Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- administratoren:windows_ad_rechte_fuer_ifw [15.03.2018 12:21] – Externe Bearbeitung 127.0.0.1
+++ administratoren:windows_ad_rechte_fuer_ifw [23.10.2020 09:47] (aktuell) – gelöscht walter
@@ Zeile 1: / Zeile 1: @@
-===== Windows AD Rechte für IFW =====
-Die Einschränkung der Rechte auf die IFW-Datenbank-Verzeichnisse dient auch dem Schutz vor Ransomware (Verschlüsselungsviren). Im Wesentlichen wird bei den Datenbankordnern das Auflisten des Inhalts verweigert.\\
-**Die folgenden Informationen sind nur für Systemadministratoren mit den entsprechenden Sachkenntnissen:**
-===== Vorgehensweise ====
-  - auf Domänserver einloggen
-  - Benutzer anlegen
-  - Gruppen anlegen
-  - Den Gruppen Rechte zuordnen
-  - Testuser (ifwasp) der Gruppe IFW_LESEVERBOT zuordnen. umloggen, testen
-  - IFW Zusammenfassungen / nach GUI verlegen (EXE-Version >=669?)
-  - LDAP abfragen setzen
-  - User den Gruppen zuordnen
-  - Testen
-  - scharf schalten
-  - Prüfen
-==== auf Domänserver einloggen ====
-Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten.
-==== Benutzer anlegen ====
-Benutzer anlegen durch Kopieren von z.B. ifwasp oder einem anderen geeigenten User. Damit ist auch das Loginscript ausgefüllt. (Active Directory-Benutzer und -Computer| domainname| Benutzer) (Loginscript prüfen: Rechtsklick auf Benutzername,| Eigenschaften| Profil). Anlegen:
-  * User IfwAdministrator
-==== Gruppen anlegen ====
-(Active Directory-Benutzer und -Computer| domainname| Gruppen| Rechtsklick| Neu| Gruppe).\\
-Falls nicht schon vorhanden anlegen:
-  * G_IFW_ADMIN,
-  * G_IFW_LESEVERBOT,
-  * G_IFW_USER
-==== den Gruppen Rechte zuordnen ====
-Mit dem Windows-Explorer zu c:\ browsen. Zum Rechte einstellen Rechtsklick auf dem Verzeichnis| Eigenschaften| Sicherheit| Erweitert| Berechtigung ändern| Hinzufügen.
-Folgende Tabelle abarbeiten:
-Änderungen an ifwroot und ifwablage laufen wegen der grossen Datenmenge lange. Daher auf ifwablage das Recht für ifw_user und ifw_leseverbot gemeinsam ändern lassen. Das eingangs nach unten vererbte Recht "Vollzugriff" von der Gruppe G_IFW_USER bleibt vorerst unangetastet. Das wird erst zum Schluss verändert.
-|                        ^G_IFW_ADMIN             ^G_IFW_USER            ^G_IFW_LESEVERBOT^
-^ ifwroot                | Vollzugriff          | ScanOrdner *       |                   |
-^   ifwablage / IFWDocustore) |                      | Zugriff            | ScanVerbot-Ordner |
-^   ifw                  |                      | Zugriff            |                   |
-^   ifw\archfibu         |                      |                    | ScanVerbot-Ordner |
-^   ifw\archiv           |                      |                    | ScanVerbot-Ordner |
-^   ifw\basisdat         |                      |                    | ScanVerbot-Ordner |
-^   ifw\chgdat           |                      |                    | ScanVerbot-Ordner |
-^   ifw\sysdat           |                      |                    | ScanVerbot-Ordner |
-**Mandantenverzeichnisse:**
-|                        ^G_IFW_ADMIN             ^G_IFW_USER            ^G_IFW_LESEVERBOT^
-^   ifw\archiv.???       |                      |                    | ScanVerbot-Ordner |
-^   ifw\basisdat.???     |                      |                    | ScanVerbot-Ordner |
-^   ifw\chgdat.???       |                      |                    | ScanVerbot-Ordner |
-^   ifw\sysdat.???       |                      |                    | ScanVerbot-Ordner |
-**Zugriff bedeutet:**
-  * "Diesen Ordner, Unterordner und Dateien"
-  * Vollzugriff setzen
-  * "Unterordner und Dateien löschen" entfernen.
-  * "Berechtigung ändern" entfernen.
-  * "Besitz übernehmen" entfernen.
-**"Scanverbot Ordner" bedeutet:**
-  * "nur dieser Ordner" **Verweigern** "Ordner Auflisten/Daten lesen"
-**"Scan-Ordner" bedeutet:**
-  * "nur dieser Ordner" **Zulassen** "Ordner Auflisten/Daten lesen".\\ (* Die Einstellung erfolgt zum Schluss durch Verändern des bisher bestehenden Rechtes auf ifwroot)
-<WRAP center round box 60% info>
-**Hinweis:**\\
-ifwablage / IFWDocustore ist das Verzeichniss, in dem das IFW angehängte Dateien speichert. Der Name des Verzeichnis ist in fakt.ini unter [Docustore] definiert. Es enthält i.d.R. ein oder mehrere Verzeichnisse die nach dem Alphabet benannt sind.
-</WRAP>
-==== LDAP abfragen setzen ====
-Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten.
-Rechtsklick auf "Gespeicherte Abfragen| Neu| Abfrage"
-Name vergeben, z.B."Mitglieder  Gruppe G_IFW_USER". Dann auf "Festlegen" klicken. Den Drop Down "Suchen:" auf Beutzerdefinierte Suche" setzen. dann Reiter "Erweitert" wählen.
-Im Fließtextfeld die Abfrage eingeben. Folgende drei Abfragen einrichten:
-== Name: Mitglieder  Gruppe G_IFW_USER ==
-<code>
-(objectCategory=user)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
-</code>
-== Name: Gruppe G_IFW_USER ohne Gruppe G_IFW_LESEVERBOT ==
-<code>
-(objectCategory=user)(!memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
-</code>
-== Name: Gruppe Administratoren und Gruppe G_IFW_LESEVERBOT ==
-<code>
-(objectCategory=user)(memberOf=CN=Administratoren,CN=Builtin,DC=DOMÄNENNAME,DC=LAN)(memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=LAN)
-</code>
-Immer mit <key>F5</key> aktualisieren. Nur anklicken refreshed die Anzeige der Abfragen nicht.
-==== User den Gruppen zuordnen ====
-Über "gespeicherte Abfragen" "Nicht Mitglied IFW_LESEVERBOT" ausführen. Einen oder mehrere User markieren.  Rechtsklick "Einer Gruppe hinzufügen ..." auswählen.
-Folgende Zuordnungen sollten gelten:\\
-^User\Gruppe     ^IFW_ADMIN^IFW_User^IFW_LESEVERBOT^
-|alle ifw Benutzer|         |    X   |       X      |
-|IfwAdministrator |    X    |    X   |              |
-|Ifwasp           |    X    |    X   |       X      |
-==== IFW Zusammenfassungen ====
-  * Die IFW Zusammenfassungen (Kunden / Artikel / Lieferanten) aus dem Basisdat entfernen. Sollte durch module\ifw_gui ersetzt werden. (-> Rücksprache IFW Admin). Voraussetzung ist eine IFW-Version >= V669 (05.01.15).
-==== Testen ====
-Der User ifwasp der Gruppe IFW_LESEVERBOT zuordnen wie oben beschrieben. User neu einloggen, anderfalls ziehen die geänderten Gruppenrechte nicht. Zugriffe prüfen.
-==== Scharf schalten: ====
-  * Alle Ifw User selektierten und dann der Gruppe  G_IFW_LESEVERBOT zuordnen.
-  * Alle User müssen neu einloggen erst dann wird die Gruppenzuordnung aktiv
-  * Auf Verzeichnis ifwroot das Recht der Gruppe G_IFW_USER bearbeiten. **"nur dieser Ordner"** einstellen, erst alle Rechte entfernen dann wieder zulassen: "Ordner Auflisten/Daten lesen". Damit wird das nach unten vererbte Recht "Vollzugriff" allen Usern entzogen (IFW, ifwablage, basisdat).
-==== Prüfen ====
-  * Stichprobe ob ein User in die geschlossenen Verzeichnise browsen kann.
-      * IFW\Basisdat ist gesperrt
-      * IFWDocustore ist gesperrt
-      * alle anderen Verzeichnisse paralell zu IFW sind gesperrt
-  * als IFWAdmin (IfwAdministrator) einloggen und Zugang zu den Verzeichnisen prüfen
-  * ASP / BDE starten und Ausführungen prüfen
-  * Exporte / Importe prüfen.
-    * EDI
-    * Telefon / datentk
-    * Sepa Dateien
-    * Adressexporte / Delisprint / GLS Gepard
-  * Funktioniert die IFW Zusammenfassungen noch?
-  * am nächsten Tag: ** Hat die Sicherung die IFW Datendateien gesichert? **