+49 30 3642803 0 | info@permsecure.com​

File Server Migration oder Berechtigungsoptimierung – Best Practice

permSECURE - Filemigration

Nahezu jedes Unternehmen nutzt File Server, um Daten für Mitarbeiter bereitzustellen. Über die Jahre wächst die Menge an Daten kontinuierlich an. 
Dabei sind auch die Berechtigungen auf die einzelnen Ordnerstrukturen ständig im Wandel.
 

Neue Mitarbeiter werden mit Berechtigungen ausgestattet, im Besten Fall werden obsolete Berechtigungen wieder entzogen oder es müssen abteilungsübergreifende Zugriffe sichergestellt werden. Die Anforderungen an den File Server mitsamt seinen Berechtigungen sind mitunter äußerst komplex. Daher ist es umso wichtiger ein klares Berechtigungskonzept zu verfolgen. 

In diesem Artikel geben wir einen Überblick, wie man seinen File Server migrieren kann oder einfach nur die Berechtigungen innerhalb der Ordnerstrukturen optimiert. 

Inhalt

File Server Migrationspfade – Möglichkeiten

Steht man vor der Herausforderung seine Fileservices zwischen zwei Storage Systemen oder File Servern migrieren zu müssen (z.B. bei der Ablösung eines alten File Servers durch einen neuen File Server) oder möchte man seine historisch gewachsenen Berechtigungen im Zuge der DSGVO-Anforderungen optimieren und an gängige Best Practices anpassen, benötigt man einen klaren Ablaufplan. 

Es gibt verschiedene Möglichkeiten, um die Optimierung oder den Umzug des File Servers durchzuführen, ohne dabei die Anwender in ihrer Arbeit zu beeinträchtigen. 

permSECURE - Shouting Man

Laden Sie unser Whitepaper herunter!

Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.

Migration auf einen neuen File Server

Beim Umzug auf einen neuen File Server oder in ein neues File Share auf dem gleichen File Server oder Storage-System hat man die besten Voraussetzungen, um eine reibungslose Optimierung der Berechtigungen sicherzustellen. 

Die Ordnerstrukturen werden dabei schnell und effizient in einem neuen, leeren File Share aufgebaut und mit optimierten, nach Best Practice vergebenen Berechtigungen versehen. Der ganze Prozess ist dabei in einem kurzen Zeitraum umsetzbar, da die Berechtigungsvergabe in leeren Ordnerstrukturen um ein Vielfaches schneller vonstattengeht, als das in vollen Ordnerstrukturen möglich ist. 

Optimierung der Berechtigungen eines File Shares

Möchte man seine Berechtigungen innerhalb einer Ordnerstruktur optimieren, ohne dabei einen neuen File Server oder ein neues Storage-System einzuführen, ist der oben beschriebene Migrationspfad nicht identisch anwendbar. 
Es kann auch sein, dass man für die Optimierung der Berechtigungen nicht die Möglichkeiten hat, den Speicherbedarf temporär doppelt bereitzustellen.
 

Bei der Optimierung innerhalb eines bestehenden File Shares gibt es einige Herausforderungen zu bewältigen, um die Zugriffe der Anwender während dieses Zeitraums weiterhin zu gewährleisten. Die aktuell vorhandenen Berechtigungen dürfen nicht einfach gegen neue Berechtigungen ausgetauscht werden. 
Laut den Best Practices der Berechtigungsvergabe im NTFS-Dateisystem, sollten Berechtigungen immer über Gruppen umgesetzt werden.
Eine neu erstellte Gruppe greift beim Anwender allerdings erst nachdem dieser sich neu an seinem Client und dem Active Directory angemeldet hat. Daher muss bei derartigen Szenarien der Migrationspfad leicht angepasst werden.
 

Phasen der File Server Migration

Die Optimierung von Berechtigungen bzw. die Migration auf einen neuen File Server oder ein neues Storage-System kann man in verschiedene Phasen unterteilen. Es ist wichtig, dass man einen konkreten Plan zum Vorgehen hat und sämtliche Schritte im Vorfeld durchdenkt. 

permSECURE - Migrationsphasen
Überblick der einzelnen Phasen einer File Server Migration oder Berechtigungsoptimierung

Analyse der vorhandenen Ordner und NTFS Berechtigungen

Für die Analyse müssen die zu migrierenden File Shares inklusive ihrer Berechtigungen geprüft und bewertet werden. Dazu sollten alle Informationen z.B. in eine Csv-Datei geschrieben werden. Es ist wichtig zu wissen, welche Accounts auf welchen Ordnerebenen Zugriff haben, wie der Stand der Vererbung ist bzw. ob es sich um eine gewährte oder eine verweigerte Berechtigung handelt. 

In der Regel werden während der Analyse verschiedene Optimierungspotentiale aufgedeckt: 

  • Wie tief sind die expliziten Berechtigungen vergeben? 
  • Wo gibt es Mehrfachberechtigungen (Gruppen- oder Benutzeraccounts, die in einer Hierarchie immer wieder auf Unterordnern explizit berechtigt sind)? 
  • Wo gibt es verwaiste Berechtigungen (Berechtigungen, für die der Gruppen- oder Benutzeraccount nicht mehr vorhanden ist)? 
  • Wo gibt es Vererbungsunterbrechungen und sind diese überhaupt notwendig? 

Modellierung der neuen Berechtigungen – Aufbau des Berechtigungskonzepts

In der Phase der Modellierung bzw. der Konzeptionierung werden die eingelesenen Berechtigungen bewertet und auf Relevanz überprüft. Dabei werden Optimierungspotentiale direkt umgesetzt und fließen in die Vorbereitung der neuen Berechtigungen sofort mit ein. Es ist sinnvoll, die während der Analyse erstellte 
Csv-Datei so zu modifizieren, dass diese gleich als Ausgangsbasis für den Roll-out
der neuen Berechtigungen dient.
 

Man sollte sich vorher überlegen, ob man die Ordnerstrukturen so beibehalten möchte und nur die Berechtigungen anpasst oder ob auch die Strukturen verändert und modernisiert werden sollen. Optimiert man nur technisch die Berechtigungen, muss der Benutzer nicht direkt einbezogen werden. Offensichtliche Fehlberechtigungen werden dabei nur entfernt. Soll die Ordnerstruktur allerdings auch angepasst werden, so muss zwingend der Dateneigentümer (Date Owner) bzw. der Anwender mit einbezogen werden.
Es ist nicht empfohlen die Ordnerstrukturen einfach anzupassen und zu verändern, da die Akzeptanz der Anwender dadurch erheblich abnimmt.
 

Folgende Schritte sind während der Modellierungsphase notwendig: 

  • Die neue Berechtigungsstruktur bzw. das neue Berechtigungskonzepts 
    wird aufgebaut.
     
  • Die Berechtigungen, die für die einzelnen Ordner notwendig sind, werden
    z.B. in einer 
    Csv-Datei modelliert.
     
  • Die expliziten Berechtigungen auf den einzelnen Ordner (z.B. „Lesen & Ausführen“ und „Ändern“) werden definiert. 

Roll-out der neuen Berechtigungen und Berechtigungsgruppen

Roll-out – Während des Roll-outs werden die neu benötigten Berechtigungsgruppen anhand der Microsoft Best Practice für File Server im Active Directory angelegt und mit den korrekten Mitgliedern versehen. 
Bei der Migration auf einen neuen File Server oder in ein neues File Share werden die Ordner, die explizite Berechtigungen enthalten sollen, erstellt und die angelegten Berechtigungsgruppen auf diesen Ordnern berechtigt. Wenn man allerdings die Berechtigungen innerhalb der Hierarchie optimieren möchte und nicht in einen neuen File Share migriert, müssen die Ordner nicht erstellt werden.
Die neuen Berechtigungsgruppen werden zusätzlich zu den alten Berechtigungen hinzugefügt. Dadurch wird sichergestellt, dass die Zugriffe der Anwender weiterhin funktionieren, sollten die neu erstellten Gruppen noch nicht durch eine Neuanmeldung am System greifen.
 

Bei der Migration zwischen zwei Systemen müssen die Daten vom alten auf das
neue System transferiert werden. Es wird empfohlen für diese Copyjobs auf Robocopy zu setzen, da man das Verhalten der Berechtigungen während des Kopiervorgangs damit sehr gut steuern kann und die Kopierperformance nahezu unerreicht ist. Wichtig dabei ist, dass man diese Copyjobs regelmäßig ausführt. Dadurch werden alle Daten, die aktuell nicht im Zugriff sind, bereits auf das neue File Share übertragen. So kann man während des Going live erheblich Zeit einsparen.
 

Es wird empfohlen während des Roll-outs folgendermaßen vorzugehen: 

  • Die neuen Berechtigungsgruppen werden automatisiert im Active Directory angelegt und mit den korrekten Mitgliedern versehen. 
  • Die Ordnerstruktur wird automatisiert innerhalb eines neuen, leeren File Shares angelegt (nur beim Umzug auf einen neuen File Server oder ein neues
    Storage-System).
     
  • Die Berechtigungsgruppen werden automatisiert auf den korrekten
    Ordnern berechtigt.
     
  • Für den Datentransfer zwischen Ist- und Soll-Struktur müssen die Copyjobs angelegt und regelmäßig ausgeführt werden 
    (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System).
     
  • Es muss ein Termin für den finalen Going live geplant werden. 

Going live des neuen Berechtigungskonzepts

Going live – Beim Going live gibt es wieder Unterschiede, je nachdem ob auf einen neuen File Server migriert wird oder die Berechtigungen innerhalb eines File Shares optimiert werden. Für den ersten Fall sind mehr Tätigkeiten durchzuführen, der zweite Fall dauert dafür in der Regel deutlich länger. 

Bei der Migration zwischen zwei Systemen muss nochmal eine Deltakopie der
Daten vorgenommen werden. Außerdem ist sicherzustellen, dass die Anwender
auf die neuen Ordnerpfade, die sich dabei meist ändern, auch zugreifen können.
 

Optimiert man die Berechtigungen im gleichen File Share, müssen während des Going live – als letzter Schritt – die alten Berechtigungen von den Ordnern entfernt werden.  
Nur so wird gewährleistet, dass man im Anschluss ein durchgängig konsistentes Berechtigungskonzept einhält. 

Folgende Schritte sind zum Going Live empfohlen und einzuhalten: 

  • Es muss gewährleistet werden, dass während der letzten Deltakopie der Daten kein Anwender mehr schreibend auf die Daten zugreift (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System). 
  • Login-Scripte, GPOs oder DFS-Verlinkungen müssen angepasst werden (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System). 
  • Verlinkungen innerhalb von Applikationen, die die File Shares adressieren, müssen angepasst werden (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System). 
  • Verlinkungen innerhalb von Dateien (z.B. Link zu einer Excel-Datei innerhalb einer Word-Datei) müssen angepasst werden (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System). 
  • Die Backups der File Server müssen angepasst werden (nur beim Umzug auf einen neuen File Server oder ein neues Storage-System). 
  • Die alten Berechtigungen müssen aus den Ordnerstrukturen entfernt werden, sodass nur noch die neuen Berechtigungsgruppen enthalten sind. 

Suchen Sie eine professionelle Beratung?

Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!

permSECURE - Shouting Woman

Best Practice – Welches Vorgehen ist empfohlen?

Um seine Berechtigungen aufzuräumen oder File Shares zwischen zwei Systemen zu migrieren, empfehlen wir immer die Berechtigungen in einem neuen, leeren Zielshare aufzubauen. Der Zeitaufwand ist bei diesem Vorgehen geringer, es ist erheblich weniger Fehleranfällig und man hat jederzeit die Möglichkeit der alten Ordnerstruktur als Fall back. 

Kann man dieses Vorgehen aufgrund technischer Limitierungen nicht umsetzen, sollte die Optimierung der Berechtigungen besonders akribisch geplant werden. 

Über den Autor:

Christoph Schulze
Christoph Schulze ist Senior Consultant bei der Firma permSECURE. Bereits seit 2011 konzeptioniert und begleitet er File Server Projekte und unterstützt Kunden dabei ihre Berechtigungskonzepte zu optimieren.