administratoren:windows_ad_rechte_fuer_ifw
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
administratoren:windows_ad_rechte_fuer_ifw [15.03.2018 12:21] – Externe Bearbeitung 127.0.0.1 | administratoren:windows_ad_rechte_fuer_ifw [23.10.2020 09:47] (aktuell) – gelöscht walter | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ===== Windows AD Rechte für IFW ===== | ||
- | Die Einschränkung der Rechte auf die IFW-Datenbank-Verzeichnisse dient auch dem Schutz vor Ransomware (Verschlüsselungsviren). Im Wesentlichen wird bei den Datenbankordnern das Auflisten des Inhalts verweigert.\\ | ||
- | |||
- | **Die folgenden Informationen sind nur für Systemadministratoren mit den entsprechenden Sachkenntnissen: | ||
- | |||
- | ===== Vorgehensweise ==== | ||
- | - auf Domänserver einloggen | ||
- | - Benutzer anlegen | ||
- | - Gruppen anlegen | ||
- | - Den Gruppen Rechte zuordnen | ||
- | - Testuser (ifwasp) der Gruppe IFW_LESEVERBOT zuordnen. umloggen, testen | ||
- | - IFW Zusammenfassungen / nach GUI verlegen (EXE-Version >=669?) | ||
- | - LDAP abfragen setzen | ||
- | - User den Gruppen zuordnen | ||
- | - Testen | ||
- | - scharf schalten | ||
- | - Prüfen | ||
- | |||
- | ==== auf Domänserver einloggen ==== | ||
- | Auf einem Domänenserver einloggen und Rechtekonfiguration über " | ||
- | |||
- | ==== Benutzer anlegen ==== | ||
- | Benutzer anlegen durch Kopieren von z.B. ifwasp oder einem anderen geeigenten User. Damit ist auch das Loginscript ausgefüllt. (Active Directory-Benutzer und -Computer| domainname| Benutzer) (Loginscript prüfen: Rechtsklick auf Benutzername, | ||
- | * User IfwAdministrator | ||
- | |||
- | ==== Gruppen anlegen ==== | ||
- | (Active Directory-Benutzer und -Computer| domainname| Gruppen| Rechtsklick| Neu| Gruppe).\\ | ||
- | Falls nicht schon vorhanden anlegen: | ||
- | * G_IFW_ADMIN, | ||
- | * G_IFW_LESEVERBOT, | ||
- | * G_IFW_USER | ||
- | |||
- | ==== den Gruppen Rechte zuordnen ==== | ||
- | Mit dem Windows-Explorer zu c:\ browsen. Zum Rechte einstellen Rechtsklick auf dem Verzeichnis| Eigenschaften| Sicherheit| Erweitert| Berechtigung ändern| Hinzufügen. | ||
- | |||
- | Folgende Tabelle abarbeiten: | ||
- | Änderungen an ifwroot und ifwablage laufen wegen der grossen Datenmenge lange. Daher auf ifwablage das Recht für ifw_user und ifw_leseverbot gemeinsam ändern lassen. Das eingangs nach unten vererbte Recht " | ||
- | |||
- | | ^G_IFW_ADMIN | ||
- | ^ ifwroot | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | |||
- | **Mandantenverzeichnisse: | ||
- | | ^G_IFW_ADMIN | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | ^ | ||
- | |||
- | **Zugriff bedeutet:** | ||
- | * " | ||
- | * Vollzugriff setzen | ||
- | * " | ||
- | * " | ||
- | * " | ||
- | **" | ||
- | * "nur dieser Ordner" | ||
- | **" | ||
- | * "nur dieser Ordner" | ||
- | |||
- | |||
- | <WRAP center round box 60% info> | ||
- | **Hinweis: | ||
- | ifwablage / IFWDocustore ist das Verzeichniss, | ||
- | </ | ||
- | ==== LDAP abfragen setzen ==== | ||
- | Auf einem Domänenserver einloggen und Rechtekonfiguration über " | ||
- | Rechtsklick auf " | ||
- | Name vergeben, z.B." | ||
- | Im Fließtextfeld die Abfrage eingeben. Folgende drei Abfragen einrichten: | ||
- | == Name: Mitglieder | ||
- | < | ||
- | (objectCategory=user)(memberOf=CN=G_IFW_USER, | ||
- | </ | ||
- | == Name: Gruppe G_IFW_USER ohne Gruppe G_IFW_LESEVERBOT == | ||
- | < | ||
- | (objectCategory=user)(!memberOf=CN=G_IFW_LESEVERBOT, | ||
- | </ | ||
- | == Name: Gruppe Administratoren und Gruppe G_IFW_LESEVERBOT == | ||
- | < | ||
- | (objectCategory=user)(memberOf=CN=Administratoren, | ||
- | </ | ||
- | |||
- | Immer mit < | ||
- | |||
- | ==== User den Gruppen zuordnen ==== | ||
- | Über " | ||
- | Folgende Zuordnungen sollten gelten:\\ | ||
- | ^User\Gruppe | ||
- | |alle ifw Benutzer| | ||
- | |IfwAdministrator | X | X | ||
- | |Ifwasp | ||
- | |||
- | ==== IFW Zusammenfassungen ==== | ||
- | * Die IFW Zusammenfassungen (Kunden / Artikel / Lieferanten) aus dem Basisdat entfernen. Sollte durch module\ifw_gui ersetzt werden. (-> Rücksprache IFW Admin). Voraussetzung ist eine IFW-Version >= V669 (05.01.15). | ||
- | ==== Testen ==== | ||
- | Der User ifwasp der Gruppe IFW_LESEVERBOT zuordnen wie oben beschrieben. User neu einloggen, anderfalls ziehen die geänderten Gruppenrechte nicht. Zugriffe prüfen. | ||
- | |||
- | ==== Scharf schalten: ==== | ||
- | * Alle Ifw User selektierten und dann der Gruppe | ||
- | * Alle User müssen neu einloggen erst dann wird die Gruppenzuordnung aktiv | ||
- | * Auf Verzeichnis ifwroot das Recht der Gruppe G_IFW_USER bearbeiten. **"nur dieser Ordner" | ||
- | |||
- | ==== Prüfen ==== | ||
- | * Stichprobe ob ein User in die geschlossenen Verzeichnise browsen kann. | ||
- | * IFW\Basisdat ist gesperrt | ||
- | * IFWDocustore ist gesperrt | ||
- | * alle anderen Verzeichnisse paralell zu IFW sind gesperrt | ||
- | * als IFWAdmin (IfwAdministrator) einloggen und Zugang zu den Verzeichnisen prüfen | ||
- | * ASP / BDE starten und Ausführungen prüfen | ||
- | * Exporte / Importe prüfen. | ||
- | * EDI | ||
- | * Telefon / datentk | ||
- | * Sepa Dateien | ||
- | * Adressexporte / Delisprint / GLS Gepard | ||
- | * Funktioniert die IFW Zusammenfassungen noch? | ||
- | * am nächsten Tag: ** Hat die Sicherung die IFW Datendateien gesichert? ** | ||
/data/kunden/wiki.ifw.de/htdocs/wiki/data/attic/administratoren/windows_ad_rechte_fuer_ifw.1521112902.txt.gz · Zuletzt geändert: 15.03.2018 12:21 von 127.0.0.1