Show/Hide Toolbars

Navigation: IT Sicherheit > Analyse

Ermitteln der effektiven Berechtigungen

Scroll Zurück Hoch Weiter Mehr

Für die IT Sicherheit können verschiedene Berichte über den Aktionsbereich erstellt werden. In einem Bericht werden die effektiven Berechtigungen für den ausgewählten Benutzer auf ein oder mehrere Verzeichnisse ausgegeben. Im zweiten Bericht werden alle Benutzer, die auf ein bestimmtes Verzeichnis eine Berechtigung haben, ausgegeben. Und der dritte Bericht Aktuelle Ansicht enthält die Berechtigungen, die aktuell im Reiter IT Sicherheit ausgegeben werden.

Für Exchange kann ein Bericht erstellt werden, in dem die Berechtigung der ausgewählten Benutzer und Gruppen auf die Postfächer, Postfachordner und öffentlichen Ordner aufgelistet werden. Im Exchange-Bericht Übersicht werden alle Benutzer aufgelistet, die eine Berechtigung auf die Postfächer, Postfachordner und öffentlichen Ordner haben.

Durch Klick auf die Schaltflächen Prinzipalbericht, Verzeichnisbericht und Übersichtsbericht wird der Assistent zur Erstellung der Berichte geöffnet.

Um die Prinzipalberichte zu erstellen müssen Benutzer und Gruppen in der Benutzerauswahl gewählt werden, bevor der Assistent geöffnet wird.

Als Startpunkt wird der markierte Knoten verwendet.

Ebenen

Die Einträge des Dateisystems, des SharePoints und der Exchange-Server werden in einer hierarchischen Baumstruktur aufgebaut. Durch das Feld Ebenen kann bestimmt werden, wie viele untergeordnete Ebenen im Bericht ausgegeben werden sollen. Wenn alle Ebenen ausgegeben werden sollen, muss das Kontrollkästchen Alle Ebenen anzeigen aktiviert werden.

Einstellungen

Durch Aktivieren des Kontrollkästchens Nur Veränderungen anzeigen werden nur die Einträge angezeigt, bei denen sich die effektiven Berechtigungen der ausgewählten Benutzer oder Gruppen geändert hat. Wenn dieses Kontrollkästchen nicht aktiviert ist, werden alle Verzeichnisse, SharePoint-Einträge, Exchange-Postfächer etc. und die Berechtigungen der Benutzer und Gruppen auf diese Einträge ausgegeben.

Bei der Berechnung der effektiven Berechtigungen werden die Freigabe und die NTFS Berechtigungen herangezogen und die Vererbung der Berechtigungen berücksichtigt. Durch das Aktivieren des Kontrollkästchens Freigabe Berechtigungen ignorieren werden nur die NTFS Berechtigungen analysiert.

Docusnap-Konvention-Tipp

Die Aktivierung der Option Nur Veränderungen anzeigen kann die Ausgabemenge an Seiten erheblich reduzieren und trägt damit auch zur Lesbarkeit des Berichtes bei.

Für Verzeichnisberichte können noch weiter Einstellungen getroffen werden. Durch das Kontrollkästchen inkl. Standardgruppen (z.B. Jeder) werden auch die Benutzer der Standardgruppen ausgegeben. Da die Domänen Administratoren in den meisten Fällen Vollzugriff auf alle Verzeichnisse haben, können diese durch die Aktivierung der Option Domänen Administratoren ausschließen aus den Berichten ausgenommen werden. Wenn das Kontrollkästchen Nur Gruppen anzeigen aktiviert wurde, werden nur die Berechtigungen für die Gruppen und nicht für die einzelnen Benutzer ausgegeben.

Durch das Kontrollkästchen Ersteller-Besitzer Berechtigungen berücksichtigen kann festgelegt werden, ob Benutzer, die aufgrund der Creator Owner/Ersteller Besitzer Gruppe Berechtigungen auf den Ordner erhalten haben, im Bericht berücksichtigt werden sollen.

Wenn das Kontrollkästchen Nur aktive Benutzer anzeigen aktiviert wurde, werden nur aktive Benutzer im Bericht angezeigt. Wenn deaktivierte Benutzer eine Berechtigung auf ein Verzeichnis haben, werden diese trotzdem im Bericht nicht aufgelistet.

Ansichtsoptionen

Der Bericht besteht im Normalfall aus drei Blöcken von Berechtigungen (Effektiv, Freigabe und NTFS), die über die jeweiligen Optionen ein- bzw. ausgeblendet werden können.

Wenn das Kontrollkästchen Spezielle Berechtigungen aktiviert wurde, werden die Speziellen Berechtigungen im Bericht ausgegeben. Standardmäßig werden die Basis Berechtigungen angezeigt.

Sonstiges

Für die Benutzer und Verzeichnis bzw. Übersicht Berichte gibt es verschiedene Ausgabeformate.

  • Horizontale Darstellung:
    Bei der horizontalen Darstellung werden die Verzeichnisse, Benutzer/Gruppen und Berechtigungen untereinander aufgelistet.
  • Vertikale Darstellung:
    Bei der vertikalen Darstellung werden die Verzeichnisse, die Benutzer/Gruppen und die jeweiligen Berechtigungen matrixförmig angezeigt.
  • Excel Ausgabe oder CSV Ausgabe:
    Wird beim Assistenten Excel Ausgabe oder CSV Ausgabe als Ausgabeformat gewählt, werden die Daten direkt in eine Excel bzw. CSV Datei exportiert. Die Datei wird im Dokumentationspfad unterhalb der jeweiligen Domäne gespeichert.
    (\Dokumentationspfad\Firma\Domäne\Bezeichnung des Startpunkts\Reports\PermissionsDirectory) oder
    (\Dokumentationspfad\Firma\Domäne\Bezeichnung des Startpunkts\Reports\EffectivePermission)

Im Bericht wird standardmäßig der Netbios Name der Benutzer und Gruppen angezeigt. Im Kombinationsfeld AD Benutzer als kann definiert werden, ob der Anzeigename, der Netbios Name, der Name oder der Benutzer Prinzipal Name im Bericht verwendet wird.

Über AD Eigenschaften hinzufügen können AD Eigenschaften gewählt werden, die anschließend bei den Benutzern und Gruppen im Bericht angezeigt werden.

Benutzer/Gruppen Filter

Über den Benutzer/Gruppen Filter können Benutzer bzw. Gruppen aus dem Verzeichnisbericht ausgeschlossen werden. Dies kann hilfreich sein, um beispielsweise Benutzer und Gruppen, die nicht von Interesse sind oder die auf alle Verzeichnisse Zugriff haben, nicht in den Berichten auszugeben. Im Kombinationsfeld Liste können zusammengestellte Listen von Benutzern und Gruppen hinzugefügt werden. Diese werden im Dialog Benutzer/Gruppen Filter zusammengestellt. Durch Klick auf Hinzufügen werden die Benutzer und Gruppen der ausgewählten Liste hinzugefügt. Über das Textfeld Suche können Benutzer und Gruppen einzeln hinzugefügt werden. Sobald der erste Buchstabe eingegeben wird, werden die passenden Einträge vorgeschlagen. Benutzer und Gruppen können mit Klick auf die Schaltfläche Hinzufügen eingefügt werden. Durch Klick auf die Schaltfläche Docusnap-Pfad-oeffnen wird die erweiterte Suche geöffnet. Die Auswahl der Benutzer und Gruppen in der erweiterten Suche funktioniert in gleicher Weise wie beim Hinzufügen der Benutzer für die Berechnung der effektiven Berechtigungen. Wenn Gruppen hinzugefügt werden, kann über das Kontrollkästchen Rekursiv auflösen gewählt werden, ob nur direkten Benutzer dieser Gruppe nicht berücksichtigt werden sollen oder auch die Benutzer der untergeordneten Gruppen nicht in den Berichten aufgelistet werde sollen. Durch Klick auf die Schaltfläche Entfernen wird der gerade markierte Eintrag wieder gelöscht.

Docusnap-Berechtigungsanalyse-Berechtigungen-Berichte-Assistent

Der Bericht können nach der Erstellung in verschiedene Dateiformate exportiert werden. Durch Klick auf die Schaltfläche Docusnap-Exportieren-Icon kann das gewünschte Format gewählt werden. Durch Klick auf das gewünschte Format öffnet sich ein Dialog, in dem die Seiten, die exportiert werden sollen, ausgewählt werden. Um weitere Einstellungen spezifisch für das Format festzulegen, müssen die Einstellungen mit Klick auf das Plus geöffnet werden. Wenn die Datei nach dem Speichern automatisch geöffnet werden soll, muss das Kontrollkästchen Nach dem Export öffnen aktiviert werden.

Planen

Docusnap bietet auch die Möglichkeit die Erstellung des Berichts zu planen und diese zu einem späteren Zeitpunkt über den Docusnap Server auszuführen.

Durch Klick auf die Schaltfläche Planen wird der nächste Schritt geöffnet. Sollte der Bericht nicht im vordefinierten Verzeichnis (Dokumentationspfad) exportiert werden, kann ein alternativer Ablageort verwendet werden. Standardmäßig wird der Dokumentationspfad, der im Docusnap-Server definiert wurde, verwendet. Wenn ein alternativer Dokumentationspfad angegeben wird, wird dieser Pfad verwendet. Außerdem kann gewählt werden in welcher Sprache der Bericht erstellt werden soll.

Docusnap-Berechtigungsanalyse-Berechtigungen-Berichte-Assistent-Planen

Im nächsten Schritt wird ausgewählt, in welche Formate der Bericht exportiert werden soll. Zur Verfügung stehen die Formate docx, xlsx, html, odt und pdf.

Außerdem wird festgelegt, ob ein Deckblatt sowie eine Kopf- und eine Fußzeile ausgegeben werden sollen. Wenn keine Änderungen vorgenommen werden, werden die Einstellungen aus dem Layout (CI) Dialog verwendet.

Wenn die E-Mail-Verteilung aktiviert wurde, werden die Berichte nach der Erstellung an die angegeben E-Mail-Adresse versendet. Die Berichte werden, auch wenn die E-Mail-Verteilung aktiviert wurde, im Dokumentationspfad gespeichert.

Docusnap-Berechtigungsanalyse-Berechtigungen-Berichte-Assistent-Planen-Bericht

Im letzten Schritt wird die Zeitplanung geöffnet. Durch die Zeitplanung kann festgelegt werden, zu welchem Zeitpunkt der Bericht erstellt wird. Durch Klick auf die Schaltfläche Fertigstellen wird die Berichtserstellung gespeichert.

Docusnap-Konvention-Warnung

Für eine funktionierende Zeitplanung muss der Docusnap-Serverdienst eingerichtet sein.

Docusnap-Berechtigungsanalyse-Berechtigungen-Berichte-Assistent-Planen-Zeiplanung

Berichtsjobs

Für die Erstellung der NTFS Verzeichnisberichte besteht zusätzlich noch die Möglichkeit, den Verzeichnisbericht für mehrere Freigaben gleichzeitig zu planen und an eine definierte E-Mail Adresse zu versenden. Dabei wird eine CSV-Datei importiert, in der die gewünschten Freigaben aufgelistet werden. Durch Klick auf die Schaltfläche Berichtsjobs (csv) wird der Assistent geöffnet. Im ersten Schritt wird die Firma ausgewählt, in der sich die Freigaben befinden. Außerdem kann ein alternativer Dokumentationspfad und die Sprache ausgewählt werden.

Docusnap-Berechtigungsanalyse-Berichtsjobs-Firma

Im nächsten Schritt wird die CSV-Datei importiert. In der CSV Datei müssen die Werte für Domäne, Host, Freigabe und E-Mail in genau dieser Reihenfolge durch ";" getrennt aufgelistet werden. Wenn sich die gewünschten Freigaben in einer DFS Struktur befinden, muss zusätzlich hinter dem Host noch (DFS) geschrieben werden, damit die jeweiligen Freigaben gefunden werden können.

Zum Beispiel:

docusnapsports.com;DOSPBK01;B$;Docusnap@docusnap.com

docusnapsports.com;DOSPBK01;C$;Docusnap@docusnap.com

docusnapsports.com;DOSPDB01;C$;Docusnap@docusnap.com

docusnapsports.com;DOCUSNAPSPORTS.COM(DFS);IT_Global;Docusnap@docusnap.com

docusnapsports.com;DOCUSNAPSPORTS.COM(DFS);Management_Global;Docusnap@docusnap.com

Für jeden Eintrag wird kontrolliert, ob die Freigabe für den angegebenen Host in der angegebenen Domäne inventarisiert wurde. Nur wenn für die angegeben Freigabe auch Verzeichnisse und Berechtigungen vorhanden sind, kann ein Verzeichnisbericht geplant werden. Der Bericht wird bei der Ausführung des Auftrags an die angegebene E-Mail Adresse versandt. Wenn keine E-Mail Adresse angegeben wird, wird der Bericht nur im angegebenen Dokumentationspfad gespeichert. Durch das Kontrollkästchen bei den Freigaben kann gewählt werden, für welche Freigaben ein Auftrag erstellt werden soll. Die CSV Datei kann mit Excel oder einem Texteditor erstellt und bearbeitet werden.

Docusnap-Berechtigungsanalyse-Berichtsjobs-csv-Import

Durch Klick auf die Schaltfläche Weiter wird zum Schritt Verzeichnis Berechtigungen gewechselt. In diesem Schritt werden die Optionen für die Erstellung des Berichts ausgewählt, die in diesem Kapitel bereits beschriebenen wurden. Nachdem im Schritt Bericht das Format des Berichts und ein Betreff für die E-Mail definiert wurde, kann im Schritt Zeitplanung definiert werden, wann die Aufträge ausgeführt werden sollen. Durch Klick auf die Schaltfläche Fertigstellen wird für jede ausgewählte Freigabe ein eigener Auftrag angelegt, der zum gewählten Zeitpunkt ausgeführt wird.