Cebaoth 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Hi folks, hab sein längeren ein (u.a. rechtliches) Problem: Meine EDV-Abt. wurde dazu angehalten, alle Transaktionen im Windows-Benutzermanager (create, edit, delete etc.) nachvollziehbar festzuhalten. Hab angefangen eine Access-DB zu basteln, aber das große Problem ist, dass dann jede Änderung doppelt vorgenommen werden muss (im richtigen Userman und in der Protokoll-DB). Hat jemand einen Tipp oder kennt jemand ein Programm, dass diese Protokollierung automatisch übernimmt? Es kann ein externer Domänenbenutzermanager sein, oder eine Erweiterung des mitgelieferten oder eine andere Idee? Ob es dringend ist? Ich sag mal so: Wenn unser LAN mal kollabieren sollte, dann hätten wir ein echtes Problem. Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Original geschrieben von Cebaoth Hi folks, hab sein längeren ein (u.a. rechtliches) Problem: Meine EDV-Abt. wurde dazu angehalten, alle Transaktionen im Windows-Benutzermanager (create, edit, delete etc.) nachvollziehbar festzuhalten. Hab angefangen eine Access-DB zu basteln, aber das große Problem ist, dass dann jede Änderung doppelt vorgenommen werden muss (im richtigen Userman und in der Protokoll-DB). Hat jemand einen Tipp oder kennt jemand ein Programm, dass diese Protokollierung automatisch übernimmt? Es kann ein externer Domänenbenutzermanager sein, oder eine Erweiterung des mitgelieferten oder eine andere Idee? Ob es dringend ist? Ich sag mal so: Wenn unser LAN mal kollabieren sollte, dann hätten wir ein echtes Problem. Was ist genau die Absicht dieses Tools? "NUR" Protokollierung? Wieso benutzt Du nicht die Überwachung - Stichwort Audit - der entsprechenden Events, und speicherst die Eventlogs? Die Eventlogs lassen sich auch recht einfach auswerten. Zitieren Link zu diesem Kommentar
Cebaoth 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 Am besten wäre natürlich eine All-In-One-Super-Wunder-Lösung, mit der man z.B. alle Details eines Users (Gruppenzugehörigkeiten, Anmeldebeschränkungen etc) exportieren kann, um es im Ernstfall restaurieren zu können. Dazu reicht eigentlich ein regelmäßiges Dump, allerdings fallen dann Änderungen hinten runter, die nur für kurze Zeit - zwischen zwei Dumps - gemacht werden (z.B. Benutzer für eine Stunde zum Lokalen Admin machen oder durch Gruppenzugehörigkeit kurzzeitig Zugriff auf bestimmte Freigaben gestatten). Es geht hier sowohl um eine Dokumentation zu Sicherungszwecken als auch um IT-revisorische Auflagen. Daher reicht das "Nachlesen" im Eventlog wahrscheinlich nicht aus. Wir wollen eine möglichst hohe Transparenz über Zugriffsmöglichkeiten, Benutzereigenschaften, Gruppenzugehörigkeiten usw. erreichen. Ich frage mich nur, ob wir denn wirklich das einzige Unternehmen sind, die diese Anforderungen an seine Benutzerverwaltung hat. Sowas ist doch eigentlich ein generelles Problem, oder? Es ist ja auch nicht so, dass wir das umsonst haben wollen (oder müssen). Uns stehen dafür schon ein paar Euros zur Verfügung, sodass man auch eine komplett neue Verwaltungskonsole einführen könnte - wobei eine Add-On-Lösung besser wäre, weil einfacher zu implementieren. Was ich vorhin auch nicht mitgeteilt habe - es geht im Moment um NT4.0, wir wollen aber im Sommer auf Server 2003 und AD umstellen. Wir haben bis jetzt ohne alles gelebt, da reicht es, wenn es im AD funzt. Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 ). Zu dem, was Du umsetzen willst/sollst, gehört das Auditing sicher mit dazu, und die Sicherung der entsprechenden Logs, falls dies bei Euch so hohe Priorität hat. Mittles Kommandozeilen-Tools wie ldifde und csvde lassen sich User in AD im- und/oder exportieren, schau Dir mal die entsprechenden Optionen an (cmd-line, ldifde /? ). So kannst Du den "Userbestand" mittels CSVDE exceltauglich exportieren (erzeugt eine csv-Datei). Ein Stück weit ist Dir damit sicher geholfen. Was die Rechte und Einschränkungen betrifft, die sind ja nicht (nur) in AD festgehalten, sondern NTFS-seitig durch die Berechtigungen. Leider kann ich Dir in diesem Gebiet hinsichtlich "Reporterstellung" keinen weiteren Tipp geben, ich kenn da leider nichts (das heisst nicht, dass es das nicht gibt ;) ). Mittels Scripting lässt sich selbtsverständlich alles auslesen und -werten. Ist aber sehr aufwändig, wenn Du sowas von Null auf erstellen musst. Ähh ja... NT4.0... da war ich wohl zu schnell, sorry. Nutz doch mal die Boardsuche, Du findest sicher noch was. Ich weiss z.B. nicht sicher, wie weit ein Tool wie Sysoft Sandra hier helfen würde. Zitieren Link zu diesem Kommentar
Cebaoth 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 Nun, mit Scripting hab ich bislang nicht viel gemacht. Frage an alle: Wie behaltet ihr bei 297 Mitarbeitern plus x Gruppen und Hilfsaccounts die Übersicht? Was ist, wenn der elektronische Zugriff auf die Ressourcen nicht möglich ist? (Das man einen kompletten Datenverlust hat, ist schon recht unwahrscheinlich, aber leider nie 100%ig auszuschließen) Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Datensicherung mittels der "konventionellen" Mittlen wie DLT-Tapes ist empfehlenswert, sofern Ihr nicht über ein Sicherungsstorage à la EMC verfügt sogar unerlässlich. AD hat ein eigenes Sicherungs"prozedere" für die AD-Datenbank. Zu Scripting findest Du massenhaft hilfreiche Ressourcen unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/default.asp Zitieren Link zu diesem Kommentar
Cebaoth 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 Ich habe in einem anderen Thread etwas gefunden: http://www.somarsoft.com/ - DumpSec Ein Freewaretool, das sowohl effektive Zugriffsrechte für Pfade und Dateien extrahiert als auch Eigenschaften von Benutzern und Gruppen. Ich versuche mich jetzt mal mit einer Access-DB, in der die exportierten Informationen ohne Zwischenbehandlung importiert werden können. Das könnte man dann autostartmäßig mitlaufen lassen, sodass dann zumindest einmal täglich eine Sicherung stattfindet. Wie da aber Änderungen deutlich gemacht werden sollen, muss ich mir noch überlegen. Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Danke für den Hinweis; ich werde mir das Tool bei Gegebenheit sicher auch mal anschauen Zitieren Link zu diesem Kommentar
Cebaoth 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 Was mir gerade im Gespräch mit meinem Kollegen aufgefallen ist: Die Sache ist auch nicht lückenlos... Sofern wir nicht eine vollautomatische, viertelstündliche Aktualisierung auf die Reihe bekommen, hat die Lösung für unsere IT-Revision im Grunde schon versagt. Ich habe noch einen Hinweis auf den Microsoft Operations Manager. Ich werd den mal auf einem Testserver installieren und schauen, welche Protokollierungsmethoden uns da zur Verfügung stehen. Für alle, die auch vor dieser Problematik stehen: Ich werde diesen Thread weiterführen soweit ich vorankomme. Evtl. werde ich dazu auch Hinweise über meine HP zur Verfügung stellen. @Robert: Danke für deine Unterstützung Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.