Dienstkonten für 8MAN einrichten

<< Inhaltsverzeichnis anzeigen >>

Navigation:  Start > Installieren und Konfigurieren > Systemvoraussetzungen >

Dienstkonten für 8MAN einrichten

Wir empfehlen den Einsatz von Dienstkonten (service accounts, dedizierte Benutzerkonten für den Einsatz von 8MAN). Damit stellen Sie folgende Punkte sicher:

 

Die Berechtigungen der Dienstkonten passen genau zu den Anforderungen, z. B. Active Directory nur lesen aber nicht ändern.

Es ist getrennt nachvollziehbar, ob eine bestimmte Aktion von 8MAN ausgeführt wurde oder z. B. von einem Domänen-Admin.

Ändert der Domänen-Admin sein Kennwort, bleibt die 8MAN Konfiguration davon unberührt.

Vermeiden Sie Einschränkungen durch Aktivitäts-Limits (z.B. erlaubt Exchange Online nur drei parallele Anfragen).

 

Es sind sehr granulare Konzepte mit dem Einsatz von mehreren Dienstkonten möglich. Grundsätzlich gilt, je mehr Dienstkonten, desto genauer können Sie die Berechtigungen steuern und nachvollziehen und desto höher der Administrationsaufwand. Im einfachsten Fall richten Sie ein Dienstkonto ein und weisen diesem alle notwendigen Berechtigungen zu.

Aktivieren Sie für die Dienstkonten die Option "Kennwort läuft nie ab".

 

Feature

benötigte Berechtigungen

8MAN Server

Das Dienstkonto benötigt auf dem 8MAN Server lokale Administratorrechte.

Ist das Dienstkonto Mitglied in der Gruppe Domänen-Admins, ist diese Bedingung bereits erfüllt. Wird ein Server Computer Mitglied der Domäne (domain join), werden die Gruppe Domänen-Admins Mitglied der lokalen Administrator-Gruppe.

SQL Server

Das 8MAN Setup benötigt auf dem SQL Server die Rechte (Rolle) "dbcreator". Erstellen Sie eine Datenbank vorher, benötigt 8MAN auf dieser Datenbank die Rechte (Rolle) "dbowner". Sie können sowohl mit der Windows als auch mit der SQL-Server Autorisation arbeiten.

Active Directory (AD)-Scan

Jedes Benutzerkonto verfügt über die notwendigen Lese-Rechte, um einen AD-Scan auszuführen.

Arbeiten Sie in Ihrem Unternehmen mit Delegation, müssen Sie das Dienstkonto einer Gruppe zuordnen, welche die betreffenden OUs lesen darf.

AD Ändern (8MAN Enterprise)

Arbeiten Sie in Ihrem Unternehmen mit Delegation, müssen Sie das Dienstkonto einer Gruppe zuordnen, welche die betreffenden OUs ändern darf.

Ohne Delegation: Das Dienstkonto wird Mitglied der Gruppe Domänen-Admins.

File Server (FS)-Scan

Das Dienstkonto benötigt Rechte, um die NTFS-Berechtigungen auslesen zu können (read permissions) und die Listrechte (traverse folders), um zu den entsprechenden Ordnern "vordringen" zu können.

Das Dienstkonto kann Mitglied der Gruppe Domänen-Admins werden. Falls Domänen-Admins nicht auf alle Verzeichnisse zugreifen können (z. B. User Ordner), fügen Sie das Dienstkonto zu den Backup Operatoren auf dem File Server hinzu.

AD Logga

Das Dienstkonto muss Mitglied der Gruppe "Ereignisprotokollleser" (event log reader) werden. Mitglieder der Gruppe Domänen-Admins verfügen ebenfalls über die Berechtigung, die Ereignisprotokolle zu lesen.

FS Logga

Für die Logga-Funktionalität müssen Sie kein Dienstkonto konfigurieren. Auf den zu überwachenden Verzeichnissen muss „NT-Autorität System“ berechtigt sein. Weitere benötigte Berechtigungseinstellungen (z. B. DACL) finden Sie im FS Logga Handbuch.

8MATE Exchange

Für das Auslesen der Exchange-Berechtigungen fügen Sie das Dienstkonto der Gruppe "View-Only Organization Management" hinzu.

Für Änderungen der Exchange-Berechtigungen fügen Sie das Dienstkonto der Gruppe "Organization Management" hinzu (Lese-Berechtigungen sind eingeschlossen).

Das Dienstkonto benötigt auf dem Kollektor-Server Adminrechte um die PowerShell aufrufen zu können.

Es sind weitere Berechtigungseinstellungen notwendig (Impersonierung, eigenes Postfach), die im Abschnitt "Exchange Scans" beschrieben sind.

8MATE SharePoint (farm based)

Das Dienstkonto muss Mitglied der Gruppe "Lokaler Administrator" des SharePoint-Servers sein.

Das Dienstkonto muss Mitglied der SharePoint Farm-Administrator Gruppe sein.

Das Dienstkonto benötigt die spezielle Berechtigung "SharePoint_Shell_Access" und muss Mitglied der lokalen Gruppe "WSS_Admin_WPG" sein.

Das Dienstkonto benötigt für die Webanwendung, die gescannt werden soll, die Berechtigung "Full Control".

Es sind weitere Berechtigungseinstellungen notwendig (Autorisierung an der SharePoint Datenbank), die im Handbuch für SharePoint beschrieben sind.

8MATE SharePoint (Webseitensammlung)

Die benötigten Berechtigungen sind im Kapitel Konten für einen SharePoint Scan per Remote Connector beschrieben.

8MATE Exchange Logga

Das Konto für die Anmeldung muss auf dem ausgewählten Exchange Server Mitglied der Rollen Organisationsverwaltung und Datensatzverwaltung sein.