info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
aikux.com GmbH |

ACL-Cleaner

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Verwaiste und tote SIDs entfernen - ACL-Cleaner


Bei aikux.com, Spezialdienstleister in Sachen Fileservermigration und Rechtemanagement, wurde man bei zahlreichen Projekten auf ein besonderes Problem aufmerksam: Viele Firmen und Organisationen haben gewachsene Fileserverstrukturen. Im Laufe der Jahre...

Berlin, 02.04.2012 - Bei aikux.com, Spezialdienstleister in Sachen Fileservermigration und Rechtemanagement, wurde man bei zahlreichen Projekten auf ein besonderes Problem aufmerksam: Viele Firmen und Organisationen haben gewachsene Fileserverstrukturen. Im Laufe der Jahre wurden immer wieder Berechtigungen gesetzt, mitunter auch falsch, so dass es nach dem Löschen der Accounts oder von Gruppen aus dem Active Directory, ohne vorheriges Löschen der Einträge in der Access Control List (ACL), zu verwaisten SID-Einträgen in der ACE des Fileservers kommt.

Was erst einmal wie ein Schönheitsfehler klingt, kann sich aber u.U. zu einem durchaus heiklen Problem auswachsen, das nicht nur Auditoren interessiert. Wie damit umgehen? Ein manuelles Entfernen der verwaisten Einträge mag für 20 Verzeichnisse noch funktionieren - alles, was darüber liegt, wird dann aber sehr aufwendig und damit fast unmöglich. aikux.com entschloss sich deshalb, ein praxistaugliches Werkzeug für seine Kunden zu entwickeln, das ihnen das Problem einfach und mit geringstem Aufwand vom Halse schafft: den ACL-Cleaner.

Wie entstehen verwaiste/tote SIDs?

Für die Steuerung der Zugriffsberechtigungen auf Fileserverressourcen empfiehlt sich die Nutzung von Domänen-Gruppen und Domänen-Accounts. Diese kann man direkt in die ACL der Verzeichnisse des Fileservers eintragen. So ein Domänen-Account oder eine Domänen-Gruppe besteht aus einer eineindeutigen Security-ID. Da diese SID für uns Menschen allerdings schlecht zu verwalten ist, gibt man dem Account auch noch einen Namen. Windows arbeitet intern mit der SID - wir arbeiten mit dem Namen. Wenn man jetzt einem User oder einer Gruppe eine Berechtigung zuweisen möchte, dann suchen wir uns den entsprechenden Account aus und weisen diesem auf dem Fileserver die Berechtigungen zu. Im System passiert jetzt noch etwas anderes: Auf Systemebene wird in der ACL nicht der Name vermerkt sondern die SID.

Wenn nun ein Account aus dem AD gelöscht wird, ohne dass vorher der Eintrag aus der ACL entfernt wurde, kann diese SID bei der nächsten Betrachtung der Sicherheitseinstellungen nicht mehr aufgelöst werden. Es steht kein Objekt im AD mit ihr in Referenz. Also kann und sollte dieser Eintrag auch entfernt werden.

Warum sollten verwaiste SIDs entfernt werden?

Ganz einfach: Einerseits vermeidet man Performanzverluste, eine bösartige Manipulation der SID-History mit der Möglichkeit zur unkontrollierten Rechtevererbung kann ausgeschlossen werden und last but not least freut es den Auditor, wenn auch dort Ordnung herrscht.

Verwaiste/tote SIDs müssen entfernt werden! - Nur wie?

Nun kann es sein, dass verwaiste/tote SIDs in hunderten von ACLs zu finden sind. Das macht ein manuelles Entfernen fast unmöglich. Für alle Unternehmen, die das Werkzeug für das Rechtemanagement 8MAN im Einsatz haben, ist das kein Problem, da 8MAN eine Funktion besitzt, die alle ACLs sichtbar macht, in denen sich verwaiste/tote SIDs befinden. Diese können in einem CSV-Report aus 8MAN exportiert werden. Dann schlägt die Stunde für den ACL-Cleaner von aikux.com: Er ist in der Lage, die identifizierten ACLs zu bereinigen. Dazu wird der Export an den ACL-Cleaner übergeben, der nun der Reihe nach alle ACLs bereinigt. Nach dem nächsten Scan von 8MAN sind dann im Report für verwaiste/tote SIDs keine Einträge mehr zu finden. Der ACL-Cleaner von aikux.com kann viele Stunden Arbeit und auch ein aufwendiges Scripting ersparen bzw. macht die Lösung des Problems erst möglich.

Der ACL-Cleaner ist zurzeit nur für den gemeinsamen Einsatz mit dem Werkzeug zum Rechtemanagement 8MAN gedacht, ein in Kürze erscheinendes Folgerelease wird unabhängig von 8MAN arbeiten und allen Interessenten zur Verfügung stehen.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 534 Wörter, 3812 Zeichen. Als Spam melden


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von aikux.com GmbH lesen:

aikux.com GmbH | 26.01.2017

Einladung zum Webinar am Mo, den 30.01.17: Mit DocAve Berechtigungsmanagement für SharePoint und Office365 einführen

Berlin, 26.01.2017 - Mit DocAve von AvePoint stellen wir Ihnen eine auf SharePoint und Office 365-Umgebungen spezialisierte Management-Lösung vor, die die tägliche Arbeit deutlich effektiver macht. Verwalten Sie nicht nur Berechtigungen, sondern ve...
aikux.com GmbH | 20.01.2017

Der aikux-Score bringt Ihnen Klarheit über Ihre Arbeitseffizienz und Datensicherheit in Ihrem Fileserversystem

Berlin, 20.01.2017 - Seit vielen Jahren führen wir Workshops durch, in denen wir beim Kunden die individuelle Berechtigungslage auf dem Filesystem analysieren.Unabhängig von Größe und Branche finden wir dabei zu Beginn meist Berechtigungs-Situati...
aikux.com GmbH | 12.01.2017

tenfold im Vergleich zu 8MAN - Das aikux-Webinar am Montag, den 16.01.2017 um 14:30 Uhr zeigt die verschiedenen Philosophien der beiden Lösungen

Berlin, 12.01.2017 - tenfold bietet Ihnen mit einer konsequent systemoffenen und workflow-orientierten Ausrichtung eine durchgängige Berechtigungsmanagement-Lösung inklusive eines User Life Cycle Managements.Verglichen damit ist 8MAN nur als Ergän...