info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
aikux.com GmbH |

ACL-Cleaner

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Verwaiste und tote SIDs entfernen - ACL-Cleaner


Bei aikux.com, Spezialdienstleister in Sachen Fileservermigration und Rechtemanagement, wurde man bei zahlreichen Projekten auf ein besonderes Problem aufmerksam: Viele Firmen und Organisationen haben gewachsene Fileserverstrukturen. Im Laufe der Jahre...

Berlin, 02.04.2012 - Bei aikux.com, Spezialdienstleister in Sachen Fileservermigration und Rechtemanagement, wurde man bei zahlreichen Projekten auf ein besonderes Problem aufmerksam: Viele Firmen und Organisationen haben gewachsene Fileserverstrukturen. Im Laufe der Jahre wurden immer wieder Berechtigungen gesetzt, mitunter auch falsch, so dass es nach dem Löschen der Accounts oder von Gruppen aus dem Active Directory, ohne vorheriges Löschen der Einträge in der Access Control List (ACL), zu verwaisten SID-Einträgen in der ACE des Fileservers kommt.

Was erst einmal wie ein Schönheitsfehler klingt, kann sich aber u.U. zu einem durchaus heiklen Problem auswachsen, das nicht nur Auditoren interessiert. Wie damit umgehen? Ein manuelles Entfernen der verwaisten Einträge mag für 20 Verzeichnisse noch funktionieren - alles, was darüber liegt, wird dann aber sehr aufwendig und damit fast unmöglich. aikux.com entschloss sich deshalb, ein praxistaugliches Werkzeug für seine Kunden zu entwickeln, das ihnen das Problem einfach und mit geringstem Aufwand vom Halse schafft: den ACL-Cleaner.

Wie entstehen verwaiste/tote SIDs?

Für die Steuerung der Zugriffsberechtigungen auf Fileserverressourcen empfiehlt sich die Nutzung von Domänen-Gruppen und Domänen-Accounts. Diese kann man direkt in die ACL der Verzeichnisse des Fileservers eintragen. So ein Domänen-Account oder eine Domänen-Gruppe besteht aus einer eineindeutigen Security-ID. Da diese SID für uns Menschen allerdings schlecht zu verwalten ist, gibt man dem Account auch noch einen Namen. Windows arbeitet intern mit der SID - wir arbeiten mit dem Namen. Wenn man jetzt einem User oder einer Gruppe eine Berechtigung zuweisen möchte, dann suchen wir uns den entsprechenden Account aus und weisen diesem auf dem Fileserver die Berechtigungen zu. Im System passiert jetzt noch etwas anderes: Auf Systemebene wird in der ACL nicht der Name vermerkt sondern die SID.

Wenn nun ein Account aus dem AD gelöscht wird, ohne dass vorher der Eintrag aus der ACL entfernt wurde, kann diese SID bei der nächsten Betrachtung der Sicherheitseinstellungen nicht mehr aufgelöst werden. Es steht kein Objekt im AD mit ihr in Referenz. Also kann und sollte dieser Eintrag auch entfernt werden.

Warum sollten verwaiste SIDs entfernt werden?

Ganz einfach: Einerseits vermeidet man Performanzverluste, eine bösartige Manipulation der SID-History mit der Möglichkeit zur unkontrollierten Rechtevererbung kann ausgeschlossen werden und last but not least freut es den Auditor, wenn auch dort Ordnung herrscht.

Verwaiste/tote SIDs müssen entfernt werden! - Nur wie?

Nun kann es sein, dass verwaiste/tote SIDs in hunderten von ACLs zu finden sind. Das macht ein manuelles Entfernen fast unmöglich. Für alle Unternehmen, die das Werkzeug für das Rechtemanagement 8MAN im Einsatz haben, ist das kein Problem, da 8MAN eine Funktion besitzt, die alle ACLs sichtbar macht, in denen sich verwaiste/tote SIDs befinden. Diese können in einem CSV-Report aus 8MAN exportiert werden. Dann schlägt die Stunde für den ACL-Cleaner von aikux.com: Er ist in der Lage, die identifizierten ACLs zu bereinigen. Dazu wird der Export an den ACL-Cleaner übergeben, der nun der Reihe nach alle ACLs bereinigt. Nach dem nächsten Scan von 8MAN sind dann im Report für verwaiste/tote SIDs keine Einträge mehr zu finden. Der ACL-Cleaner von aikux.com kann viele Stunden Arbeit und auch ein aufwendiges Scripting ersparen bzw. macht die Lösung des Problems erst möglich.

Der ACL-Cleaner ist zurzeit nur für den gemeinsamen Einsatz mit dem Werkzeug zum Rechtemanagement 8MAN gedacht, ein in Kürze erscheinendes Folgerelease wird unabhängig von 8MAN arbeiten und allen Interessenten zur Verfügung stehen.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 534 Wörter, 3812 Zeichen. Als Spam melden


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von aikux.com GmbH lesen:

aikux.com GmbH | 08.12.2016

Mit Linkfixer gebrochene Links reparieren und Daten retten - Erleben Sie eine Live-Demo im Webinar

Berlin, 08.12.2016 - Untereinander verlinkte Dateien finden sich in jedem Unternehmen und auf allen Fileservern. Besonders häufig sind diese Verlinkungen in Office-Dateien wie Word oder Excel, aber auch bei PDFs, CAD-Dateien und in vielen anderen Fo...
aikux.com GmbH | 25.11.2016

Wissen Sie, warum bei Fileserver Migration und Merge die Beteiligung von Data Ownern und Fachabteilungen so wichtig ist?

Berlin, 25.11.2016 - Wer ein Migrationsprojekt durchführt, hat neben den technischen Details auch eine Vielzahl von organisatorischen Faktoren zu beachten.In vielen Unternehmen denkt man bei anstehenden Fileserver-Migrationen in erster Linie an den ...
aikux.com GmbH | 21.11.2016

Datenberge auf Unternehmens-Fileservern - jetzt Webinaraufzeichnung und Whitepaper zum Thema ansehen

Berlin, 21.11.2016 - Viele Mitarbeiter in deutschen Unternehmen speichern ständig und fleißig immer mehr Daten, um entweder individuellen Bedürfnissen oder unternehmensinternen bzw. rechtlichen Anforderungen zu entsprechen.Die damit verbundene „...