Ermitteln der effektiven Berechtigungen

Für die IT Sicherheit können verschiedene Berichte über den Aktionsbereich erstellt werden. In einem Bericht werden die effektiven Berechtigungen für den ausgewählten Benutzer auf ein oder mehrere Verzeichnisse ausgegeben. Im zweiten Bericht werden alle Benutzer, die auf ein bestimmtes Verzeichnis eine Berechtigung haben, ausgegeben. Und der dritte Bericht Aktuelle Ansicht enthält die Berechtigungen, die aktuell im Reiter IT Sicherheit ausgegeben werden.

Für Exchange kann ein Bericht erstellt werden, in dem die Berechtigungen der ausgewählten Benutzer und Gruppen auf die Postfächer, Postfachordner und öffentlichen Ordner aufgelistet werden. Im Exchange-Bericht Übersicht werden alle Benutzer aufgelistet, die eine Berechtigung auf die Postfächer, Postfachordner und öffentlichen Ordner haben.

Durch Klick auf die Schaltflächen Prinzipalbericht, Verzeichnisbericht und Übersichtsbericht wird der Assistent zur Erstellung der Berichte geöffnet.

Um die Prinzipalberichte zu erstellen, müssen Benutzer und Gruppen in der Benutzerauswahl gewählt werden, bevor der Assistent geöffnet wird.

Als Startpunkt wird der markierte Knoten verwendet.

Ebenen

Die Einträge des Dateisystems, des SharePoints und der Exchange-Server werden in einer hierarchischen Baumstruktur aufgebaut. Durch das Feld Ebenen kann bestimmt werden, wie viele untergeordnete Ebenen im Bericht ausgegeben werden sollen. Wenn alle Ebenen ausgegeben werden sollen, muss das Kontrollkästchen Alle Ebenen anzeigen aktiviert werden.

Einstellungen

Durch Aktivieren des Kontrollkästchens Nur Veränderungen anzeigen werden nur die Einträge angezeigt, bei denen sich die effektiven Berechtigungen der ausgewählten Benutzer oder Gruppen geändert hat. Wenn dieses Kontrollkästchen nicht aktiviert ist, werden alle Verzeichnisse, SharePoint-Einträge, Exchange-Postfächer etc. und die Berechtigungen der Benutzer und Gruppen auf diese Einträge ausgegeben.

Bei der Berechnung der effektiven Berechtigungen werden die Freigabe und die NTFS Berechtigungen herangezogen und die Vererbung der Berechtigungen berücksichtigt. Durch das Aktivieren des Kontrollkästchens Freigabe Berechtigungen ignorieren werden nur die NTFS Berechtigungen analysiert.

Für Verzeichnisberichte können noch weitere Einstellungen getroffen werden. Durch das Kontrollkästchen inkl. Standardgruppen (z.B. Jeder) werden auch die Benutzer der Standardgruppen ausgegeben. Da die Domänen Administratoren in den meisten Fällen Vollzugriff auf alle Verzeichnisse haben, können diese durch die Aktivierung der Option Domänen Administratoren ausschließen aus den Berichten ausgenommen werden. Wenn das Kontrollkästchen Nur Gruppen anzeigen aktiviert wurde, werden nur die Berechtigungen für die Gruppen und nicht für die einzelnen Benutzer ausgegeben.

Durch das Kontrollkästchen Ersteller-Besitzer Berechtigungen berücksichtigen kann festgelegt werden, ob Benutzer, die aufgrund der Creator Owner/Ersteller Besitzer Gruppe Berechtigungen auf den Ordner erhalten haben, im Bericht berücksichtigt werden sollen.

Wenn das Kontrollkästchen Nur aktive Benutzer anzeigen aktiviert wurde, werden nur aktive Benutzer im Bericht angezeigt. Wenn deaktivierte Benutzer eine Berechtigung auf ein Verzeichnis haben, werden diese trotzdem im Bericht nicht aufgelistet.

Ansichtsoptionen

Der Bericht besteht im Normalfall aus drei Blöcken von Berechtigungen (Effektiv, Freigabe und NTFS), die über die jeweiligen Optionen ein- bzw. ausgeblendet werden können.

Wenn das Kontrollkästchen Spezielle Berechtigungen aktiviert wurde, werden die Speziellen Berechtigungen im Bericht ausgegeben. Standardmäßig werden die Basis Berechtigungen angezeigt.

Sonstiges

Für die Benutzer und Verzeichnis bzw. Übersicht Berichte gibt es verschiedene Ausgabeformate.

  • Horizontale Darstellung:
    Bei der horizontalen Darstellung werden die Verzeichnisse, Benutzer/Gruppen und Berechtigungen untereinander aufgelistet.

  • Vertikale Darstellung:
    Bei der vertikalen Darstellung werden die Verzeichnisse, die Benutzer/Gruppen und die jeweiligen Berechtigungen matrixförmig angezeigt.

  • Excel Ausgabe oder CSV Ausgabe:
    Wird beim Assistenten Excel Ausgabe oder CSV Ausgabe als Ausgabeformat gewählt, werden die Daten direkt in eine Excel bzw. CSV Datei exportiert. Die Datei wird im Dokumentationspfad unterhalb der jeweiligen Domäne gespeichert.
    (\Dokumentationspfad\Firma\Domäne\Bezeichnung des Startpunkts\Reports\PermissionsDirectory) oder
    (\Dokumentationspfad\Firma\Domäne\Bezeichnung des Startpunkts\Reports\EffectivePermission)

Im Bericht wird standardmäßig der Netbios Name der Benutzer und Gruppen angezeigt. Im Kombinationsfeld AD Benutzer als kann definiert werden, ob der Anzeigename, der Netbios Name, der Name oder der Benutzer Prinzipal Name im Bericht verwendet wird.

Über AD Eigenschaften hinzufügen können AD Eigenschaften gewählt werden, die anschließend bei den Benutzern und Gruppen im Bericht angezeigt werden.

Benutzer/Gruppen Filter

Über den Benutzer/Gruppen Filter können Benutzer bzw. Gruppen aus dem Verzeichnisbericht ausgeschlossen werden. Dies kann hilfreich sein, um beispielsweise Benutzer und Gruppen, die nicht von Interesse sind oder die auf alle Verzeichnisse Zugriff haben, nicht in den Berichten auszugeben. Im Kombinationsfeld Liste können zusammengestellte Listen von Benutzern und Gruppen hinzugefügt werden. Diese werden im Dialog Benutzer/Gruppen Filter zusammengestellt. Durch Klick auf Hinzufügen werden die Benutzer und Gruppen der ausgewählten Liste hinzugefügt. Über das Textfeld Suche können Benutzer und Gruppen einzeln hinzugefügt werden. Sobald der erste Buchstabe eingegeben wird, werden die passenden Einträge vorgeschlagen.

Benutzer und Gruppen können mit Klick auf die Schaltfläche Hinzufügen eingefügt werden. Durch Klick auf die Schaltfläche Docusnap-Pfad-oeffnen wird die erweiterte Suche geöffnet. Die Auswahl der Benutzer und Gruppen in der erweiterten Suche funktioniert in gleicher Weise wie beim Hinzufügen der Benutzer für die Berechnung der effektiven Berechtigungen. Durch Klick auf die Schaltfläche Entfernen wird der gerade markierte Eintrag wieder gelöscht.

Wenn ein Benutzer zum Filter hinzugefügt wird, dann wird dieser Benutzer im Verzeichnisbericht nicht angezeigt.

Beim Hinzufügen einer Gruppe unterscheidet sich die Anwendung des Filters je nachdem, ob die Option Rekursiv auflösen aktiviert ist oder nicht.

  • Rekursiv auflösen deaktiviert: Durch das Hinzufügen einer Gruppe zum Filter, ohne die Option Rekursiv auflösen zu aktivieren, ist lediglich diese spezifische Gruppe im Filter enthalten. Wird der Filter für den Verzeichnisbericht angewendet, so werden die Gruppe selbst und alle Benutzer oder Untergruppen, die ihre Berechtigungen ausschließlich durch die Zugehörigkeit zu dieser Gruppe erhalten, nicht gelistet.

  • Rekursiv auflösen aktiviert: Sobald die Option Rekursiv auflösen für eine Gruppe aktiviert wird, schließt der Filter nicht nur die ausgewählte Gruppe ein, sondern auch alle direkten Benutzer, Untergruppen und deren Benutzer. Wird dieser Filter anschließend für den Verzeichnisbericht verwendet, werden diese Benutzer und Gruppen im Verzeichnisbericht ausgeblendet, unabhängig davon, ob sie eventuell auch direkt Berechtigungen haben oder über andere Gruppen Berechtigungen geerbt haben.

Docusnap Berechtigungsanalyse Berechtigungen Berichte Assistent

Die Berichte können nach der Erstellung in verschiedene Dateiformate exportiert werden. Durch Klick auf die Schaltfläche Docusnap-Exportieren-Icon kann das gewünschte Format gewählt werden. Durch Klick auf das gewünschte Format öffnet sich ein Dialog, in dem die Seiten, die exportiert werden sollen, ausgewählt werden. Um weitere Einstellungen spezifisch für das Format festzulegen, müssen die Einstellungen mit Klick auf das Plus geöffnet werden. Wenn die Datei nach dem Speichern automatisch geöffnet werden soll, muss das Kontrollkästchen Nach dem Export öffnen aktiviert werden.

Planen

Docusnap bietet auch die Möglichkeit die Erstellung des Berichts zu planen und diese zu einem späteren Zeitpunkt über den Docusnap Server auszuführen.

Durch Klick auf die Schaltfläche Planen wird der nächste Schritt geöffnet. Sollte der Bericht nicht im vordefinierten Verzeichnis (Dokumentationspfad) exportiert werden, kann ein alternativer Ablageort verwendet werden. Standardmäßig wird der Dokumentationspfad, der im Docusnap-Server definiert wurde, verwendet. Wenn ein alternativer Dokumentationspfad angegeben wird, wird dieser Pfad verwendet. Außerdem kann gewählt werden in welcher Sprache der Bericht erstellt werden soll.

Docusnap Berechtigungsanalyse Berechtigungen Berichte Assistent Planen

Im nächsten Schritt wird ausgewählt, in welche Formate der Bericht exportiert werden soll. Zur Verfügung stehen die Formate docx, xlsx, html, odt und pdf.

Außerdem wird festgelegt, ob ein Deckblatt sowie eine Kopf- und eine Fußzeile ausgegeben werden sollen. Wenn keine Änderungen vorgenommen werden, werden die Einstellungen aus dem Layout (CI) Dialog verwendet.

Wenn die E-Mail-Verteilung aktiviert wurde, werden die Berichte nach der Erstellung an die angegeben E-Mail-Adresse versendet. Die Berichte werden, auch wenn die E-Mail-Verteilung aktiviert wurde, im Dokumentationspfad gespeichert.

Docusnap Berechtigungsanalyse Berichte Assistent Planen Bericht

Im letzten Schritt wird die Zeitplanung geöffnet. Durch die Zeitplanung kann festgelegt werden, zu welchem Zeitpunkt der Bericht erstellt wird. Durch Klick auf die Schaltfläche Fertigstellen wird die Berichtserstellung gespeichert.

Docusnap Berechtigungsanalyse Zeitplanung

Berichtsjobs

Für die Erstellung der NTFS-Verzeichnisberichte besteht die Möglichkeit, den Verzeichnisbericht für mehrere Freigaben sowie DFS-Ordnerziele gleichzeitig zu planen und an eine definierte E-Mail-Adresse zu versenden. Für die Planung der Verzeichnisberichten ist die Bereitstellung einer CSV-Datei notwendig, welche die gewünschten Freigaben und DFS-Ordnerziele auflistet. Durch Klick auf die Schaltfläche Berichtsjobs (csv) wird der Assistent geöffnet. Im ersten Schritt wird die Firma ausgewählt, in der sich die Freigaben bzw. DFS-Ordnerziele befinden. Außerdem kann ein alternativer Dokumentationspfad und die Sprache ausgewählt werden.

Docusnap Berechtigungsanalyse Berichtsjobs Firma

Im nächsten Schritt wird die CSV-Datei importiert. In der CSV Datei müssen die Werte für *Domäne, Host, Freigabe\Pfad und E-Mail in genau dieser Reihenfolge durch “;” getrennt aufgelistet werden. Wenn der Verzeichnisbericht für Ordnerziele in einer DFS Struktur geplant werden soll, muss zusätzlich hinter dem Host noch (DFS) geschrieben werden, damit das jeweiligen Ordnerziel gefunden werden kann.

CSV Beispiel für NTFS:

docusnapsports.com;DOSPBK01;B$;Docusnap@docusnap.com
docusnapsports.com;DOSPBK01;C$;Docusnap@docusnap.com
docusnapsports.com;DOSPDB01;C$;Docusnap@docusnap.com
docusnapsports.com;DOSPFS01;D$\Shares\Departments\Accounting;Docusnap@docusnap.com

CSV Beispiel für DFS:

docusnapsports.com;DOSPFS01(DFS);\\DOSPFS01.DOCUSNAPSPORTS.COM\DFS\Archive\2010;a.cole@docusnapsports.com
docusnapsports.com;DOSPFS01(DFS);\\DOCUSNAPSPORTS.COM\Public\Org;a.cole@docusnapsports.com

Für jeden Eintrag wird kontrolliert, ob die Freigabe oder das DFS-Ordnerziel für den angegebenen Host in der angegebenen Domäne inventarisiert wurde. Nur wenn für die angegebene Freigabe oder das DFS-Ordnerziel auch Verzeichnisse und Berechtigungen vorhanden sind, kann ein Verzeichnisbericht geplant werden. Der Bericht wird bei der Ausführung des Auftrags an die angegebene E-Mail-Adresse versandt. Wenn keine E-Mail-Adresse angegeben wird, wird der Bericht nur im angegebenen Dokumentationspfad gespeichert. Durch das Kontrollkästchen bei den Freigaben und DFS-Ordnerzielen kann gewählt werden, für welche Freigaben oder DFS-Ordnerziele ein Auftrag erstellt werden soll. Die CSV Datei kann mit Excel oder einem Texteditor erstellt und bearbeitet werden.

Docusnap Berechtigungsanalyse CSV Import

Durch Klick auf die Schaltfläche Weiter wird zum Schritt Verzeichnis Berechtigungen gewechselt. In diesem Schritt werden die Optionen für die Erstellung des Berichts ausgewählt, die in diesem Kapitel bereits beschrieben wurden. Nachdem im Schritt Bericht das Format des Berichts und ein Betreff für die E-Mail definiert wurde, kann im Schritt Zeitplanung definiert werden, wann die Aufträge ausgeführt werden sollen. Durch Klick auf die Schaltfläche Fertigstellen wird für jede ausgewählte Freigabe bzw. DFS-Ordnerziel ein eigener Auftrag angelegt, der zum gewählten Zeitpunkt ausgeführt wird.