Nahezu jedes Unternehmen nutzt Fileserver, um Daten für Mitarbeiter bereitzustellen. Über die Jahre wächst die Menge an Daten kontinuierlich an. 
Dabei sind auch die Berechtigungen auf die einzelnen Ordnerstrukturen ständig im Wandel. 

Neue Mitarbeiter werden mit Berechtigungen ausgestattet, im besten Fall werden obsolete Berechtigungen wieder entzogen oder es müssen abteilungsübergreifende Zugriffe sichergestellt werden. Die Anforderungen an den Fileserver mitsamt seinen Berechtigungen sind mitunter äußerst komplex. Daher ist es umso wichtiger ein klares Berechtigungskonzept zu verfolgen. 

In diesem Artikel geben wir einen Überblick, wie man seinen Fileserver migrieren kann oder einfach nur die Berechtigungen innerhalb der Ordnerstrukturen optimiert. 

Fileserver Migrationspfade – Möglich­keiten

Steht man vor der Herausforderung seine Fileservices zwischen zwei Storage Systemen oder Fileservern migrieren zu müssen (z.B. bei der Ablösung eines alten Fileservers durch einen neuen Fileserver) oder möchte man seine historisch gewachsenen Berechtigungen im Zuge der DSGVO-Anforderungen optimieren und an gängige Best Practices anpassen, benötigt man einen klaren Ablaufplan. 

Es gibt verschiedene Möglichkeiten, um die Optimierung oder den Umzug des Fileservers durchzuführen, ohne dabei die Anwender in ihrer Arbeit zu beeinträchtigen. 

Migration auf einen neuen Fileserver

Beim Umzug auf einen neuen Fileserver oder in ein neues Fileshare auf dem gleichen Fileserver oder Storage-System hat man die besten Voraussetzungen, um eine reibungslose Optimierung der Berechtigungen sicherzustellen. 

Die Ordnerstrukturen werden dabei schnell und effizient in einem neuen, leeren Fileshare aufgebaut und mit optimierten, nach Best Practice vergebenen Berechtigungen versehen. Der ganze Prozess ist dabei in einem kurzen Zeitraum umsetzbar, da die Berechtigungsvergabe in leeren Ordnerstrukturen um ein Vielfaches schneller vonstattengeht, als das in vollen Ordnerstrukturen möglich ist. 

Optimierung der Berechtigungen eines Fileshares

Möchte man seine Berechtigungen innerhalb einer Ordnerstruktur optimieren, ohne dabei einen neuen Fileserver oder ein neues Storage-System einzuführen, ist der oben beschriebene Migrationspfad nicht identisch anwendbar. 
Es kann auch sein, dass man für die Optimierung der Berechtigungen nicht die Möglichkeiten hat, den Speicherbedarf temporär doppelt bereitzustellen. 

Bei der Optimierung innerhalb eines bestehenden Fileshares gibt es einige Herausforderungen zu bewältigen, um die Zugriffe der Anwender während dieses Zeitraums weiterhin zu gewährleisten. Die aktuell vorhandenen Berechtigungen dürfen nicht einfach gegen neue Berechtigungen ausgetauscht werden. 
Laut den Best Practices der Berechtigungsvergabe im NTFS-Dateisystem, sollten Berechtigungen immer über Gruppen umgesetzt werden.
Eine neu erstellte Gruppe greift beim Anwender allerdings erst nachdem dieser sich neu an seinem Client und dem Active Directory angemeldet hat. Daher muss bei derartigen Szenarien der Migrationspfad leicht angepasst werden. 

Phasen der Fileserver Migration

Die Optimierung von Berechtigungen bzw. die Migration auf einen neuen Fileserver oder ein neues Storage-System kann man in verschiedene Phasen unterteilen. Es ist wichtig, dass man einen konkreten Plan zum Vorgehen hat und sämtliche Schritte im Vorfeld durchdenkt. 

Überblick der einzelnen Phasen einer Fileserver Migration oder Berechtigungsoptimierung

Analyse der vorhandenen Ordner und NTFS Berechtigungen

Für die Analyse müssen die zu migrierenden Fileshares inklusive ihrer Berechtigungen geprüft und bewertet werden. Dazu sollten alle Informationen z.B. in eine Csv-Datei geschrieben werden. Es ist wichtig zu wissen, welche Accounts auf welchen Ordnerebenen Zugriff haben, wie der Stand der Vererbung ist bzw. ob es sich um eine gewährte oder eine verweigerte Berechtigung handelt. 

In der Regel werden während der Analyse verschiedene Optimierungspotentiale aufgedeckt: 

• Wie tief sind die expliziten Berechtigungen vergeben? 
• Wo gibt es Mehrfachberechtigungen (Gruppen- oder Benutzeraccounts, die in einer Hierarchie immer wieder auf Unterordnern explizit berechtigt sind)? 
• Wo gibt es verwaiste Berechtigungen (Berechtigungen, für die der Gruppen- oder Benutzeraccount nicht mehr vorhanden ist)? 
• Wo gibt es Vererbungsunterbrechungen und sind diese überhaupt notwendig? 

Modellierung der neuen Berechtigungen – Aufbau des Berechtigungskonzepts

In der Phase der Modellierung bzw. der Konzeptionierung werden die eingelesenen Berechtigungen bewertet und auf Relevanz überprüft. Dabei werden Optimierungspotentiale direkt umgesetzt und fließen in die Vorbereitung der neuen Berechtigungen sofort mit ein. Es ist sinnvoll, die während der Analyse erstellte 
Csv-Datei so zu modifizieren, dass diese gleich als Ausgangsbasis für den Roll-out
der neuen Berechtigungen dient. 

Man sollte sich vorher überlegen, ob man die Ordnerstrukturen so beibehalten möchte und nur die Berechtigungen anpasst oder ob auch die Strukturen verändert und modernisiert werden sollen. Optimiert man nur technisch die Berechtigungen, muss der Benutzer nicht direkt einbezogen werden. Offensichtliche Fehlberechtigungen werden dabei nur entfernt. Soll die Ordnerstruktur allerdings auch angepasst werden, so muss zwingend der Dateneigentümer (Date Owner) bzw. der Anwender mit einbezogen werden.
Es ist nicht empfohlen die Ordnerstrukturen einfach anzupassen und zu verändern, da die Akzeptanz der Anwender dadurch erheblich abnimmt. 

Folgende Schritte sind während der Modellierungsphase notwendig: 

• Die neue Berechtigungsstruktur bzw. das neue Berechtigungskonzepts 
  wird aufgebaut. 
• Die Berechtigungen, die für die einzelnen Ordner notwendig sind, werden
  z.B. in einer Csv-Datei modelliert. 
• Die expliziten Berechtigungen auf den einzelnen Ordner (z.B. „Lesen & Ausführen“ und „Ändern“) werden definiert. 

Roll-out der neuen Berechtigungen und Berechtigungs­gruppen

Roll-out – Während des Roll-outs werden die neu benötigten Berechtigungsgruppen anhand der Microsoft Best Practice für Fileserver im Active Directory angelegt und mit den korrekten Mitgliedern versehen. 
Bei der Migration auf einen neuen Fileserver oder in ein neues Fileshare werden die Ordner, die explizite Berechtigungen enthalten sollen, erstellt und die angelegten Berechtigungsgruppen auf diesen Ordnern berechtigt. Wenn man allerdings die Berechtigungen innerhalb der Hierarchie optimieren möchte und nicht in einen neuen Fileshare migriert, müssen die Ordner nicht erstellt werden.
Die neuen Berechtigungsgruppen werden zusätzlich zu den alten Berechtigungen hinzugefügt. Dadurch wird sichergestellt, dass die Zugriffe der Anwender weiterhin funktionieren, sollten die neu erstellten Gruppen noch nicht durch eine Neuanmeldung am System greifen. 

Bei der Migration zwischen zwei Systemen müssen die Daten vom alten auf das
neue System transferiert werden. Es wird empfohlen für diese Copyjobs auf Robocopy zu setzen, da man das Verhalten der Berechtigungen während des Kopiervorgangs damit sehr gut steuern kann und die Kopierperformance nahezu unerreicht ist. Wichtig dabei ist, dass man diese Copyjobs regelmäßig ausführt. Dadurch werden alle Daten, die aktuell nicht im Zugriff sind, bereits auf das neue Fileshare übertragen. So kann man während des Going live erheblich Zeit einsparen. 

Es wird empfohlen während des Roll-outs folgendermaßen vorzugehen: 

• Die neuen Berechtigungsgruppen werden automatisiert im Active Directory angelegt und mit den korrekten Mitgliedern versehen. 
• Die Ordnerstruktur wird automatisiert innerhalb eines neuen, leeren Fileshares angelegt (nur beim Umzug auf einen neuen Fileserver oder ein neues
  Storage-System). 
• Die Berechtigungsgruppen werden automatisiert auf den korrekten
  Ordnern berechtigt. 
• Für den Datentransfer zwischen Ist- und Soll-Struktur müssen die Copyjobs angelegt und regelmäßig ausgeführt werden 
  (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Es muss ein Termin für den finalen Going live geplant werden. 

Going live des neuen Berechtigungskonzepts

Going live – Beim Going live gibt es wieder Unterschiede, je nachdem ob auf einen neuen Fileserver migriert wird oder die Berechtigungen innerhalb eines Fileshares optimiert werden. Für den ersten Fall sind mehr Tätigkeiten durchzuführen, der zweite Fall dauert dafür in der Regel deutlich länger. 

Bei der Migration zwischen zwei Systemen muss nochmal eine Deltakopie der
Daten vorgenommen werden. Außerdem ist sicherzustellen, dass die Anwender
auf die neuen Ordnerpfade, die sich dabei meist ändern, auch zugreifen können. 

Optimiert man die Berechtigungen im gleichen Fileshare, müssen während des Going live – als letzter Schritt – die alten Berechtigungen von den Ordnern entfernt werden.  
Nur so wird gewährleistet, dass man im Anschluss ein durchgängig konsistentes Berechtigungskonzept einhält. 

Folgende Schritte sind zum Going Live empfohlen und einzuhalten: 

• Es muss gewährleistet werden, dass während der letzten Deltakopie der Daten kein Anwender mehr schreibend auf die Daten zugreift (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Login-Scripte, GPOs oder DFS-Verlinkungen müssen angepasst werden (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Verlinkungen innerhalb von Applikationen, die die Fileshares adressieren, müssen angepasst werden (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Verlinkungen innerhalb von Dateien (z.B. Link zu einer Excel-Datei innerhalb einer Word-Datei) müssen angepasst werden (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Die Backups der Fileserver müssen angepasst werden (nur beim Umzug auf einen neuen Fileserver oder ein neues Storage-System). 
• Die alten Berechtigungen müssen aus den Ordnerstrukturen entfernt werden, sodass nur noch die neuen Berechtigungsgruppen enthalten sind. 

Best Practice – Welches Vorgehen ist empfohlen?

Um seine Berechtigungen aufzuräumen oder Fileshares zwischen zwei Systemen zu migrieren, empfehlen wir immer die Berechtigungen in einem neuen, leeren Zielshare aufzubauen. Der Zeitaufwand ist bei diesem Vorgehen geringer, es ist erheblich weniger Fehleranfällig und man hat jederzeit die Möglichkeit der alten Ordnerstruktur als Fall back. 

Kann man dieses Vorgehen aufgrund technischer Limitierungen nicht umsetzen, sollte die Optimierung der Berechtigungen besonders akribisch geplant werden.