-Dialog (Kap ) Zusätzliches 8MAN Gruppenpräfix Im Zusätzliches-8MAN-Gruppenpräfix-Dialog definieren Sie ein zusätzliches 8MAN Gruppenpräfix (8GP), das in allen 8MAN Gruppen enthalten sein soll. Diese Gruppennamen werden in der Gruppenassistent-Konfiguration eingestellt. 2.2 FS-Scan- und Ressourcenkonfiguration Sie können einen FS-Scan entweder separat erstellen oder mit einem AD-Scan verknüpfen. Einen separaten FS-Scan erstellen Sie (Kap ) oder (Kap ). Einen verknüpften Scan erstellen Sie dagegen, indem Sie bei einem vorhandenen AD-Scan (Kap ) FS- und Kollektorauswahl Im Fileserver-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), den zu scannenden FS und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap ).

26 26 Wenn Sie alle Einstellungen vorgenommen haben Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie FS- Scan- und Ressourceneinstellungen vornehmen können. Scaneinstellungen (Kap ) v Ressourceneinstellungen (Kap ) FS-Scaneinstellungen Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble [Kap ] aufweisen): und Zusätzliche Optionen und Scantiefe (Kap ) (Kap ) Freigabe-Auswahl (Kap )

27 Zusätzliche Optionen Im Zusätzliche-Optionen-Dialog können Sie den Fileservertypen und die Anzahl der parallelen Anfragen während der Scans (weitere Informationen zu parallele Anfragen während der Scans Kap ) festlegen. Als Fileserver-Typ lassen Sie bitte vorzugsweise die Standardeinstellung Automatisch erkennen ausgewählt. Nur falls dies nicht funktioniert, sollten Sie den Typ explizit angeben Freigabe-Auswahl Im Freigabe-Auswahl-Dialog können Sie alle zu scannenden Freigaben wählen. Desweiteren können Sie im Zusatzinformationen/Kommentare-zu-den-Freigaben-Feld neue Informationskategorien hinzufügen Scantiefe Im Scantiefe-Dialog definieren Sie die Tiefe, bis zu welcher Scans durchgeführt werden sollen.

28 Fileserver CSV Import Im Import-Datei-Dialog wählen Sie die zu öffnende csv-datei. Mithilfe der csv-datei ist es möglich die zu scannenden Freigaben zu importieren. Dazu wird eine csv-datei mit folgenden Werten benötigt: zwei obligatorische Spalten mit folgenden Überschriften: Server und Freigabe und Spalten durch Semikolon oder Tab getrennt optionale Spalte mit Überschift Kollektor (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor verwendet) weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren Überschriften, z.b.: Kostenstelle oder Beschreibung Beispiel einer csv-datei: Nach dem Import der csv-datei erscheint der Fileserver-CSV-Import-Dialog.

29 29 Informationen zu den Scaneinstellungen auf der rechten Seite erhalten Sie im Kap Nachdem Sie alle Einstellungen vorgenommen haben Ok. Als Ergebnis sehen Sie eine FS-Scan-Konfigurations-Bubble (Kap.2.2.2). In dieser sind Ihre importierten Freigaben aufgeführt: FS-Ressourceneinstellungen Die Schaltflächen haben folgende Bedeutung: Anmeldung zum Schreiben auf dem Fileserver (Kap ) Listrechte-Konfiguration (Kap ) Anmeldung zum Schreiben auf dem Fileserver Um z.b. Verzeichnisberechtigungen in 8MAN zu ändern werden Anmeldedaten mit Berechtigungen zum Schreiben auf dem Fileserver benötigt, diese können Sie im Anmeldung-Dialog einstellen Listrechte-Konfiguration Im Listrechte-Konfiguration-Dialog können Sie durch Hakensetzen im Auswahlkasten Listrechte (Ordenerinhalt anzeigen) automatisch verwalten einstellen das 8MAN Listrechte automatisch verwalten soll.

30 30 Im unteren Bereich können Sie bestimmen, wie die Listrechte für die ersten fünf Verzeichnebenen realisiert werden sollen. Belassen Sie hierbei bitte die Standardeinstellung, sofern Sie keine spezielle Konfiguration für Ihr System benötigen. 2.3 Logga Vorbereitung für die Logga Konfiguration AD-Logga Vorbereitung Der 8MAN AD Logga arbeitet agentless, Sie müssen also keine extra Software auf den Domänen Controllern installieren. Basis unserer Lösung sind die Security-Logs, die remote über bestehende Windows APIs ausgelesen werden. Damit ist auch gewährleistet, dass kurzfristige Ausfälle des 8MAN Kollektors, z.b. wegen Wartung, nicht zu fehlenden Ereignissen im 8MAN Logbuch führen. Für die AD Logga Funktionalität müssen 8MAN -Kollektoren installiert werden. Die Kollektoren müssen nicht auf den Domain Controllern der zu überwachenden Domäne installiert werden, Sie können hierfür jeden Server in dieser Domäne nutzen. Für AD Logga Kollektoren gelten zusätzliche Einschränkungen bezüglich der Systemanforderungen. Sie können anhand des Dokuments 8MAN Systemanforderungen überprüfen, ob der Server für die AD Logga Kollektorinstallation geeignet ist. Da keine zusätzliche Komponente installiert werden muß, wird die normale Kollektorinstallation genutzt (siehe Screenshot). Ist bereits ein 8MAN-Kollektor installiert, dann ist damit auch der AD Logga installiert.

31 Konfiguration der Überwachungsrichtlinien und SACL Für die AD Logga Funktionalität sind spezielle Einstellungen der Überwachungsrichtlinien (Audit Policies) und eine entsprechende Einstellung der System ACL (SACL) für die zu überwachenden Objekte notwendig. Diese Einstellungen sollten Sie vor dem Starten des AD Logga vornehmen, weil sonst keine oder nur bestimmte Ereignisse aufgezeichnet würden. Beachten Sie dabei, dass sich die Aktivierung der Überwachungsrichtlinien je nach Replikationsintervall zwischen den Domänen Controllern (DCs) verzögern kann. Um Überwachungsrichtlinien auf DCs ändern zu können, muß man Mitglied der entsprechenden Domain Administratoren Gruppe oder der Gruppe der Enterprise Administratoren sein. Für die Konfiguration der SACL ist das User Recht "Manage Auditing and Security Log " notwendig (was dem Privileg " SeSecurityPrivilege" entspricht) Aktivieren der Überwachungsrichtlinie Windows Server 2008 Die Administration der Erweiterten Überwachungsrichtlinen ist für Windows Server 2008 möglich, aber nicht über die Windows Gruppenrichtlinienverwaltung. Hier müssen mit Hilfe von Auditpol.exe auf jedem Domänen Controller der zu überwachenden Domäne die einzelnen Überwachungsrichtlinien eingerichtet werden. Geben Sie dazu als lokaler Administrator folgende Kommandos ein. Für Richtlinienänderungen überwachen : >auditpol /set /subcategory:{0cce922f-69ae-11d9-bed } /success:enable Für Verzeichnisdienständerungen : >auditpol /set /subcategory:{0cce923c-69ae-11d9-bed } /success:enable Für Benutzerkontenverwaltung, Computerkontoverwaltung, Sicherheitsgruppenverwaltung, Verteilergruppenverwaltung, Anwendungsgruppenverwaltung und Andere Kontoverwaltungsereignisse : >auditpol /set /subcategory:{0cce ae-11d9-bed } /success:enable >auditpol /set /subcategory:{0cce ae-11d9-bed } /success:enable >auditpol /set /subcategory:{0cce ae-11d9-bed } /success:enable >auditpol /set /subcategory:{0cce ae-11d9-bed } /success:enable >auditpol /set /subcategory:{0cce ae-11d9-bed } /success:enable >auditpol /set /subcategory:{0cce923a-69ae-11d9-bed } /success:enable

32 Windows Server 2008R2 Die Einrichtung der Überwachungsrichtlinien ist nur auf einem der zur überwachenden Domäne gehörenden DC notwendig. Die anderen DCs erhalten diese dann über die Replikation. So aktivieren Sie die erweiterten Überwachungsrichtlinien mithilfe der Windows-Benutzeroberfläche (Falls Sie die Gruppenrichtlinienverwaltung erst noch installieren müssen, klicken Sie im Server-Manager auf Features hinzufügen. Wählen Sie Gruppenrichtlinienverwaltung aus, und klicken Sie dann auf Installieren.) 1. Klicken Sie auf Start, zeigen Sie auf Verwaltung und anschließend auf Gruppenrichtlinienverwaltung. 2. Doppelklicken Sie in der Konsolenstruktur auf den Namen der Gesamtstruktur, doppelklicken Sie auf Domänen, doppelklicken Sie auf den Namen der Domäne, doppelklicken Sie auf Domänencontroller, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten. 3. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Erweiterte Überwachungsrichtlinienkonfiguration, doppelklicken Sie auf Überwachungsrichtlinien. 4. Klicken Sie auf Kontenverwaltung und wiederholen Sie für alle angezeigten Unterkategorien die folgenden Schritte: 1. Klicken Sie mit der rechten Maustaste auf die Unterkategorien und klicken Sie dann auf Eigenschaften. 2. Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren. 3. Aktivieren Sie das Kontrollkästchen Erfolgreich, und klicken Sie dann auf OK. 5. Klicken Sie auf DS-Zugriff, klicken Sie mit der rechten Maustaste auf die Unterkategorie Verzeichnisdienständerungen überwachen und klicken Sie dann auf Eigenschaften. Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren. Aktivieren Sie das Kontrollkästchen Erfolgreich, und klicken Sie dann auf OK. 6. Klicken Sie auf Richtlinienänderung, klicken Sie mit der rechten Maustaste auf die Unterkategorie Überwachungsrichtlinienänderungen überwachen und klicken Sie dann auf Eigenschaften. Aktivieren Sie das Kontrollkästchen Folgende Überwachungsereignisse konfigurieren. Aktivieren Sie das Kontrollkästchen Erfolgreich, und klicken Sie dann auf OK. 7. Gehen Sie zurück bis auf die Ebene Computerkonfiguration\ Richtlinien\Windows- Einstellungen\Sicherheitseinstellungen und doppelklicken Sie Lokale Richtlinien und klicken dann auf Sicherheitsoptionen. Aktivieren Sie die Richtlinie " Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinien außer Kraft zu setzen " Einrichten der Überwachung in Objekt-SACLs. Die Einrichtung der SACL ist nur auf einem der zur überwachenden Domäne gehörenden DC notwendig. Die anderen DCs erhalten diese dann über die Replikation. 1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und - Computer. 2. Klicken Sie im Menü auf Ansicht und Aktivieren Sie Erweiterte Features. 3. Klicken Sie mit der rechten Maustaste auf die Domäne, für die die Überwachung aktiviert werden soll, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert und anschließend auf die Registerkarte Überwachung. 5. Klicken Sie auf Hinzufügen, und geben Sie einen Benutzer, eine Gruppe oder einen anderen Sicherheitsprinzipal (hier typischerweise Jeder), dessen Zugriffe Sie überwachen wollen ein. Klicken Sie dann auf OK. 6. Klicken Sie in Übernehmen für auf Dieses und alle untergeordnete Objekte. 7. Aktivieren Sie unter Zugriff das Kontrollkästchen Erfolg für: - Alle Eigenschaften schreiben - Löschen

33 33 - Unterstruktur löschen - Berechtigungen ändern - Alle untergeordneten Objekte erstellen - Alle untergeordneten Objekte löschen 8. Klicken Sie auf OK, bis Sie die Eigenschaftenseite für die Organisationseinheit bzw. ein anderes Objekt geschlossen haben FS-Logga Vorbereitung Der FS Logga ist in etwa gleichzusetzen mit einem 8MAN Kollektor mit der erweiterten Funktionalität zum Überwachen. Für die FS-Logga-Funktionalität müssen 8MAN Kollektoren installiert werden. Da es für den FS Logga zusätzliche Einschränkungen gibt, können Sie anhand des Dokuments 8MAN Systemanforderungen überprüfen, ob der Server für die FS-Logga-Installation geeignet ist. Aus Performance- und Systemstabilitätsgründen arbeitet der FS Logga nicht auf dem 8MAN Server selbst. (Das Setup Programm unterbindet zwar nicht die Installation eines FS Logga auf dem 8MAN Server, aber der FS Logga wird auf dem 8MAN Server nicht gestartet.) Wartung bei überwachten Windows Fileservern: Beim Austausch von Festplatten oder beim Einbinden anderer Festplatten (Einrichten von Volume Mount Points) auf zu überwachende Festplattenbereiche muss der FS Logga Kollektor deaktiviert bzw. angehalten werden. Gehen Sie dazu in die Windows-Dienste-Übersicht und stoppen Sie den 8MAN Service für die Wartung FS Logga für Windows Fileserver Kollektorinstallation Für den FS Logga für Windows Fileserver besteht die Notwendigkeit der Installation (s.teil A -Installation-) auf dem zu überwachenden Fileserver selbst. Der FS Logga für Windows Fileserver muß hierbei explizit ausgewählt werden (s. Screenshot), um den zusätzlich notwendigen Minifiltertreiber (minitrc.sys) zu installieren FS Logga für NetApp Fileserver Beim FS Logga für NetApp Fileserver, gibt es folgende Einschränkungen: Der FS Logga für NetApp Fileserver ist nur auf Windows 64-Bit Systemen lauffähig Pro FS Logga für NetApp Fileserver ist nur ein NetApp Fileserver konfigurierbar bzw. auslesbar Der FS-Logga für NetApp Fileserver ist nur mit NetApp-Fileservern mit OnTap-Versionen ab 3.7.x. möglich

34 34 Es werden nur Zugriffe über CIFS (aber nicht über NFS) erfasst. Der FS Logga für NetApp Fileserver kann nicht auf dem NetApp Fileserver installiert werden. Er wird auf einem Windows Server installiert (dieser darf aber nicht der 8MAN Server sein), wobei NetApp dringend empfiehlt, einen Server aus demselben Netzsegment zu wählen, da es sonst zu Performance- und Routingproblemen kommen kann. Da beim FS Logga für NetApp Fileserver keine zusätzliche Komponente installiert werden muß, wird die normale Kollektorinstallation genutzt (s. Screenshot und Teil A -Installation-). Ist bereits ein Datenkollektor oder der FS Logga für Windows Fileserver installiert, dann ist damit auch der FS Logga für NetApp Fileserver installiert. Da der FS Logga nicht auf dem NetApp Fileserver selbst installierbar ist, sind bestimmte Richtlinieneinstellungen für den FS Logga notwendig, um die Kommunikation zwischen dem NetApp Fileserver und FS Logga zu gewährleisten. Folgende lokale Computer-Richtlinien des Servers, auf dem der FS Logga läuft, sind notwendig (unter Richtlinien für Lokaler Computer \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen): Richtlinie Netzwerkzugriff: Die Verwendung von Jeder -Berechtigungen für anonyme Benutzer ermöglichen Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Einstellung Aktiviert ntapfprq_<netapp name> (wobei <netapp name> der name des NetApp Fileservers ist) Neben der Konfiguration des FS Logga ist für den NetApp Fileserver auch eine zusätzliche Einrichtung (Administration der NetApp Fileserver) notwendig. 1. FPolicy Feature Der FS Logga nutzt das FPolicy Feature der NetApp. Deshalb muss es aktiviert und passend eingestellt werden. Aktivierung des FPolicy Features: options fpolicy.enable on Einrichten der FPolicy: fpolicy create 8ManLogga screen

35 35 > fpolicy enable 8ManLogga > fpolicy options 8ManLogga cifs_setattr on Die Angabe 8ManLogga der FPolicy muss mit dem Wert in der Konfigurationsdatei pncollector.config.xml auf dem Fileserver mit installiertem FS Logga übereinstimmen. 8ManLogga ist der Default nach der Installation. <tracer>... <netapp> <policy>8manlogga</policy> 2. Domain-Accounts Zur Registrierung des FS Logga auf dem Netapp Fileserver muß dieser unter einem Account laufen, der zur Gruppe Backup Operators auf dem NetApp Filserver gehört. Da der FS Logga unter dem Acount des Fileservers läuft auf dem er installiert ist, muss dieser Account zu dieser Gruppe hinzugefügt werden: >useradmin domainuser add <domain\computer-account> -g Backup Operators Um die Freigaben mit den kompletten Pfaden abfragen zu können (Kap ) wird ein Account gebraucht, der zur Gruppe Power Users gehören. >useradmin domainuser add <domain\user> -g Power Users Kollektorverbindung FS Logga für Windows Fileserver Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der Name des Fileserver mit installiertem FS Logga für Windows Fileserver eingetragen werden Logga Konfiguration Die Logga Konfiguration ist nur in der 8MAN Administratorrolle nutzbar. Für die Logga Konfiguration ist ein eigener Lizenz- Typ notwendig. Ob eine gültige Lizenz vorhanden ist, können Sie in der 8MAN Konfiguration unter Server-Status in den Lizenzinformationen überprüfen. Die Anzahl der Logga definiert, wie viele Domänene bzw.fileserver (egal ob Windows oder NetApp) Sie parallel überwachen können: Fileserver und Active Directory mit Überwachung- und Kollektorauswahl

36 36 Im Logga-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration[Kap ] übernommen), den zu überwachenden FS (wenn Sie FS mit Überwachung ausgewählt haben) oder die zu überwachende Domäne (wenn Sie AD mit Überwachung ausgewählt haben) und den Kollektor, der die Überwachung übernehmen soll, auswählen (weitere Informationen zum Kollektor im Kap ). Da die verfügbaren NetApp Fileserver aus dem Active Directory ausgelesen werden, müssen Sie gegebenenfalls die Anmeldung ändern, um die gewünschten Fileserver aufgelistet zu bekommen. Für die Auflistung der Windows Fileserver spielt die Anmeldung keine Rolle. Für Windows Fileserver ist generell nur der Kollektor auf dem ausgewählten Fileserver selbst wählbar. NetApp Fileserver werden remote überwacht und deshalb ist es je nach Installation möglich, zwischen verschiedenen Kollektoren zu wählen, wobei ein Kollektor nur einen NetApp Fileserver überwachen kann. Der gleichzeitige Einsatz eines Kollektors als AD- und FS-Logga für Windows Fileserver bzw. NetApp Fileserver, sowie als AD- und FS-Scanner ist möglich. Der Logga-Auswahldialog für FS mit Überwachung enthält: Windows Fileserver, auf denen der FS Logga für Windows Fileserver installiert ist und Fileserver, für die mit der angegebenen Anmeldung im Active Directory Accounts gefunden wurden, die bestimmte Werte für das Attribut operatingsystems haben. Der Default für operatingsystems ist nach der Installation des Kollektors auf OnTap gesetzt. Wenn in Ihrem System die NetApp Fileserver mit anderen Werten für das Attribut operatingsystems eingerichtet sind, können Sie dies entsprechend anpassen. Gehen Sie dazu in die Konfigurationsdatei pncollector.config.xml auf dem Fileserver mit dem installiertem FS Logga für NetApp Fileserver und ändern folgenden Eintrag: <tracer> <netapp> <NetappOperatingSystems>OnTap</NetappOperatingSystems> Wenn mehrere Werte für das Attribut operatingsystem notwendig sind, tragen Sie diese einfach mit Komma getrennt ein. Haben nicht alle oder gar keine NetApp Fileserver das Attribut operatingsystem, so lassen Sie diesen Eintrag leer. In diesem Falle werden dann sämtliche mit dieser Anmeldung im Active Directory sichtbaren Account aufgelistet. Wenn Sie alle Einstellungen vorgenommen haben Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie AD- Logga-Einstellungen (wenn Sie AD mit Überwachung ausgewählt haben) bzw. FS-Logga-Einstellungen (wenn Sie FS mit Überwachung ausgewählt haben) vornehmen können.

37 AD-Logga-Einstellungen Zur Anmeldung des AD Logga Kollektors bei den Domain Controllern (zum Zwecke der Ereignis-Zustellung) sind spezielle Rechte notwendig. Das Benutzerkonto, mit dem der Kollektor konfiguriert wird, muß das User Recht "Manage Auditing and Security Log " besitzen (was dem Privileg " SeSecurityPrivilege" entspricht). Die Schaltflächen und aktivieren bzw. deaktivieren den AD-Logga (andere Schaltflächen siehe AD-Scan- Konfigurations-Bubble Kap ): Solange der AD-Logga eingeschaltet ist, ist es nicht möglich die Anmeldedaten zu ändern: Die durch den AD Logga aufgezeichneten Daten können im 8MAN Logbuch angesehen werden AD Logga Scaneinstellungen in der Konfigurationsdatei pncollector.config.xml Über die Konfigurationsdatei pncollector.config.xml des für den AD Logga ausgewählten Kollektors bzw. über die Konfigurationsdatei pnserver.config.xml des 8MAN Servers können bestimmte Parameter geändert werden, um das Verhalten des AD Logga in gegebenen Grenzen nach Ihren Wünschen anzupassen. Was kann geändert werden: a. Filterung von Ereignissen von AD Objekten mit Objekt Klasse "serviceconnectionpoint" Um über den Active Directory Service von Clients auffindbar zu sein registrieren Web-Services wie z.b. SharePoint ihre spezifischen Daten im AD als Service Connection Point. Die registrierten Services frischen diese Daten regelmäßig auf, was zu entsprechenden AD-Objekt Änderungen führt, was wiederum AD-Ereignissen generiert, die vom AD Logga aufgezeichnet werden. Da diese automatischen Änderungen meistens nicht von Interessen sind, aber signifikante Datenmengen produzieren, werden standardmäßig diese Änderungen vom AD Logga ignoriert. Wollen Sie jedoch auch diese Änderungen im 8MAN Logbuch speichern, ändern Sie folgende Zeile in der pncollector.config.xml unter: <config>

38 38.. <tracer> <adlogga>.. <filter> <objectclassserviceconnectionpoint type="system.boolean">true</objectclassserviceconnectionpoint>.. Setzen Sie dazu den Wert von "true" auf "false". b. Anzahl von aufgelaufenen Ereignissen und Zeitdauer nach der die Daten in die 8MAN DB geschrieben werden. Um bei hohem Datenaufkommen den Kollektor als auch 8MAN Server zu entlasten, wird nicht jedes einzelne Ereignis sofort in die 8MAN DB übertragen. Standardmäßig sammelt der Kollektor 1000 Ereignisse oder sammelt 10 Minuten lang (je nachdem was zuerst eintritt) bevor die Daten im 8MAN Server verarbeitet werden. Wollen Sie nicht warten bis 1000 Ereignisse zusammengekommen sind oder 10 Minuten nach Ereigniseingang vergangen sind, können Sie diese Werte ändern. Dazu editieren Sie folgende Zeilen in der pncollector.config.xml unter: <config>.. <tracer> <adlogga> <ThWriSect>.. <transferinterval type="system.int32">600000</transferinterval> <maxevents type="system.int32">1000</maxevents>>.. Die Werte für transferinterval sind in Millisekunden anzugeben. Als Minimum sind 15s (15000 ms) möglich und das Maximum liegt bei 30min ( ms). Das Minimum für maxevents sind 10 Events und das Maximum c. Dauer der Speicherung der Daten Ist eine andere Speicherdauer für die gesammelten notwendig, dann muß der Eintrag für maximumdataagedays in der pnserver.config.xml Datei auf dem 8MAN Server geändert werden. Die Angabe der Dauer ist in Tagen seit Speicherung. Der Standardwert nach Installation ist 30 Tage. <config>.. <tracer> <db> <adloggacleanup> <maximumdataagedays type="system.int32">30</maximumdataagedays> FS-Logga-Einstellungen In der Erweiterten Benutzerverwaltungsansicht im Erweiterte-Benutzerverwaltung-Bereich kann die Funktion zur Ausführung von FS-Logga-Reports aktiviert bzw. deaktiviert werden. Bei aktivierter Funktion erscheinen auf der 8MAN Startseite Sznarien für konfigurierte Reporttypen. Zurzeit ist dies jedoch nur für Administratoren anwendbar.

39 39 Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble [Kap ] aufweisen): und (Kap ) Report-Typen (Kap ) FS-Logga Aktivierung Im folgenden Dialog können Sie den FS Logga aktivieren bzw. deaktivieren. Solange der AD-Logga eingeschaltet ist, ist es nicht möglich die Anmeldedaten zu ändern Report-Typen Für Fileserver mit Überwachung sind 3 verschiedenen Report-Typen verfügbar. Für jeden Report-Typ sind beliebig viele Reports konfigurierbar (die Reports selbst können mit 8MAN erstellt und gespeichert werden). Im Gegensatz zu Windows Fileservern ist für die Konfiguration der zu überwachenden Verzeichnisse auf NetApp Fileservern eine spezielle Berechtigung notwendig. Dazu klicken Sie auf den Link der angezeigten Anmeldung und geben dann Credentials für einen Account ein, der auf dem ausgewählten NetApp Fileserver zur Gruppe "Power Users" gehört. Einen Domänen-Account als Power User richten Sie auf der NetApp folgendermaßen ein: >useradmin domainuser add <domain\user> -g Power Users Sobald eine Report-Konfiguration mit einem oder mehreren Verzeichnissen erstellt wurde, beginnt der FS Logga mit dem Aufzeichnen der Dateiaktionen. Das Löschen aller Report-Konfigurationen sorgt für das Anhalten der Datenaufzeichnung.

40 40 Hinweis: Werden nicht nur alle Report-Konfigurationen, sondern auch die FS-Logga-Konfigurations-Bubble gelöscht, dann haben Sie die Wahl alle Logga Aufzeichnungen für diesen Fileserver zu löschen oder in der Datenbank zu behalten. Wenn Sie vorhandene Scans löschen wählen, gehen alle bis dahin für diesen Fileserver gesammelten Daten verloren. Die aufgezeichneten Daten werden automatisch in die 8MAN Datenbank des 8MAN Servers übertragen. Diese Daten werden dann maximal 30 Tage (Standardwert nach Installation) gespeichert und können solange für die Erstellung von Reports verwendet werden. Ist eine andere Zeitspanne notwendig, dann muß der Eintrag für maximumdataagedays in der pnserver.config.xml Datei auf dem 8MAN Server geändert werden: <config>.. <tracer> <db> <cleanup> <maximumdataagedays type= System.Int32 >30</maximumDataAgeDays> </cleanup> </db>.. Bitte beachten Sie, dass eine längere Speicherdauer einen entsprechend größeren Speicherbedarf auf der 8MAN Datenbank bedeutet. Je aufgezeichneter Aktion werden 31 Byte benötigt Dateizugriffe Es werden alle Aktionen an den konfigurierten Verzeichnissen, Unterverzeichnissen und den dort enthaltenen Dateien erfasst. Diese können dann später in einem Report aufgelistet werden. Folgende Aktionen werden aufgezeichnet: Datei gelesen Datei geschrieben Verzeichnis / Datei erzeugt Verzeichnis / Datei gelöscht Verzeichnis / Datei verschoben bzw. umbenannt ACL geändert ACL gelesen (nur wenn die Konfigurationsdatei geändert wurde; ACL-Lesen ist standardmäßig ausgeschaltet und für NetApp Fileserver nicht verfügbar)

41 Wo haben Änderungen stattgefunden? Hier können Sie Verzeichnisse des Logga-Fileservers auswählen, um später einen Report zu erstellen, in dem ausschließlich Datei- und ACL-Schreibzugriffe in den konfigurierten Verzeichnissen und Unterverzeichnissen aufgelistet werden: Folgende Aktionen werden aufgezeichnet: Datei geschrieben ACL geändert Hat ein unerlaubter Zugriff stattgefunden - Segregation of Duty (SoD) Es werden alle Aktionen an den konfigurierten Verzeichnissen, Unterverzeichnissen und den dort enthaltenen Dateien erfasst, die von Benutzern ausgeführt wurden, die nicht zu von Ihnen ausgewählten Benutzern oder Benutzergruppen gehören. Die Auswahl der erlaubten Gruppen und Benutzer erfolgt später bei der Reporterstellung, nicht innerhalb dieser Konfiguration. Folgende Aktionen werden aufgezeichnet: Datei gelesen Datei geschrieben Verzeichnis / Datei erzeugt Verzeichnis /Datei gelöscht Verzeichnis / Datei verschoben bzw. umbenannt ACL geändert ACL gelesen (nur wenn die Konfigurationsdatei geändert wurde; ACL-Lesen ist standardmäßig ausgeschaltet und für NetApp Fileserver nicht verfügbar) Einschränkung der aufgezeichneten Datenmengen Der FS Logga bietet zwei konfigurierbare Möglichkeiten der Reduzierung der anfallenden (und damit der aufgezeichneten) Datenmengen. Beide Möglichkeiten sind gleichzeitig und unabhängig voneinander nutzbar. Änderungen werden erst nach dem Neustart des 8MAN Service auf dem FS mit installiertem FS Logga wirksam Einschränkung der zu berücksichtigenden Typen von Dateiaktionen Die anfallenden Datenmengen können reduziert werden, indem die aufgezeichneten Dateiaktionen auf die Dateiaktionen einschränkt werden, die Sie für Ihre Reports benötigen. Gehen Sie dazu in die Konfigurationsdatei pncollector.config.xml auf dem FS mit installiertem FS Logga. Unter ThValSect werden alle Dateiaktionen, welche ein true enthalten, vom FS Logga aufgezeichnet. Für die nicht notwendigen Dateiaktionen ändern Sie den Wert auf false. Die standardmäßige Einstellung nach der Installation des FS Logga ist true für alle Dateiaktionen außer für aclread (ACL-lesen). <tracer> <windows>

42 42 <SysInfo> <ThValSect>... <create type= System.Boolean >true</create> <read type= System.Boolean >true</read> <readwrite type= System.Boolean >true</readwrite> <move type= System.Boolean >true</move> <aclread type= System.Boolean >false</aclread> <aclwrite type= System.Boolean >true</aclwrite> Einschränkung der zu berücksichtigenden Sicherheits-IDs (SID s) Die anfallenden Datenmengen werden reduziert, indem alle Dateiaktionen von bestimmten sogenannten Wellknown SID s nicht erfasst werden. Nach der Installation des FS Logga werden alle Dateiaktionen der folgenden SID s ignoriert: S NT-AUTORITÄT\SYSTEM S NT-AUTORITÄT\LOKALER DIENST S NT-AUTORITÄT\NETZWERDIENST S Sicherungs-Operatoren Sollen jedoch auch die Dateiaktionen dieser System-User aufgezeichnet werden, muß die entsprechende Konfiguration geändert werden. Gehen Sie dazu in die Konfigurationsdatei pncollector.config.xml auf dem Fileserver mit installiertem Logga-Fileserver. Unter ThValSect dann den Wert für suspendfilter auf false ändern. Die Änderung betrifft immer alle oben genannten SID s. Es ist nicht möglich, das Aufzeichnen der Aktionen nur einzelner dieser SID s zu unterdrücken. <tracer> <windows> <SysInfo> <ThValSect>... <suspendfilter type= System.Boolean >true</suspendfilter> 2.4 SharePoint 8MAN unterstützt das Auslesen von SharePoint 2010 und SharePoint Websitesammlungen mit Forderungsbasierter Authentifizierung (Claims-Based Authentication) werden von 8MAN unterstützt mit der Einschränkung, dass die Prinzipale aus der Domäne sein müssen, die auch die Heimatdomäne des Sharepoints ist SharePoint Scanvorbereitung Um SharePoint scannen zu können, benötigen Sie einen mit folgenden Voraussetzungen eingerichteten Account. Für die Durchführung der SharePoint Scans und Berechtigungsvergabe wird ein Benutzer vorausgesetzt, der in der SharePoint- und der Datenbank-Umgebung volle Berechtigung hat (z.b: Farm Administrator). Um diesen Account richtig berechtigen zu können, wird ein Active Directory Account vorausgesetzt, ggf. kann mit 8MAN ein neuer Account erstellt werden. Folgende Voraussetzungen für den Scanaccount sind absolut notwendig:

43 43 1. Der Scanaccount muss Mitglied der Share Point Farmadministrator Gruppe sein. 2. Der Benutzer muss über die Berechtigungen der einzelnen Webanwendungen Vollzugriff Berechtigungen haben 3. Auf den SharePoint Datenbanken mindestens Leserechte. 4. Auf jeder SharePoint Datenbank die spezielle Berechtigung SharePoint_Shell_Access. 5. Der Scanaccount muss Mitglied der lokalen Administratoren Gruppe auf allen SharePoint Servern sein. Im Kap und finden Sie eine kleine Anleitung, wie Sie sich selbst mit 8MAN einen solchen Benutzer (nachfolgend sa Service Account benannt) erstellen können. Neben dem Scanaccount wird noch ein auf dem SharePoint Server installierter und mit dem 8MAN Server verbundener Kollektor benötigt (Kap und ), um SharePoint scannen zu können Erstellung Scanaccount in Active Directory Im ersten Schritt benötigen sie einen neuen sa, den sie sich in 8MAN mit Hilfe von erstelle neuen Benutzer/Gruppe neu erstellen können. Die gewählten Namen in den Screenshots sind nur Beispielnamen, hier: sa-sp_scanner. Dieser neu erstellte sa muss nun in die Gruppe der lokalen Administratoren auf allen SharePoint Servern aufgenommen werden.

44 Berechtigungsvergabe für Scanaccount Farm Administrator Der Scan Account muss in der Central Administration vom SharePoint in die Farm Administratoren Gruppe hinzugefügt werden Web Application Policy Full Read Zur jetzigen Zeit muss der Scan Account bei allen Web Applications über Policies mit Full Read berechtigt werden, da sonst der komplette Inhalt nicht gescannt werden kann.

45 Zusätzliche unbedingt benötigte Berechtigungen Folgende Berechtigungen sind ebenfalls notwendig (wenn SharePoint 2010 u.u. nicht nach Best Practices aufgesetzt worden ist).wir raten es immer auszuführen SharePoint Shell Administrator Diese Berechtigung erweitert den Scan Account mit der Berechtigung die SharePoint 2010 Management Shell verwenden zu können. Damit bekommt der Account die spezielle Berechtigung SharePoint_Shell_Access auf allen Datenbanken und der Account wird auf allen SharePoint-Server in die lokale Gruppe WSS_Admin_WPG hinzugefügt. Dafür muss folgender Befehl in der SharePoint 2010 Management Shell ausgeführt werden: ForEach ($db in Get-SPDatabase) {Add-SPShellAdmin -Username <User account> -Database $db} Bitte nach dem Ausführen nachprüfen ob der Scan Account wirklich in der lokalen Gruppe WSS_Admin_WPG ist Lokaler Administrator Es kann eventuell nötig sein, den Scan Account auf allen SharePoint-Servern in die Gruppe Lokale Administratoren hinzuzufügen.

46 Datenbank Server Rechte Public Es muss sichergestellt werden, dass der Scann Account mindestens Public Rechte besitzt Datenbank Server System Administrator In Einzelfällen kann es nötig sein, dass dieser Scan Account auf dem Datenbank-Server als System Administrator berechtigt wird.

47 Web Application Policy Full Control Der Kollektor auf dem SharePoint ist zur Zeit nur lesend auf dem SharePoint tätig. Deshalb wird die Full Control Berechtigung nicht benötigt. Nach der Erweiterung des Kollektors zum zusätzlichen Verwalten von Berechtigungen ( Ändern ), wird diese Berechtigung benötigt werden. Ausführungen im Kap erneut durchführen, mit der Policy Full Control Kollektorinstallation auf dem SharePoint Server Um SharePoint scannen zu können muß ein Kollektor auf dem SharePoint Server installiert werden (weitere Informationen zur Kollektorinstallation Teil A -Installation-) Kollektorverbindung SharePoint Server Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der Name des Sharepoint Servers mit installiertem Kollektor eingetragen werden SharePoint Scankonfiguration SharePoint Server- und Kollektorauswahl Im SharePoint-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), den zu scannenden Sharepoint Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap ). Für SharePoint ist nur der auf dem SharePoint Server installierte Kollektor wählbar.

48 48 Wenn Sie alle Einstellungen vorgenommen haben SharePoint Scaneinstellungen vornehmen können. Anwenden. Es erscheint eine Konfigurations-Bubble in der Sie SharePoint Scaneinstellungen Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble [Kap ] aufweisen): Webanwendung Auswahl (Kap ) Scanoptionen für SharePoint (Kap ) Bei sind die Anmeldedaten des sa-sp_scanner Accounts einzutragen. Nachdem Sie die zu scannenden Websiten im Einstiegspunkt-Dialog ausgewählt haben erscheint und Sie können den Scan ausführen Webanwendung Auswahl Im Webanwendung-Auswahl-Dialog können Sie die zu scannenden Webanwendungen auswählen. Die zu verwendende Anmeldung wird aus der SharePoint-Konfigurations-Bubble (Kap ) übernommen.

49 Scanoptionen für SharePoint Im Scanoptionen-für-SharePoint-Dialog können Sie zusätzliche Optionen für die SharePoint Scan Konfiguration definieren. 2.5 Exchange Der 8MAN unterstützt das Auslesen von Exchange ab der Version Zwingende Voraussetzung zum Scannen von Exchange ist eine lokal installierte PowerShell 2.0 oder höher. Von dem Rechner, der den Scan ausführt sollte weiterhin eine Verbindung zu einem Exchange Client Access Server möglich sein. Achten Sie bitte auf vorhandene Firewalls die ggf. Autodiscovery oder eine Verbindung zum Exchanger verhindern. Zusätzliche Anforderungen unter Exchange 2007: Lokal installierte Exchange Management Tools Exchange Scanvorbereitung Exchange 2007 Scanvorbereitung Für den Scan von Exchange 2007 benötigt 8MAN das PowerShell SnapIn der Exchange Management Tools. (Microsoft.Exchange.Management.PowerShell.Admin) Das SnapIn wird durch einen Exchange Server oder die Exchange Management Tools zur Verfügung gestellt. Dazu kann entweder ein 8MAN Kollektor auf einem Exchange Server installiert werden (nicht empfohlen), auf einem Rechner mit installierten Exchange Management Tools installiert werden (empfohlen) oder die Management Tools auf dem Computer des 8MAN Servers installiert werden (nicht unbedingt empfehlenswert). Mit den Exchange Management Tools wird das nötige SnapIn installiert und für die PowerShell registriert Berechtigungen für den Scanaccount Die Anmeldung für den Exchangescan muss zumindest Mitglied der Gruppe Exchange View-Only Administrators sein. Da bei dem Scan auch die Auflösung von Distinguished Names durchgeführt wird und die Berechtigungen auf einem Postfach

50 50 teilweise auch direkt am Postfachbenutzer gesetzt werden, muss der Account auch über Leserechte im Active Directory verfügen. Zum Abruf von Stellvertretungsregeln und Postfachordnern sind weiterhin Impersonierungsrechte notwendig. Lesen Sie bitte hierzu weiter unter: Exchange Web Service - Impersonation Exchange Web Service in Exchange 2007 Postfachordner können in Exchange 2007 über den Exchange Web Service abgerufen werden. Leider arbeitet der Exchange Web Service nicht sehr schnell und der Scan der Postfachordner kann unter Exchange 2007 einige Zeit in Anspruch nehmen. Um dieses Problem ein wenig zu lindern, werden die Postfachinhalte parallel abgerufen. Stellvertretungsregeln werden auch über den Exchange Web Service abgerufen. Für detaillierte Informationen zum Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation Mögliche Probleme Wenn der Scan nicht ausgeführt werden kann, funktionieren ggf. die Exchange Management Tools nicht. Ist das Ausführen der Exchange Management Shell mit dem Scanaccount möglich, prüfen Sie die 8MAN Log Dateien oder kontaktieren Sie ihren Vertriebspartner bzw. protected-networks Exchange 2010 Scanvorbereitung Exchange 2010 unterstützt das Verbinden mit dem Exchange Server über eine Remote PowerShell Verbindung. Dafür ist nur eine lokale PowerShell nötig und keine Exchange Management Tools. Ein Exchange Scan kann also von einem beliebigen 8MAN Kollektor ausgeführt werden. Die Verbindung wird allerdings über einen Client Access Server, der in der aktuellen Active Directory Site sein muss, hergestellt Die richtige Site Auf dem Exchange Client Access Server gibt es eine Site mit dem Namen PowerShell. Über diese Site verbindet sich der 8MAN über die PowerShell mit Exchange. Im Standard werden bei remote PowerShell Verbindungen nicht alle PowerShell Features unterstützt, so lassen sich leider keine Skripte ausführen. Skripte werden aber bei dem Exchange Scan benötigt. Dazu ist folgende Einstellung notwendig: Öffnen Sie die IIS Konfiguration auf dem Server auf dem der Scan ausgeführt werden soll. In der web.config der PowerShell Site in der appsettings Sektion gibt es eine Einstellung PSLanguageMode. Bei dieser Einstellung muss auf FullLanguage stehen.

51 51 Sie können dazu 1. Entweder die Einstellung direkt ändern. Damit ermöglichen Sie allen Berechtigten Zugriff über die remote Exchange Verbindung. 2. Oder Sie kopieren diese Site und ändern die Einstellung auf der Kopie. Bei der Kopie haben Sie die Möglichkeit nur dem 8MAN Scanaccount das Recht zu geben auf diese Site zuzugreifen. (Siehe auch: Wenn sie Änderungen an den Eigenschaften der Website vorgenommen haben, müssen sie den Webserver neustarten Zusatzeinstellungen in der Scankonfiguration in Exchange 2010 Für den Exchange Scan sind zusätzlich folgende Einstellungen in 8MAN notwendig (Vergleich Kap ): Auf dem Dialog können Sie die zu verwendende Website und den Authentifizierungsmechanismus einstellen. Im unteren Teil des Dialogs finden Sie die Adresse, die der Scanner verwenden wird. Im Standardfall verbindet sich der 8MAN mit der Default PowerShell Website auf dem Exchange Client Access Server. Die Site PowerShell existiert auf allen Exchange Client Access Servern. Wollen Sie allerdings, dass der 8MAN Scan auf einer anderen Website durchgeführt werden soll, ändern Sie die Einstellung in der Scankonfiguration. exadmin ist in diesem Fall eine Website mit eingerichtetem FullLanguage Support. Im Standardfall verbindet sich der 8MAN mit dem Default Authentifizierungsmechanismus zu dem Exchange Client

52 52 Access Server. Bitte wählen Sie einen Authentifizierungsmechanismus, der im IIS für diese Website aktiviert ist. Default, Basic und Kerberos sollten die üblichen Mechanismen sein und wurden bei unseren Tests auch erfolgreich verwendet. Das Bild unten beschreibt beispielhaft mögliche Einstellungen. Im Standardfall verbindet sich der 8MAN zum Exchange Client Access Server mit dem voll qualifizierten Servernamen. Wenn dies nicht möglich ist, funktioniert ggf. die Verbindung über den einfachen Servernamen. Aktivieren oder deaktivieren Sie dazu die Checkbox auf dem Dialog. Wir empfehlen außerdem die https Unterstützung auf dem IIS Server zu aktivieren. Wenn die Site keine https Verbindungen zulässt, warnt der Scanner während des Scans Berechtigungen für den Scan Account Der Scanaccount muss zumindest Mitglied der Gruppe View-Only Organization Management sein. Da bei dem Scan auch die Auflösung von Distinguished Names durchgeführt wird und Berechtigungen teilweise auf dem Active Directory Postfachbenutzer gelesen werden, muss der Scanaccount auch über Leserechte im Active Directory verfügen. Beachten Sie, wenn der Scanaccount nur Mitglied der Organization Management Gruppe ist, ggf. nicht alles lesen kann, weil z.b. Postfachinhalte durch Deny-Rechte geschützt sind. Als Mitglied der Organization Management Gruppe ist es z.b. nicht möglich, die Stellvertretungsregelung abzurufen, weil die Impersonierung fehlschlägt. Zum Abruf von Stellvertretungsregeln sind weiterhin Impersonierungsrechte notwendig. Lesen Sie bitte hierzu weiter unter: Exchange Web Service - Impersonation Exchange 2010 und Throttling Für den Abruf von Stellvertretungen wird auch in Exchange 2010 der Exchange Web Service verwendet. Der Scan orientiert sich an den gegebenen Throttlingeinstellungen des Exchange Servers für den Scanaccount. Sie können den Scan also mit einer optimalen Throttlingeinstellung beschleunigen. (Siehe auch: Interessant ist vorrangig die Einstellung EWSMaxConcurrency. Sie beeinflusst die Anzahl der parallelen Abfragen, mit denen der Scan die Stellvertretungsregeln abruft. (Siehe auch: Fehler! erweisquelle konnte nicht gefunden werden. und Fehler! Verweisquelle konnte nicht gefunden werden.) Für detaillierte Informationen zum Exchange Web Service lesen Sie bitte unter: Exchange Web Service - Impersonation Selbstversuch in der PowerShell Falls Sie die Einstellungen einmal in der PowerShell direkt probieren wollen, verwenden Sie bitte folgende Vorgehensweise: 1. Starten Sie eine PowerShell Konsole (möglichst mit der Anmeldung die auch für die Remote Session verwendet werden soll, sonst gibt s unverständliche Access Denied Meldungen)

53 53 2. Erzeugen Sie ein Credential Objekt mit $cred = get-credential 3. Erzeugen Sie ein SessionOption Objekt (Ausschalten aller Checks für den Test) mit $so = New-PSSessionOption -SkipCACheck -SkipCNCheck SkipRevocationCheck 4. Erzeugen Sie eine Session (URI und Authentication (Authentifizierungsmechanismus) müssen Sie ggf. ändern, eine https Verbindung wird empfohlen sollte aber nicht zwingend notwendig sein) $session = New-PSSession -configurationname Microsoft.Exchange -connectionuri -Credential $cred -SessionOption $so -Authentication Kerberos 5. Betreten der Session und Sie können cmdlets ausführen (welche ausführbar sind, ist von den Rechten abhängig) Enter-PSSession $session Fehler bei Verbindungen mit der Remote PowerShell Leider existieren ein paar Fallstricke, die die remote Verbindung mit dem Exchange Server nicht möglich machen. Neben der bereits unter Die richtige Site erwähnten notwendigen Sprachunterstützung gibt es folgende: 1. Nicht aktivierte Authentifizierungsmechanismen: 8MAN versucht im Standardfall eine Verbindung mit dem Standard/Default Authentifizierungsmechanismus herzustellen. Falls das nicht möglich ist, prüfen Sie bitte folgende Punkte: a. Der Authentifizierungsmechanismus ist auf der IIS Site nicht aktiviert. Nach einer Aktivierung und einem Neustart der Website sollte es keine Probleme geben. b. c. Wenn Sie diesen nicht aktivieren möchten, können Sie einen anderen Authentifizierungsmechanismus verwenden. Passen Sie dazu die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in der Scankonfiguration in Exchange 2010) 2. Der voll qualifizierte Servername ist nicht erreichbar Manchmal ist der Client Access Server nicht über den voll qualifizierten Servernamen erreichbar, ggf. reicht es nur den Servernamen zu verwenden, passen Sie dafür die Einstellung in der Scankonfiguration an. (Siehe Zusatzeinstellungen in der Scankonfiguration in Exchange 2010)

54 54 Es ist möglich, dass eine Firewall die Verbindung mit dem Exchange Server verhindert. Bitte prüfen Sie auch die Firewall Einstellungen. 3. Kein Zugriff beim Verbinden Wenn Sie einen solchen Fehler im Log des 8MAN bei den Verbindungsversuchen zu einem Client Access Server finden, liegt es daran, dass der Scanaccount keinen Zugriff auf die Website hat. Ändern Sie hierzu auf dem IIS die Berechtigung an der anzusprechenden Site (Standard PowerShell ). Auf unserer Testumgebung funktionierten sogar nur direkte Berechtigungen, jedoch keine indirekten Berechtigungen über die Gruppenmitgliedschaft in der Administratoren Gruppe (Standardberechtigung auf diesen Websiten). Im Bild oben sehen Sie beispielhaft die in unserer Testumgebung gesetzten Berechtigungen Exchange Web Service - Impersonation Während über die PowerShell administrative Informationen (die Struktur selbst und Berechtigungen auf den Objekten) von Exchange über Postfächer und Öffentliche Ordner abgerufen werden können, ist es möglich über den Exchange Web Service auf die Inhalte zuzugreifen. Stellvertretungsregeln können bisher lediglich über den Exchange Web Service abgerufen werden. Achtung! Das Abrufen von Postfachinhalten kann mit Datenschutzrichtlinien in Ihrem Unternehmen kollidieren. Bereits aus der Ordnerstruktur eines Postfachs lassen sich ggf. pikante Informationen ableiten. Bevor Sie sich entscheiden Postfachordner abzurufen, sollten Sie prüfen, ob es rechtlich möglich ist, diese abzurufen und einzusehen. Bitte beachten Sie, dass die Impersonierung nur auf aktiven Active Directory Accounts funktioniert. Zugriffe auf den Exchange Web Service geschehen immer im Kontext des Postfachbenutzers, dazu benötigt der Scanaccount das Recht zu impersonieren. Impersonierungsrechte werden in Exchange 2007 und 2010 unterschiedlich verwaltet und konfiguriert. Für die Einrichtung der Impersonierung folgen Sie bitte diesen Links:

55 55 - Exchange 2007: Zusammenfassung: Die Impersonierung muss im ersten Schritt für jede einzelne Postfachdatenbank aktiviert warden. Im zweiten Schritt muss die Scananmeldung das Impersonierungsrecht für explizit genannte oder alle Postfächer einer Postfachdatenbank erhalten. - Exchange 2010: Zusammenfassung: Unter Exchange 2010 muss dem Scanaccount nur eine Managementrolle zugewiesen werden, in der explizit das Impersonierungsrecht vergeben wird. Der Exchange Web Service muss nicht gesondert adressiert werden, der Zugriff erfolgt wie in Outlook über eine Autodiscovery Funktion. Falls diese einmal hakt, könnte es an folgenden Problemen liegen: 1. Eine Firewall verhindert die Benutzung der Autodiscovery Funktion Prüfen Sie hierfür ggf. auf verworfene Pakete in der Firewall 2. Der zuständige CAS Server ist nicht erreichbar Führen Sie hierfür den Autodiscovertest in Outlook durch Mit einem Rechtsklick bei gedrückter Strg-Taste auf das Outlook Icon im Informationsbereich erscheint obiges Kontextmenü. Mit einem Klick auf -AutoKonfiguration testen kann die Autodiscovery Funktion direkt in Outlook getestet werden. 3. Wenn die Beiden obigen Vorschläge keine Hinweise liefern, prüfen Sie bitte das Serverlog und schicken Sie es an ihren Vertriebspartner bzw. an protected-networks Exchange Scankonfiguration Exchange Server- und Kollektorauswahl Im Exchange-Auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), den zu scannenden Exchange Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap ).

56 56 Wenn Sie alle Einstellungen vorgenommen haben Exchange Scaneinstellungen vornehmen können. Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie Exchange Scaneinstellungen in der 8MAN Konfiguration Die übliche Scangeschwindigkeit ist derzeit 10 Elemente pro Sekunde. Wenn Sie nur eine Teilmenge für zu lesende Öffentliche Ordner festlegen, werden keine Statistikdaten abgerufen, weil das Auslesen dieser Daten dann extrem langsam ist. Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble [Kap ] aufweisen): und Scanoptionen Exchange (Kap ) und Exchange Verbindungseinstellungen (Kap ) -Dialog nur für Exchange Postfachdetails (Kap ) Scanoptionen Exchange Im Scanoptionen-für-Exchange-Dialog können Sie Einstellungen für Postfächer und Öffentliche Ordner vornehmen.

57 Postfachdetails Im Postfachdetails-Dialog kann aktiviert werden, dass der Exchange Web Service beim Scan für Stellvertretungen benutzt wird (weitere Informationen zum Exchange Web Service Impersonation Kap. Fehler! Verweisquelle konnte nicht efunden werden.). Zu beachten sind hier insbesondere die möglichen Probleme mit dem Datenschutz. nach Aktivierung des Abrufs von Postfachdetails können Sie auch den Abruf von Postfachordnern aktivieren. Beachten Sie hier benötigte Impersonierungsrechte für den Scanaccount Exchange Verbindungseinstellungen Im Exchange-Verbindungseinstellungen-Dialog können Sie die Verbindung zu Exchange 2010 konfigurieren (weitere Informationen im Kap. Fehler! Verweisquelle konnte nicht gefunden werden.).

58 Exchange Scaneinstellungen in den Konfigurationsdateien Verschiedene Einstellungen können nicht in der Scan Konfiguration in der 8MAN Konfiguraton vorgenommen werden. Um doch Einfluss auf den Scan zu nehmen, gibt es ein paar Einstellungen die in den Konfigurationsdateien eingestellt werden können Postfachkategorien - Attributdefinition Im Standardfall sortiert der 8MAN die Postfächer ab 200 Postfächer in Kategorien anhand der Active Directory Eigenschaft sn. Die zu verwendende Eigenschaft kann über die Konfigurationsdatei auf ein beliebiges Textfeld aus dem Active Directory verändert werden. Dazu muss in der pnjob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird, folgende Einstellung im Bereich <config> vorgenommen werden: <collector.scanner.exchange.sortingpropertytype="system.string">sn</ collector.scanner.exchange.sortingproperty> Postfachkategorien - Kürzungsregeln Im Standardfall werden Kategorienbezeichnungen mit 10 Zeichen für Anfang und Ende erzeugt, sollte es anders sein, setzen sie folgende Einstellung in der pnserver.config.xml auf dem 8MAN Server im Bereich <config>: <exchange.categorylength type="system.int32">10</exchange.categorylength> Der mögliche Wertebereich ist 1 bis Postfachkategorien verhindern Im Standardfall werden ab einer Menge von 200 Postfächern Postfachkategorien erzeugt. Ein zu kleiner Scrollbalken auf der Ressourcen-Ansicht sorgt nicht gerade für Übersicht. Wenn dies allerdings nicht gewünscht ist, setzen sie folgende Einstellung in der pnserver.config.xml auf dem 8MAN Server im Bereich <config>: <exchange.mak boxcategories type="system.boolean">false </exchange.mak boxcategories> Die beiden möglichen Einstellungen sind true oder false. true für die Erzeugung von Kategorien. false für eine flache Liste von Postfächern in der Ressourcen-Ansicht Exchange 2010 Throttling Factor Im Standardfall verwendet der 8MAN beim Zugriff auf den Exchange Web Service die maximal durch die ThrottlingPolicy möglichen parallelen Anfragen. Falls die ThrottlingPolicy unbegrenzt viele Anfragen zulässt wird die Anzahl der Prozessoren mal 8 verwendet. Wenn dieser Faktor zu hoch oder zu niedrig ist, fügen Sie bitte folgende Einstellung in der pnjob.config.xml auf dem Kollektor, auf dem der Scan durchgeführt wird, im Bereich <config> ein: <collector.scanner.exchange.processormultiplierforunlimitedthrottling type="system.int32">8</ collector.scanner.exchange.processormultiplierforunlimitedthrottling>

59 59 Ersetzen Sie 8 durch eine sinnvolle Zahl als Faktor. Die gegebene Zahl wird mit der Prozessoranzahl multipliziert, das Ergebnis ist die Anzahl der verwendeten parallelen Abfragen auf den Exchange Web Service. 2.6 vsphere vsphere Scanvorbereitung Kollektorinstallation auf dem vsphere Server Der 8MAN Kollektor muss auf dem vsphere-server installiert werden (Teil A -Installation-). Über diesen lokalen Kollektor kommuniziert der 8MAN-Server später mit dem vsphere-server und fragt alle benötigten Informationen ab Kollektorverbindung vsphere Server Im Kapitel 3 ist beschrieben wie man Kollektoren mit dem 8MAN Server verbindet. Für die Kollektorverbindung muss der Name des vsphere Servers mit installiertem Kollektor eingetragen werden vsphere Scankonfiguration vsphere Server- und Kollektorauswahl Im vsphere-auswahldialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), den zu scannenden vsphere Server und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap ).

60 60 Wird zur Ressource-Suche ein auf dem vsphere-center berechtigtes Benutzerkonto verwendet, erscheinen nach einiger Zeit alle verfügbaren vsphere-servernamen in der Liste als verfügbare vsphere-ressourcen. Das unter Verwendete Anmeldung aufgeführte Benutzerkonto muss auf dem vsphere-center Lese-Rechte für alle Elemente (Bestandslisten und Netzwerk) und deren Berechtigungen besitzen. Ist dies nicht der Fall, wird keine vsphere-ressource gefunden. Wir empfehlen hier die Verwendung eines Administrator-Kontos. Die Suche nach Ressourcen kann anfangs einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmware-kommunikationsschnittstelle einige Zeit in Anspruch nimmt. Wenn Sie alle Einstellungen vorgenommen haben Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie Exchange Scaneinstellungen vornehmen können vsphere Scaneinstellungen Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble[Kap ] aufweisen): vsphere Scaneinstellungen (Kap ) Im Auswahl-der-Sprache-für-die-vSphere-Scan-Dialog können Sie die Sprache für die Darstellung der Rollen und Privilegien aus dem vcenter wählen.

61 61 Die Startphase eines Scans kann einige Minuten dauern, da der Verbindungsaufbau und die Initialisierung der vmware- Kommunikationsschnittstelle einige Zeit in Anspruch nimmt. Danach werden die einzelnen Informationen jedoch relativ zügig ausgelesen und gespeichert. 2.7 Lokale Konten Mit 8MAN ist es möglich die lokalen Konten von verschiedenen FileServern zu scannen, um diese bei den Berechnungen von Gruppenmitgliedschaften mit zu verwenden Lokale Konten- und Kollektorauswahl Im Auswahl-der-lokalen-Konten-Dialog können Sie die für die Ressourcensuche zu verwendende Anmeldung (standardmäßig werden zum Lesen des AD die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen), den zu scannenden Server mit lokalen Konten und den Kollektor für den Scan auswählen (weitere Informationen zum Kollektor im Kap ). Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures eingebaut worden: Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt.

62 62 Ein Klick auf den Header sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen werden standardmäßig nach Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle Elemente aus der Liste. Der Filter über der Liste wurde erweitert sodass er Wildcard (*) Anfragen unterstützt. Man kann jetzt noch komplexere Filterkriterien anwenden:

63 63 Die untere Kollektorliste enthält alle konfigurierten Kollektoren. Das Icon rechts zeigt ob der ausgewählte Kollektor die geladenen Ressourcen scannen kann: Es ist möglich mehrere Ressourcen auszuwählen. Da die Liste sehr groß werden kann sind folgende Komfortfeatures eingebaut worden: Im Header der Ressourcenliste wird die Anzahl der ausgewählten Objekte angezeigt. Ein Click auf den Header sortiert die Liste sodass ganz oben alle ausgewählten Objekte stehen. Alle anderen werden standardmäßig nach Namen sortiert. Ein weiterer Click auf das Kästchen ganz links (de)selektiert alle Elemente aus der Liste: Wenn Sie alle Einstellungen vorgenommen haben Anwenden.Es erscheint eine Konfigurations-Bubble in der Sie lokale Kontenscaneinstellungen vornehmen können Lokale Kontenscaneinstellungen Für lokale Konten auf einem Window Fileserver werden mindestens die Anmeldedaten eines Domänenbenutzers benötigt. Für lokale Konten auf nicht Windows Fileservern muss der Anmeldungsaccount Mitglied der lokalen Administratorgruppe sein. Die Schaltflächen haben folgende Bedeutung (es werden nur Schaltflächen aufgeführt die Unterschiede zur AD-Scan- Konfigurations-Bubble [Kap ] aufweisen): Lokale Kontenscaneinstellungen (Kap ) Im Zusätzliche-Optionen-für-den-Scanner-der-lokalen-Konten-Dialog können Sie die Max. parallelen Anfragen einstellen (Kap ).

64 Jobsliste In der Jobsliste werden alle Scanaufträge der aktuellen Scankonfigurationen gruppiert in einer Baumansicht angezeigt. Desweiteren werden die Ausführungzeiten für Datenbank-Bereinigungen (alte Datenstände [Kap. 7] werden dabei gelöscht) angezeigt. Für einen detailiertere Ansicht und es öffnet sich die Jobliste-Details-Ansicht mit den zusätzlichen Spalten Ausführungsdauer, Ergebnis und letzte Meldung. In der Jobliste und Jobliste-Details sind Aktionen zum Starten, Löschen und Abbrechen von Scanaufträgen im Kontextmenü (Rechtsklick) verfügbar und können gleich aus der Liste ausgeführt werden. Dabei gibt es folgende Einschränkungen: Zeitgesteuerte Aufträge können gestartet, aber nicht gelöscht werden. Zukünftige Berechtigungsänderungen können gelöscht und sofort ausgeführt werden. Alle laufenden Aufträge können gestoppt werden.

65 65 3 KOLLEKTOREN In der Kollektorenansicht können installierte Kollektoren (Teil A -Installation-) mit dem 8MAN Server verbunden werden. Die Schaltflächen (teilweise aus dem Kontextmenü[Rechtsklick]) haben folgende Bedeutung: und Kollektorverbindung (Kap. 3.1) und Anmeldung für Kollektorinstallation (Kap. 3.3) Kollektorinstallation Kollektorentfernung (Kap. 3.4) (Kap. 3.5) 3.1 Kollektorverbindung Für die Kollektorverbindung mit dem 8MAN Server tragen Sie den Namen oder die IP-Adresse des Computers, auf dem der Kollektor installiert wurde, in das Kollektor-hinzufügen-Feld ein (Standard-Port ist und muss nicht angegeben werden) Für den Vorgang des Kollektorhinzufügens können Sie optinal eine Anmeldung zur Fern-Administration des Kollektors im Maschinen-Administratoren-Anmeldung-Bereich eingeben:

66 66 Diese wird beim hinzufügen des Kollektors in die Spalte Administrator übernommen und kann manuell geändert werden (Kap. 3.3). Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es bei dauerhafter Angabe einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann (diese könnte, z.b. Systeminstabilitäten verursachen). bzw. Keine Anmeldung im Active-Directory-Anmeldung-Dialog setzt die Anmeldung im Maschinen-Administratoren-Anmeldung-Bereich wieder auf optinal. Nachdem Sie den Namen bzw. die IP-Adresse eingegeben haben. Nun wird eine Verbindung zwischen 8MAN Server und Kollektor hergestellt und die Spalte Zustand zeigt bei erfolgreicher Verbindung den Text Verbunden an. 3.2 Kollektoraktualisierung Der 8MAN-Server aktualisiert alle konfigurierten Kollektoren automatisch, sobald die erste Netzwerk-Verbindung hergestellt werden kann. Bis zur Version 4.5 kamen zwei unterschiedliche Methoden zur Aktualisierung zum Einsatz. Beide Varianten haben jedoch in der Praxis in bestimmten Konstellationen dazu geführt, dass die Kollektoren nicht aktualisiert wurden. Aus diesem Grund wurde mit der Version 4.6 eine dritte Aktualisierungsmethode eingeführt, die in den Fehlerfällen eingesetzt werden kann Beschreibung der Aktualisierungsmethoden Im Folgenden nun eine kurze Beschreibung der einzelnen Aktualisierungsmethoden mit ihren Voraussetzungen sowie den Vor- und Nachteilen. Methode 1 Methode 2 Methode 3 Aktualisierungstechnik Der Server überträgt alle zu aktualisierenden Dateien zum Kollektor. Dieser spielt die neuen Dateien ein und der Kollektor wird wieder neu gestartet. Der Server überträgt das komplette Installationspaket zum Kollektor. Dieser startet das Paket. Nach der Installation wird der Kollektor neu gestartet. Der Server kopiert alle benötigten Installationsdateien in das Dateisystem der Kollektormaschine unter Verwendung eines Administrator-Kontos. Der Server startet die Installation. Nach der Installation wird der Kollektor neu gestartet. Voraussetzungen Kollektor ist installiert und läuft. Kollektor-Version vor 4.4. Kollektor ist installiert und läuft. Kollektor-Version 4.4. oder neuer. Benutzer-Konto, das direkt oder indirekt in der lokalen Administratoren-Gruppe der Kollektor-Maschine Mitglied ist.

67 67 Die Maschinen von Server und Kollektor befinden sich in Domänen mit vollen Vertrauensstellungen. Vorteile Kleines Aktualisierungs-Paket. Alle Dateien inkl. Dienste und Treiber werden aktualisiert. Alle Dateien inkl. Dienste und Treiber werden aktualisiert. Der Kollektor muss nicht bereits installiert gewesen sein. Nachteile Dienste und Treiber werden nicht aktualisiert. Der Kollektor muss bereits installiert sein und laufen. In bestimmten Umgebungen schlägt der Start Aktualisierung fehl. Der Kollektor muss bereits installiert sein und laufen. Ein Benutzer-Konto mit hohen Berechtigungen ist erforderlich Einsatzumgebungen der Aktualisierungsmethoden Die sich anschließende Tabelle zeigt einzelne Einsatzumgebungen aus der hervorgeht, dass bei einer installierten 4.4 oder 4.5 unter Windows Server 2003 die Aktualisierung nicht automatisch erfolgen kann (orange hinterlegt). Die automatisch ausgewählten Aktualisierungsmethoden, die fehlerfrei funktionieren, sind grün hinterlegt. Ist ein Administrator-Konto hinterlegt, wird automatisch die Methode 3 verwendet (blau hinterlegt). Betriebssystem Vertrauensstellung 8MAN-Version Methode 1 Methode 2 Methode 3 Windows Server 2003 Ja - Nein Nein Ja Windows Server 2003 Nein - Nein Nein Nein Windows Server 2003 Ja Vor 4.4. Ja Nein Ja Windows Server 2003 Nein Vor 4.4. Ja Nein Nein Windows Server 2003 Ja 4.4. oder 4.5 Nein Nein Ja Windows Server 2003 Nein 4.4. oder 4.5 Nein Nein Nein Windows Server 2003 Ja Ab 4.6. Nein Ja Ja Windows Server 2003 Nein Ab 4.6. Nein Ja Nein Windows Server 2008 oder später Ja - Nein Nein Ja Windows Server 2008 oder später Nein - Nein Nein Nein Windows Server 2008 oder später Ja Vor 4.4. Ja Nein Ja Windows Server 2008 oder später Nein Vor 4.4. Ja Nein Nein Windows Server 2008 oder später Ja 4.4. oder 4.5 Nein Ja Ja Windows Server 2008 oder später Nein 4.4. oder 4.5 Nein Ja Nein Windows Server 2008 oder später Ja Ab 4.6. Nein Ja Ja Windows Server 2008 oder später Nein Ab 4.6. Nein Ja Nein

68 Anmeldung für Kollektorinstallation Im Active-Directory-Anmeldung-Dialog können Sie die für die Kollektoraktualisierung benötigten Anmeldedaten eingegeben. Sofern sie bereits Anmeldedaten bei der Kollektorverbindung (Kap. 3.1) eingegeben haben, werden diese in der Spalte Administrator angezeigt. Sollte Sie noch keine Anmeldedaten eingegeben können Sie dies im Active-Directory- Anmeldung-Dialog (Kap. 3.1) tun. Eine Anmeldung sollte nur für die Dauer der Kollektorinstallation gesetzt werden, da es bei dauerhafter Angabe einer Anmeldung zur unbeabsichtigten automatischen Kollektoraktualisierung kommen kann (diese könnte, z.b. Systeminstabilitäten verursachen). 3.4 Kollektorinstallation Wenn Sie einen Kollektor installieren wollen und noch kein Anmeldedaten eingegeben haben (Kap. 3.1 und 3.3), erscheint folgender Dialog: Nachdem die Angabe der Anmeldedaten erfolgt ist, wird der Kollektor installiert (weitere Informationen Kap. 3.2). 3.5 Kollektorentfernung Bevor ein Kollektor gelöscht wird, erfolgt folgende Sicherheitsabfrage:

69 69 4 ÄNDERN-KONFIGURATION 4.1 AD-Ändern-Konfiguration In der AD-Ansicht können Sie Vorgabewerten, die als Voreinstellungen für die eigentliche Benutzung der Funktion in 8MAN (z. B. Benutzer anlegen) dienen, definieren (Kap Erforderliche Angaben und Kap. Optionale Attribute) und Sie können ein externes Programm an 8MAN anbinden (Kap Externes Programm). Die hier gesetzten Werte können in 8MAN auch nachträglich noch geändert werden. Um die Einstellungen zu speichern Zurück.

70 Erforderliche Angaben Im Anmeldename-Bereich können Sie Bildungsregeln des Anmeldenamens für neu anzulegende Benutzer, Administratoren oder Dienstkonten erstellen, wodurch eine Vorbelegung aufgrund von Vor- und Nachname sowie Typ des Benutzerkontos generiert wird. Im Kontooptionen-Bereich können Sie Kontooptionen, wie z.b.das Start-Kennwort das für neue Benutzer gelten soll, einstellen Optionale Attribute Im optionale-attribute-bereich können Sie Attribute (LDAP) auswählen, die Sie beim Erstellen von neuen Benutzern oder Gruppen setzen möchten. Erforderliche Attribute sind hierbei nicht abwählbar (erkennbar an dem grünen Haken). Bitte beachten Sie, dass Attribute, die Sie hier abwählen, nicht bei der Erstellung eines neuen Objektes in 8MAN verwendet werden können Externes Programm

71 71 Im externes-programm-bereich können Sie einstellen das beim Anlegen eines neuen Benutzers ein externes Programm ausgeführt werden soll. Unterstützte Formate für externe Programme sind *.ps1, *.bat, *.cmd und *.vbs Sie können einen Namen, den Pfad für das externe Programm und optional Kommandozeilen Argumente angeben. Bei den Kommandozeilen Argumenten kann man, wie auch schon bei den Bildungsregeln für den Benutzeranmeldenamen, gewünschte Attribute (LDAP) in geschweifte Klammern schreiben (z.b. {samaccountname}). Die dann ermittelten Werte für die Attribute werden dem externen Programm übergeben. Falls man sich bei den Argumenten verschrieben hat und kein Wert für dieses Argument ermittelt werden kann, so wird das Argument ohne Umsetzung (z.b. {unbekannt}) an das externe Programm übergeben. Wenn für die Ausführung des Programms keine Anmeldedaten konfiguriert wurden, dann werden automatisch bei der Programm-Ausführung die Anmeldedaten für das Ändern im AD benutzt. Einschränkungen Das externe Programm muss sich lokal auf dem 8MAN Server befinden. Bei Eingabe des Verzeichnisses und des Dateinamens wird überprüft, ob das Programm verfügbar ist. Wenn Sie die Checkbox zum Ausführen nicht angewählt haben, dann wird bei Benutzer anlegen diese Konfiguration nicht berücksichtigt. Nur im Falle einer angewählten Checkbox wird die Konfiguration benutzt. Wenn das Programm beim Anlegen eines Benutzers nicht mehr verfügbar ist oder die Konfiguration fehlerhaft ist, dann wird eine Fehlermeldung ausgegeben. Das Benutzeranlegen ist weiterhin möglich, jedoch eine externe Programmausführung nicht. Es wird dabei zusätzlich ein Hinweis ins Logbuch geschrieben, dass man den Benutzer angelegt hat, das externe Programm aber nicht ausgeführt wurde. Bei *.bat und *.cmd sollte beachtet werden, dass die Ausgabe nur mit dem ASCII Zeichensatz arbeitet. Ausnahme dabei ist, wenn man die *.bat bzw. *.cmd Dateien mit einem einfachen Editor geschrieben hat. Die Ausgaben des externen Programms werden im Erfolgsfall als Nachricht im Merkzettel hinterlegt und ebenfalls in das Logbuch des neu erzeugten Benutzers geschrieben:

72 72 Im Fehlerfall innerhalb der externen Programausführung werden die Ausgaben bis zum Fehlerauftritt in das Serverlog geschrieben, sodass es möglich ist, nachträglich die Fehler zu analysieren. 4.2 FS-Ändern-Konfiguration In dieser Ansicht können Sie sämtliche Werte, die für die Ausführung des Gruppenassistenten und für Berechtigungsänderungen auf dem FS notwendig sind, einstellen. Hierzu zählen die Grundeinstellungen (Kap ), Zugriffskategorien (Kap ), 8MAN Gruppen (Kap ) und die FS-Blacklist (Kap ). Informationen zum Status der Konfiguration finden Sie im Kap Grundeinstellungen

73 73 Im Grundeinstellungen-Bereich können Sie den Gruppenassisent (Kap ), den Simulationsmodus (Kap ) und Verzögertes Schreiben von ACEs (Kap ) aktivieren. Desweiteren können Sie die AD-Gruppenverwendung (Kap ) und den Initialer Test der Berechtigungsänderungen (Kap ) einstellen Gruppenassisent Der Gruppenassistent bleibt nach der Installation von 8MAN auf einem neuen System zunächst inaktiv. Dies ist notwendig, da es Einstellungen in Bezug auf AD und FS gibt, die auf Ihre Umgebung abgestimmt sein müssen. Setzen Sie einen Haken in die Checkbox, um den Gruppenassistent zu aktivieren. Wenn Sie den Gruppenassistenten deaktivieren, kann er im 8MAN nicht verwendet werden. Ist der Gruppenassistent aktiviert kann er im 8MAN bei Bedarf deaktiviert werden Simulationsmodus Mit Änderungen nur simulieren wird ein Simulationsmodus aktiviert, so dass Änderungen in den Berechtigungen nicht wirksam werden, d. h. Sie werden nur simuliert und angezeigt Verzögertes Schreiben von ACEs Aktivieren Sie diese Option und stellen Sie die Anzahl der Tage ein, um die eine Änderung von ACEs verzögert werden soll. Dies ist sinnvoll, da in bestimmten Situationen Berechtigungsänderungen erst nach einer erneuten Anmeldung eines Benutzers wirksam werden. Durch das Verzögerte Schreiben können Sie die Änderungen auf einen Zeitpunkt verschieben, an dem keine oder nur wenige Benutzer angemeldet sind AD-Gruppenverwendung

74 74 Um eine entsprechende Standardisierung bei der Berechtigungsvergabe umzusetzen, bietet 8MAN an, lokale, globale, universelle, sowie lokale und globale Berechtigungsgruppen anzulegen. Damit werden Direktberechtigungen vermieden und eine einheitliche Vergabestruktur aufgesetzt. Es ist damit auch nicht notwendig, eigene Gruppenstrukturen für Berechtigungen aufzusetzen. Es wird standardmäßig empfohlen, nur lokale Gruppen anzulegen. Beachten Sie, dass eine Auswahl nur vorgenommen werden kann, wenn Sie bisher noch keine Auswahl getroffen und gespeichert haben oder der Simulationsmodus aktiviert ist. Die Auswahl im Simulationsmodus ist dabei unabhängig von der im echten Betrieb. Sofern Sie noch keine Konfiguration angelegt haben und mit aktiviertem Simulationsmodus speichern, haben Sie weiterhin die freie Wahl der Gruppenstrategie für den echten Betrieb. Erst wenn Sie bei ausgeschalteter Simulation speichern, wird die Strategie verbindlich festgelegt. Wichtig: Beachten Sie bitte, dass diese Einstellung nur einmalig vorgenommen werden kann. Eine nachträgliche Umstellung führt zu Inkonsistenzen Initialer Test der Berechtigungsänderungen Sie können einen initialen Test aktivieren (der Simulationsmodus muß dafür ausgeschaltet werden), mit dem geprüft wird, ob die Anmeldedaten ausreichend sind, um Änderungen im System durchführen zu können. Damit entfällt beim Ändern von Verzeichnisberechtigungen in 8MAN der folgende Dialog: Zugriffskategorien

75 75 Im Bereich der Rechtekennzeichen legen Sie zum einen fest, welche Zugriffskategorien im Gruppenassistenten zur Verfügung stehen und zum anderen, welche Kürzel jede Kategorie besitzen soll. Soll auch eine Listgruppe angelegt werden, muss Ordnerinhalt auflisten angeklickt werden. Die hier aktivierten Zugriffskategorien erscheinen im Gruppenassistenten als Spalten in die Sie zur Änderung von Zugriffsberechtigungen einzelne oder mehrere Benutzer hinein bzw. wieder heraus schieben können. Die Kürzel werden analog zu den gruppenspezifischen Zeichen (Kap ) den Gruppennamen hinzugefügt (Beispiel für Kürzel md in Vorschaufeld Kap ) MAN Gruppen Der Gruppenassistent erstellt für die Zugriffsberechtigungen auf einem Verzeichnis eigene Gruppen, die einen einheitlichen Aufbau besitzen. Im 8MAN-Gruppen-Bereich können Sie diesen Aufbau Ihren Erfordernissen anpassen: Gruppenspezifische Zeichen (Kap ), Pfadverwendung in Gruppennamen (Kap ) und Namensformat (Kap ) Gruppenspezifische Zeichen Definieren Sie hier die Kürzel zur Kennzeichnung der verschiedenen Gruppentypen. Das Trennzeichen, das Sie hier

76 76 festlegen, kann zur Abgrenzung der einzelnen Namensbestandteile genutzt werden. Das hier aufgeführte Listgruppen- Suffix wird im Rahmen der automatischen Listrechteverwaltung verwendet und kennzeichnet entsprechend automatisch angelegte Listgruppen. Als Beispiel ist im Vorschaufeld das Kürzel g für globale Gruppenzu sehen Pfadverwendung in Gruppennamen Hier können die Vorgaben für den Pfad gemacht werden, der im Gruppennamen auftaucht. Der Pfad ist wichtig, um bei einem Verschieben oder Umbenennen die frühere Herkunft ggf. einfach wiederherstellen zu können. Auf der linken Seite können Sie zwischen kompletten Pfad (\\Server\Freigabe\Verzeichnis\...), relativen Pfad zum Server (\Freigabe\Verzeichnis\...) oder relativen Pfad zur Freigabe (\Verzeichnis\...) wählen. Auf der rechten Seite können Sie den gewählten Pfad noch weiter auf bestimmte Pfadanteile beschränken. 8MAN wird ausgehend von dieser Vorgabe den Namen für die 8MAN Gruppen anhand des aktuellen Pfades erstellen. Ein Beispiel Ihrer Pfadverwendung in Gruppennamen sehen Sie im Vorschaufeld Namensformat Sie bestimmen, welche Namensbestandteile und in welcher Reihenfolge diese zu einem Gruppennamen zusammengefügt werden Das Format des Gruppennamens kann nahezu frei konfiguriert werden. Wählen Sie unter Namensformat einfach die Bestandteile und Trennzeichen aus, die sich an den jeweiligen Positionen befinden sollen.. Jede Information (Präfix, Gruppenkennung, Pfad und Zugriffsrecht) kann nur einmal verwendet werden. Wird es an einer anderen Stelle eingeschaltet, wird es an der vorherigen Stelle automatisch entfernt. Ein Beispiel Ihres Namensformats sehen Sie im Vorschaufeld FS-Blacklist Die FS-Blacklist erlaubt Ihnen Benutzer, Gruppen und SIDs auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen. Als Anmeldung für die Suche in AD werden standardmäßig die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen).

77 77 Sie fügen einen Benutzer bzw. ein Gruppe hinzu, indem Sie in das Suchfeld den Namen bzw. Teilnamen eingeben und anschließend in den Suchergebnissen den entsprechenden Eintrag auswählen. Per Drag-and-Drop, Doppelklick oder wird die zugehörige SID in die FS-Blacklist eingefügt. Alternativ können Sie direkt eine SID in das Suchfeld eingeben und in die FS-Blacklist einfügen. Neben dem Filterfeld gibt es noch die Möglichkeit interne Einträge (gesperrte Einträge) oder eigene Einträge in der Blacklist ein- bzw. auszublenden. Zum Entfernen eines Eintrags aus der Blacklist, wählen Sie einen Eintrag aus und. Desweiteren gibt es noch die Möglichkeit Standardeinträge wiederherzustellen. Dabei werden alle Well-Known-SIDs in die Blacklist eingetragen die von 8MAN empfohlen werden (Ihre selbstdifinierten Einträge bleiben hierbei erhalten) Status der Konfiguration Dieser Informationsbereich zeigt Ihnen den Zustand der aktuellen Konfiguration sowie Meldungen über den Abschluss von Lade- und Speichervorgängen.Diese Analyse zeigt an, ob es zu Fehlern in der Konfiguration kam. Zur Aktivierung der neuen oder geänderten Konfiguration muß diese mit Übernehmen. gespeichert werden.sofern Sie eine Konfiguration geändert haben, erscheint die folgende Sicherheitsabfrage:

78 78 Um die Konfiguration zu übernehmen entsprechende Meldungen angezeigt: Ja. Sofern die Konfiguration gültig ist und das Speichern erfolgreich war, werden Im Fall einer fehlerhaften oder unvollständigen Konfiguration, werden entsprechende Hinweise angezeigt und es erfolgt keine Speicherung: 4.3 SharePoint- Ändern-Konfiguration Die Durchführung von Änderungen mit 8MAN kann erst erfolgen, wenn eine Konfiguration des Änderungsmoduls für SharePoint vorgenommen wurde und bereits mindestens einmal ein Scan des SharePoints erfolgt ist. Die Konfiguration von SharePoint können Sie in folgenden Kapiteln vornehmen: Konfiguration (Kap ), Grundeinstellungen (Kap ), Zugriffskategorien (Kap ), 8MAN-Gruppen (Kap ), SharePoint-Websitesammlung-Blacklist (Kap ), SharePoint-Globale-Blacklist (Kap ). Die SharePointkonfiguration erfolgt pro Websitesammlung, das bedeutet, dass jede Websitesammlung ihre eigene Konfiguration haben kann.

79 79 Einschränkungen bei der Konfiguration von SharePoint: Der Gruppenassistent ist nur arbeitsfähig, wenn auf dem SharePoint ein 8MAN Kollektor installiert und funktionsfähig ist. Forderungsbasierte (claimbased) SharePoint Berechtigungen sind nur in der Art unterstützt, als dass die Prinzipals Elemente der Domäne sein müssen, die den SharePoint beheimatet. 8MAN unterstützt momentan die Veränderung von Berechtigungen auf SharePoint Objekt Level beginnend mit der Websitesammlung. Die Modifikation von Farmadministratoren, Websitesammlungsadministratoren, Websitesammlungbesitzern bzw. sekundären Besitzern wird im Moment nicht unterstützt, die Resourceansicht jedoch zeigt alle Berechtigungsebenen komplett an. Die Modifikation von Websitesammlungs-Policies wird in der Version nicht unterstützt, in der Resourceansicht jedoch korrekt wiedergegeben. Die Wiederherstellung der Vererbung wird nicht unterstützt Konfiguration Im Konfiguration-Bereich können Sie entscheiden, ob die aktuelle Konfiguration für alle Websiten übernommen werden soll (Kap ) und ob Konfigurationen gelöscht werden sollen (Kap ) Übernehmen für alle Websitesammlungen Im folgenden Dialog können Sie einstellen, dass die aktuelle Konfiguration für alle Websiten übernommen werden soll. Bereits existierende Konfigurationen gehen damit verloren.

80 Lösche diese Konfiguration Im folgenden Dialog können Sie die ausgewählte Konfiguration der ausgewählten Websitesammlung löschen Grundeinstellungen Im Grundeinstellungen-Bereich können Sie den Gruppenassistenten (Kap ), den Simulationsmodus (Kap ), die Initiale Prüfung der Änderung ohne Benutzer-Aufforderung (Kap ) und die Verwendung von (Kap ) einstellen. Der Bereich Grundeinstellungen beinhaltet einige Optionen, die analog zum FS-Ändern-Grundeinstellungen- Bereich (Kap ) sind Gruppenassistenten aktivieren Diese Option sorgt dafür, dass der 8MAN für Berechtigungen auf SharePoint Objekten explizit SharePoint Gruppen anlegt Änderungen nur simulieren (Simulationsmodus) Diese Option unterbindet die Möglichkeit der letztlichen Ausführung einer mit 8MAN vorgenommenen Änderung. Sobald das System im produktiven Einsatz arbeiten soll, muss diese Option selbstverständlich deaktiviert werden.

81 Initiale Prüfung der Änderungen ohne Benutzer-Aufforderung Hier können Sie einstellen ob eine initiale Prüfung der Konfiguration ohne Benutzer-Aufforderung durchgeführt werden soll. Im Kapitel wird dies für das Ändern von Verzeichnisberechtigungen auf FS in 8MAN beschrieben. Diese Beschreibung gilt analog auch für Änderungen in Sharepoint Standardgruppen verwenden Die Websitesammlungobjekte verfügen nach dem Neuanlegen über eine Anzahl von automatisch erzeugten Gruppen (Owners Group, Visitors Group, Members Group, ). Die Aktivierung der Option bewirkt, dass im Fall des aktivierten Gruppenassistenten vorzugsweise diese vordefinierten Gruppen zum Einsatz kommen SharePoint Anmeldung Im SharePoint-Anmeldung-Dialog können Sie Anmeldedaten zum Schreiben in SharePoint eingeben Zugriffskategorien

82 82 Der Bereich Zugriffskategorien ermöglicht die Konfiguration von den Berechtigungen, die in der Gruppenassistentenanzeige des 8MAN bereitgestellt werden sollen. Es besteht die Möglichkeit, zwischen der 8MAN-Rolle Administratoren und der Rolle Alle Anderen zu differenzieren. Die Grundidee ist dem Alle Anderen -Benutzer nur einen eingeschränkten Handlungsspielraum bei der Berechtigungsvergabe einzuräumen. Alle hier nicht ausgewählten Berechtigungen und alle weiteren werden allerdings in der Kategorie Sonstige Berechtigungen zusammengefasst. Diese Kategorie ermöglicht prinzipiell nur das Entfernen von Permissions. Die Kategorie Limited Access ist grundsätzlich als schreibgeschützt zu betrachten, da der SharePoint Listrechte selber automatisch verwaltet. Es gibt keine Einschränkungen für kundenspezifische Permission-Sets. Die Konfiguration bietet zusätzlich zu den Standardberechtigungen auch alle frei definierten Permission-Sets zur Auswahl MAN-Gruppen Der Abschnitt 8MAN Gruppen widmet sich der Namensbildung der automatisch erzeugten 8MAN Resourcegruppen (weitere Informationen im Kap ). Es existiert eine Vielzahl von möglichen Kombinationen. Generell wird als Suffix das Kennzeichen der Zugriffskategorien verwendet. Die Regeln sind nur von Bedeutung, wenn die Option Gruppenassistent verwenden aktiv ist.

83 SharePoint-Websitesammlung-Blacklist Die Sharepoint-Websitesammlung-Blacklist erlaubt Ihnen Benutzer, Gruppen und SIDs für die ausgewählte Websitesammlung auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen. Im Kapitel wird die FS-Blacklis beschrieben. Diese Beschreibung gilt analog auch für den Sharepoint- Websitesammlung-Blacklist, wobei es folgende Ergänzungen gibt. Anstelle des Anzeigens von eigenen Einträgen in der globalen Blacklist gibt es hier die Option globale Blacklist-Einträge ein- bzw. auszublenden. Desweiteren können Sie widerrufene (gelöschte) Blacklist-Einträge aus der globalen Blackliste bzw. lokale (Websitesammlung) Blacklist-Einträge ein- bzw. ausblenden. Mit können Sie widerrufene Blacklist-Einträge aus der globalen Blacklist wiederherstellen SharePoint-Globale-Blacklist Die Sharepoint-Globale-Blacklist ( ) erlaubt Ihnen Benutzer, Gruppen und SIDs für alle Websitesammlungen auszuwählen, deren Berechtigungen durch 8MAN nicht verändert werden sollen.

84 84 Im Kapitel wird die FS-Blacklist und im Kapitel die Sharepoint-Websitesammlung-Blacklist beschrieben. Diese Beschreibungen geltent analog auch für die Sharepoint-Globale-Blacklist, wobei es folgende Ergänzungen gibt. In der globalen Blacklist gibt es noch die Option Blacklist-Einträge zu sperren ( ) bzw.entsperren ( )um Änderungen dieser Blacklist-Einträge in den Websitesammlungen-Blacklists zu verhindern bzw. zu erlauben.

85 85 5 BENUTZERVERWALTUNG 5.1 Benutzermanagement In der Benutzerverwaltung haben Sie die Möglichkeit den Zugriff auf den 8Man einzuschränken. Das Benutzermanagement wird durch Hackensetzen bei Benutzermanagement aktiv aktiviert. Als Anmeldung für die Suche in AD werden standardmäßig die Anmeldedaten aus der Basiskonfiguration [Kap ] übernommen). Sie haben die Möglichkeit auf der linken Seite Benutzer und Gruppen zu suchen und per Drag-and-Drop, Doppelklick oder zur rechten Seite in die Liste der Benutzer, die 8MAN benutzen dürfen, hinzuzufügen. Es wird dabei in allen verfügbaren Domänen gesucht. Wenn sie das Domänenkürzel voranstellen (z.b. pn\ ) wird nur in der Domäne pn gesucht. Die Benutzer die 8MAN benutzen dürfen, können veschiedene Rollen (Berechtigungen) zugewiesen werden, diese werden in Form von Symbolen angezeigt: Keine Berechtigung Lesen und Reports erstellen Lesen, Reports erstellen und Ändern (Data Owner)

86 86 Administrator Um Benutzer aus der Liste zu löschen. Desweiteren können Sie in derunteren Hälfte des Benutzverwaltung-Bereichs 5.2 Erweiterte Benutzerverwaltung Zum Aufklappen des Erweiterte-Benutzerverwaltung-Bereichs. Verwenden Sie die Erweiterte Benutzerverwaltung um zu definieren, welche Rolle welche Funktionen, in 8MAN benutzen kann. Es gibt die Rollen Administrator, DataOwner und Alle Anderen. Die Funktionen werden durch aktiviert bzw. deaktiviert. Wenn 8MAN Benutzern im Benutzermanagement eine Rolle zugewiesen wurde, können diese 8MAN Benutzer alle im Erweiterte-Benutzerverwaltung-Bereich aktivierten Funktionen benutzen. Alle deaktivierten Funktionen sind dann nicht sichtbar. Wenn Ihre Lizenz bestimmte Funktionen ausschließt (z.b. eine 8MAN-Visor- Lizenz) können Sie diese Funktionen (grauer Hintergrund) auch nicht im Erweiterte-Benutzerverwaltung-Bereich aktivieren oder deaktivieren. bzw.

87 87 6 DATENEIGENTÜMER Die Dateneigentümer-Konfiguration ermöglicht eine Zuweisung von Ressourcen zu Dateneigentümern, aufbauend auf individuell strukturierbaren Organisationskategorien. Das eigene Unternehmen kann so abgebildet werden und einzelnen Organisationskategorien können Ressourcen bzw. Benutzer oder Gruppen zugeordnet werden. Einstellungen für 8MAN- Gruppen (Einstellungen Scankonfiguration Kap und ) Einstellungen für das Ändern von Gruppenmitgliedschaften für Dateneigentümer (Kap. 6.4) Anzahl an Dateneigentümern bzw. aller verwendaren Ressourcen Kap Die Schaltflächen bzw. Bereiche haben folgende Bedeutung: Organisationskategorieeinstellungen (Kap. 6.1) und Verwendbare Ressourcen (Kap. 6.3) und Dateneigentümer hinzufügen (Kap. 6.2)

88 Organisationskategorieeinstellungen Die Schaltflächen haben folgende Bedeutung: Hinzufügen (Kap ) Umbenennen (Kap ) Eintrag löschen (Kap ) Dateneigentümer CSV Import (Kap ) Dateneigentümer CSV Export (Kap ) Report der Konfiguration (Kap ) Alles zurücksetzen (Kap ) Hinzufügen Im Name-der-Organisationskategorie-Dialog könnenn Sie den Namen einer neuen Organisationskategorie unterhalb der ausgewählten Organisationskategorie eingeben Umbenennen Im Organisationskategorie-umbennen-Dialog können Sie den Namen der Organisationskategorie ändern Eintrag löschen Im Löschen-Dialog (Eintrag löschen) können Sie das Organisations Kriterium mit dazugehörigem Inhalt löschen.

89 Alles zurücksetzen Im Löschen-Dialog (Alles zurücksetzen) können Sie alle bereits konfigurierten Organisationen löschen Dateneigentümer CSV Import Voraussetzung für den Dateneigentümer CSV Import ist, dass sowohl das AD, in dem die Data Owner sind, als auch die Fileserver, deren Zugriff gesetzt werden soll, bereits gescannt wurden. Desweiteren wird eine csv-datei mit folgenden Werten benötigt: acht obligatorische Spalten mit folgenden Überschriften: Server, Freigabe bzw. Share, 8ManUser, Ressourcetype (AD,FS, SharePoint und Exchange), Organisationseinheit (LDAP-Pfad der OU an, in der die 8MAN Gruppen des Dateneigentümers erstellt werden sollen), Präfix (Zusatz Präfix beim Erstellen der 8MAN Gruppen), Schreibgeschützt (Wert 0 veränderbare Ressource und 1 Lese-Ressource) und Level 1 Spalten durch Semikolon oder Tab getrennt optionale Spalte mit Überschift Kollektor (wenn diese nicht erstellt wird der 8MAN Server wird als Kollektor verwendet) oder Level 2 bis Level 10 weitere optinale Spalten (diese müssen nach dem Erstellen auch ausgefüllt werden) mit frei wählbaren Überschriften Beispiel einer csv-datei: im Import-Datei-Dialog können Sie die zu importierende csv-datei auswählen und Öffnen".Im

90 90 Dateneigentümer CSV-Import-Dialog werden die zu importierenden Daten aufbereitet und Sie erhalten eine Vorschau der zu importierenden Organisationen: Benutzer oder Freigaben die nicht importierbar sind, werden in extra Reitern angezeigt. Des Weiteren gibt es jetzt die Möglichkeit beim Import zu entscheiden, ob man die bereits vorher konfigurierten Dateneigentümer aus der Benutzerverwaltung beim Importieren der neuen Konfiguration entfernen möchte. Ist das Häkchen gesetzt, werden alle vorher eingetragenen Dateneigentümer gelöscht und nur die neuen Dateneigentümer übernommen.mit Anwenden werden alle importierbaren Organisationskategorien als neue Organisationsstruktur übernommen. Vorhandene Strukturen werden gelöscht Dateneigentümer CSV Export Im Speichern-unter-Dialog können Sie die Dateneigentümerkonfiguration im csv-format speichern. Dabei werden die im Kap beschriebenen Werte verwendet.

91 Report der Konfiguration Im Speichern-unter-Dialog können Sie einen Report über die Größe (Speicherplatzauslastung) der einzelnen Freigaben eines Dateneigentümers im csv-format speichern. Als Ergebnis wird eine neue Reportdatei im csv Format geöffnet. Die Spalte User wird gefüllt, wenn als Data Owner eine Gruppe eingetragen wurde. Dann werden alle Mitglieder dieser Gruppe aufgelistet. 6.2 Dateneigentümer hinzufügen Dem Dateneigentümer-Bereich können Benutzer und Gruppen aus dem Benutzer & Gruppen-Auswahl-Bereich auf der linken Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste hinzugefügt werden. Beim Klicken auf einen Benutzer oder einer Gruppen im Dateneigentümer-Bereich erscheint, mit wird der Benutzer oder die Gruppe gelöscht. 6.3 Verwendbare Ressourcen Die Schaltflächen haben folgende Bedeutung: Die Ressource ist veränderbar (Kap. 6.3) Die Ressource ist lesbar ( Kap. 6.3)

92 92 Als verwendbare Ressource für Dateneigentümer können AD, FS, SharePoint und Exchange verwendet werden. Im verwendbare-ressourcen-bereich können einzelne Benutzer-, Gruppen- und Computer-Objekte, Organisationseinheiten oder ganze Domänen enthalten sein. Einem Dateneigentümer können Ressourcen als veränderbare Ressourcen oder Lese- Ressourcen zugeordnet werden. Dem verwendbare-ressourcen-bereich können Ressourcen aus dem Ressourcen-Auswahl- Bereich auf der rechten Seite per Drag & Drop, Doppelkklick oder über das Kontextmenü per rechter Maustaste hinzugefügt werden. Beim Klicken auf eine Ressource im verwendbare-ressourcen-bereich erscheint. und Sie können die Ressourcen als Lese- bzw. veränderbare Ressource setzen oder löschen. bzw. Standardmäßig werden die Elemente beim Hinzufügen als veränderbare Ressourcen eingestellt. Werden aber Domänen- Unterelemente (z.b. eine OU oder eine Gruppe) hinzugefügt, dann wird die Domäne zur Lese- Ressource geändert und das untergeordnete Element zur veränderbaren-ressource. Sie können den Ressourcentyp nachträglich manuell umsetzen. Für Dateneigentümer der verwendbaren Ressourcen gilt dann: Neue Gruppen und Benutzer können innerhalb veränderbarer OUs erzeugt werden. Innerhalb veränderbarer Gruppen darf er Änderungen vornehmen und veränderbare Mitglieder hinzufügen oder entfernen. Bei veränderbaren Objekten können Attributinhalte verändert werden. Veränderbare Benutzer können deaktiviert und gelöscht bzw. wieder hergestellt werden. Von veränderbaren Benutzern kann das Passwort zurückgesetzt werden. Für veränderbare Gruppen und Benutzer können Berechtigungen auf den zugewiesenen veränderbaren Fileserver-Ressourcen geändert, hinzugefügt oder entfernt werden. Aufgrund des übergeordneten OU Kriteriums müssen neue/gelöschte Mitglieder in der Konfiguration nicht nachträglich einfügt/entfernt werden (um die DO Konfiguration auf dem jeweils aktuellsten Stand zu halten), da die Abfragen der OU- Zugehörigkeit immer erst zum Überprüfungszeitpunkt (z.b. AD Change) stattfinden. 6.4 Einstellungen Ändern von Gruppenmitgliedschaften für Dateneigentümer Im Ändern-von-Gruppenmitgliedschaften-Bereich können Sie festlegen, wie Sie mit Gruppenmitgliedschaften umgehen wollen, die nicht explizit im eigenen Dateneigentümer-verwendbare-Ressourcen-Bereich enthalten sind. Die Standardwerte sind dabei entfernen von Gruppenmitgliedern bzw. nicht hinzufügen von Gruppenmitgliedern. Diese Einstellungen wirken sich nur auf das Ändern von Gruppenmitgliedschaften aus. Das Ändern von Berechtigungen auf den Verzeichnissen wird wie bisher über Fileserver-Ressourcen-Einträge festgelegt. Wenn Sie ein Verzeichnis als veränderbare Ressource eintragen, dann können Sie darauf Änderungen vornehmen. Diese Änderungen an Verzeichnisrechten sind dann nur mit ihren eingetragenen veränderbaren-domänenobjekten (Benutzer und Gruppen) möglich.

93 93 7 SERVER Die Bereiche in der Serveransicht finden Sie in folgenden Kapiteln beschrieben: Autorisierung (Kap. 7.1) Kommentare (Kap. 7.2) (Kap. 7.3) Server Schwellwerte (Kap. 7.5) Report (Kap. 7.6) Server Ereignis Protokollierung (Kap. 7.7) Datenstand Speicherung (Kap. 7.4) 7.1 Autorisierung Im Autorisierung-Bereich können Sie einstellen ob alla Änderungen eines Dateneigentümers mit 8MAN durch einen 8MAN Administrator autorisiert werden müssen.

94 Kommentare Im Kommentare-Bereich können Sie die Anzahl der Tage einstellen, für die Kommentarzettel an Accounts und Ressourcen angezeigt werden sollen Im -Bereich können das Senden von s für Fehler, Alarme, Änderungsbenachrichtigungen oder Reporteinstellungen aktivieren. 7.4 Datenstand Speicherung Im Datenstand-Speicherung-Bereich können Sie das Scan-Archiv aktivieren, um alte und bereits in der Datenbank gelöschte Datenstände zu laden. Desweiteren können Sie das automatische löschen alter Datenstände in der Datenbank aktivieren.

95 Server Schwellwerte Im Server-Schwellwerte-Bereich können Sie Einstellungen für die Überprüfung der Server Schwellwerte vornehmen (Überblick über die aktuellen Server Schwellwerte Kap ). 7.6 Report Im Report-Bereich können Sie verschiedene Einstellungen für Reports vornehmen, z.b. können Sie einstellen, das Gruppenmitglieder ab einer bestimmten Mitgliederzahl im Report nicht explizit aufgelistet werden sollen. Die Gruppe selbst wird im Report weiterhin angezeigt, jedoch nur mit dem Vermerk über die Anzahl der enthaltenen Mitglieder.

96 96 Dies gilt für alle Reports des 8MAN. Sinnvoll ist es, z.b: die Gruppe Domänenbenutzer in die Liste der Gruppen mit aufzunehmen. 7.7 Server Ereignis Protokollierung Im Server-Ereignis-Protokollierung-Bereich können Sie Einstellungen für die Server Ereignis Protokollierung vornehmen.

97 97 8 SERVER-STATUS 8.1 Lizenzinformationen Im Lizenzinformationen-Bereich können Sie durch Dateiauswahldialog: Lizenz laden eine Lizenz laden. Es erscheint folgender Gehen Sie zum Verzeichnis das die Lizenzdatei enthält. Standardmäßig speichert 8MAN die Lizenzdatei unter C:\ProgramData\protected-networks.com\8MAN\licenses. Wählen Sie die Lizensdatei aus und Öffnen.

98 98 Nun können Sie die Lizenzinformationen sehen: Zurück gelangen Sie wieder ins Mein 8MAN Dashboard. Nach dem erfolgreichen Laden einer Lizenz zeigt das Mein 8MAN Dashboard den Funktionsumfang der Lizenz an (Kap. 1.4). Für die Volllizenz sind je nach 8MAN Version verschiedene Konfigurationspunkte verfügbar. 8.2 Übersicht der angemeldeten Benutzer am 8MAN Server Im Server-Status-Bereich wird eine Liste aller angemeldeten Benutzer an das 8MAN System angezeigt. Es wird zwischen 8MAN, 8MAN Konfiguration und 8MAN Reports unterschieden.

99 99 9 8MAN STARTEN 8MAN kann nun gestartet werden.. Ändern Sie den Port nur, wenn das gemeinsam mit dem Support von protected-networks.com in der Konfigurationsdatei geändert wurde. Fertig Viel Spaß mit 8MAN! Für Fragen erreichen Sie unseren Support unter +49(30) MAN benutzt die WPF Toolkit Bibliothek v , Microsoft Corporation 2010