Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Willkommen im IFW Wiki » administratoren » windows_ad_rechte_fuer_ifw
Zuletzt angesehen: IFW CRM TAPI Emailversand konfigurieren
administratoren:windows_ad_rechte_fuer_ifw

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Konfiguration zum Schutz vor Ransomware, Windows AD Rechte für IFW

Die Einschränkung der Rechte auf die IFW-Datenbank-Verzeichnisse dient auch dem Schutz vor Ransomware (Verschlüsselungsviren). Im Wesentlichen wird bei den Datenbankordnern das Auflisten des Inhalts verweigert.

Die folgenden Informationen sind nur für Systemadministratoren mit den entsprechenden Sachkenntnissen:

Vorgehensweise

  1. auf Domänserver einloggen
  2. Benutzer anlegen
  3. Gruppen anlegen
  4. Den Gruppen Rechte zuordnen
  5. Testuser (ifwasp) der Gruppe IFW_LESEVERBOT zuordnen. umloggen, testen
  6. IFW Zusammenfassungen / nach GUI verlegen (EXE-Version >=669?)
  7. LDAP abfragen setzen
  8. User den Gruppen zuordnen
  9. Testen
  10. scharf schalten
  11. Prüfen

auf Domänserver einloggen

Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten.

Benutzer anlegen

Benutzer anlegen durch Kopieren von z.B. ifwasp oder einem anderen geeigenten User. Damit ist auch das Loginscript ausgefüllt. (Active Directory-Benutzer und -Computer| domainname| Benutzer) (Loginscript prüfen: Rechtsklick auf Benutzername,| Eigenschaften| Profil). Anlegen:

  • User IfwAdministrator

Gruppen anlegen

(Active Directory-Benutzer und -Computer| domainname| Gruppen| Rechtsklick| Neu| Gruppe).
Falls nicht schon vorhanden anlegen:

  • G_IFW_ADMIN,
  • G_IFW_LESEVERBOT,
  • G_IFW_USER

den Gruppen Rechte zuordnen

Mit dem Windows-Explorer zu c:\ browsen. Zum Rechte einstellen Rechtsklick auf dem Verzeichnis| Eigenschaften| Sicherheit| Erweitert| Berechtigung ändern| Hinzufügen.

Folgende Tabelle abarbeiten: Änderungen an ifwroot und ifwablage laufen wegen der grossen Datenmenge lange. Daher auf ifwablage das Recht für ifw_user und ifw_leseverbot gemeinsam ändern lassen. Das eingangs nach unten vererbte Recht "Vollzugriff" von der Gruppe G_IFW_USER bleibt vorerst unangetastet. Das wird erst zum Schluss verändert.

G_IFW_ADMIN G_IFW_USER G_IFW_LESEVERBOT
ifwroot Vollzugriff ScanOrdner *
ifwablage / IFWDocustore) Zugriff ScanVerbot-Ordner
ifw Zugriff
ifw\archfibu ScanVerbot-Ordner
ifw\archiv ScanVerbot-Ordner
ifw\basisdat ScanVerbot-Ordner
ifw\chgdat ScanVerbot-Ordner
ifw\sysdat ScanVerbot-Ordner

Mandantenverzeichnisse:

G_IFW_ADMIN G_IFW_USER G_IFW_LESEVERBOT
ifw\archiv.??? ScanVerbot-Ordner
ifw\basisdat.??? ScanVerbot-Ordner
ifw\chgdat.??? ScanVerbot-Ordner
ifw\sysdat.??? ScanVerbot-Ordner

Zugriff bedeutet:

  • "Diesen Ordner, Unterordner und Dateien"
  • Vollzugriff setzen
  • "Unterordner und Dateien löschen" entfernen.
  • "Berechtigung ändern" entfernen.
  • "Besitz übernehmen" entfernen.

"Scanverbot Ordner" bedeutet:

  • "nur dieser Ordner" Verweigern "Ordner Auflisten/Daten lesen"

"Scan-Ordner" bedeutet:

  • "nur dieser Ordner" Zulassen "Ordner Auflisten/Daten lesen".
    (* Die Einstellung erfolgt zum Schluss durch Verändern des bisher bestehenden Rechtes auf ifwroot)

Hinweis:
ifwablage / IFWDocustore ist das Verzeichniss, in dem das IFW angehängte Dateien speichert. Der Name des Verzeichnis ist in fakt.ini unter [DocustoreIFW Programmerweiterung Docustore] definiert. Es enthält i.d.R. ein oder mehrere Verzeichnisse die nach dem Alphabet benannt sind.

LDAP abfragen setzen

Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten. Rechtsklick auf "Gespeicherte Abfragen| Neu| Abfrage" Name vergeben, z.B."Mitglieder Gruppe G_IFW_USER". Dann auf "Festlegen" klicken. Den Drop Down "SuchenDatensatz suchen:" auf Beutzerdefinierte Suche" setzen. dann Reiter "Erweitert" wählen. Im Fließtextfeld die Abfrage eingeben. Folgende drei Abfragen einrichten:

Name: Mitglieder Gruppe G_IFW_USER
(objectCategory=user)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
Name: Gruppe G_IFW_USER ohne Gruppe G_IFW_LESEVERBOT
(objectCategory=user)(!memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
Name: Gruppe Administratoren und Gruppe G_IFW_LESEVERBOT
(objectCategory=user)(memberOf=CN=Administratoren,CN=Builtin,DC=DOMÄNENNAME,DC=LAN)(memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=LAN)

Immer mit F5 aktualisieren. Nur anklicken refreshed die Anzeige der Abfragen nicht.

User den Gruppen zuordnen

Über "gespeicherte Abfragen" "Nicht Mitglied IFW_LESEVERBOT" ausführen. Einen oder mehrere User markieren. Rechtsklick "Einer Gruppe hinzufügen …" auswählen. Folgende Zuordnungen sollten gelten:

User\Gruppe IFW_ADMINIFW_UserIFW_LESEVERBOT
alle ifw Benutzer X X
IfwAdministrator X X
Ifwasp X X X

IFW Zusammenfassungen

  • Die IFW Zusammenfassungen (Kunden / Artikel / Lieferanten) aus dem Basisdat entfernen. Sollte durch module\ifw_gui ersetzt werden. (→ Rücksprache IFW Admin). Voraussetzung ist eine IFW-Version >= V669 (05.01.15).

Testen

Der User ifwasp der Gruppe IFW_LESEVERBOT zuordnen wie oben beschrieben. User neu einloggen, anderfalls ziehen die geänderten Gruppenrechte nicht. Zugriffe prüfen.

Scharf schalten:

  • Alle Ifw User selektierten und dann der Gruppe G_IFW_LESEVERBOT zuordnen.
  • Alle User müssen neu einloggen erst dann wird die Gruppenzuordnung aktiv
  • Auf Verzeichnis ifwroot das Recht der Gruppe G_IFW_USER bearbeiten. "nur dieser Ordner" einstellen, erst alle Rechte entfernen dann wieder zulassen: "Ordner Auflisten/Daten lesen". Damit wird das nach unten vererbte Recht "Vollzugriff" allen Usern entzogen (IFW, ifwablage, basisdat).

Prüfen

  • Stichprobe ob ein User in die geschlossenen Verzeichnise browsen kann.
    • IFW\Basisdat ist gesperrt
    • IFWDocustore ist gesperrt
    • alle anderen Verzeichnisse paralell zu IFW sind gesperrt
  • als IFWAdmin (IfwAdministrator) einloggen und Zugang zu den Verzeichnisen prüfen
  • ASP / BDE starten und Ausführungen prüfen
  • Exporte / Importe prüfen.
    • EDI
    • Telefon / datentk
    • Sepa Dateien
    • Adressexporte / Delisprint / GLS Gepard
  • Funktioniert die IFW Zusammenfassungen noch?
  • am nächsten Tag: Hat die Sicherung die IFW Datendateien gesichert?
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
/data/kunden/wiki.ifw.de/htdocs/wiki/data/attic/administratoren/windows_ad_rechte_fuer_ifw.1603439052.txt.gz · Zuletzt geändert: 23.10.2020 09:44 von walter
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki