Frage: Wie viele Nutzer und Daten verwalten Sie?

Antwort: Wir haben über 100.000 Nutzer, 1,5 Millionen Active-Directory-Konten und 250 Millionen Ordner.

Frage: Wie würden Sie Ihre Gesamtstrategie in Bezug auf Ordnerfreigaben beschreiben?

Antwort: Bei uns passiert praktisch alles auf Grundlage der Active-Directory-Gruppenmitgliedschaft. Alle „Freigaben“ oder „Stammordner“ haben Active-Directory-Gruppen mit Lesezugriff, mit Schreibzugriff und mit Vollzugriff. Wenn ein Stammordner erstellt wird, werden die Gruppen erstellt und zugewiesen. Die NTFS-Berechtigungen ändern sich dabei nie. Alle Unterordner erben dann dieselben Berechtigungen. Alle Stammordner werden auf derselben Ebene der Ordnerhierarchie erstellt. Wenn für einen Unterordner andere Berechtigungen benötigt werden, muss er verschoben und in einen eigenen Stammordner umgewandelt werden.

Übrigens: Wir nennen diese Ordner zwar „Freigaben“, doch in Wirklichkeit handelt es sich nicht um die eigentlichen SMB‑/CIFS-Ordnerfreigaben, sondern um Ordner direkt unterhalb einer SMB‑/CIFS-Freigabe. Unterhalb der eigentlichen Freigabe befinden sich bis zu 100 Stammordner, die von den Nutzern eingebunden werden.

Frage: Wie viele Root Folder gibt es?

Antwort: Wir haben etwa 10.000. Ich bin nicht ganz sicher, wie viele pro Woche dazukommen.

Frage: Was passiert, wenn jemand eine neue Freigabe benötigt?

Antwort: Wir haben ein internes System, über das neue Freigaben beantragt werden können. Wenn wir den Antrag erhalten, werden ein neuer Stammordner und drei neue Active-Directory-Gruppen auf Basis des Projektnamens erstellt. Der Nutzer, der die Freigabe beantragt, wird im Active-Directory-Feld „verwaltet von“ der Gruppen als „Owner“ festgelegt und eine DFS-Verknüpfung für den Ordner erstellt.

Frage: Wer stellt normalerweise den Freigabeantrag?

Antwort: Das kann jeder tun, allerdings werden die Datenmengen dem jeweiligen Geschäftsbereich in Rechnung gestellt. Die Kosten für das benötigte Speichervolumen müssen von dem für den Geschäftsbereich Finanzen zuständigen Mitarbeiter bewilligt werden.

Frage: Wie wird entschieden, ob ein Ordner noch benötigt wird?

Antwort: Vor dem Einsatz der Varonis-Tools mussten wir in solchen Fällen informiert werden. Jetzt arbeitet unser Records-Management-Team daran die Varonis-Reports in Bezug auf veraltete Daten mit unseren Richtlinien zur Datenspeicherung abzugleichen.

Frage: Wie werden die Berechtigungen für die Dateifreigaben festgelegt?

Antwort: Authentifizierte Nutzer haben Änderungsrechte für alle Freigaben. Die NTFS-Berechtigungen für eine SMB-Ordnerfreigabe sind auf „Everyone RWL“ eingestellt. So müssen wir uns keine Gedanken über das Durchsuchen von Berechtigungen machen müssen, weil jeder die Stammordner anzeigen kann.

Frage: Wie sieht es mit Gruppenverschachtelungen aus?

Antwort: Wir verschachteln keine Gruppen, auf die Endnutzer zugreifen. Wir verschachteln nur Gruppen mit IT‑Systemadministrator-Zugriff, und zwar nach geografischer Lage. Wenn beispielsweise Servern in New York Administratorzugriff auf eine Gruppe gewährt wird, werden in dieser Gruppe Administratoren in Nordamerika geschachtelt und in dieser Gruppe wiederum Administratoren weltweit.

Frage: Wie gehen Sie mit zugeordneten Laufwerken um?

Antwort: Wir verwenden DFS zum Abstrahieren von Pfaden. Jeder verfügt über einen Laufwerkbuchstaben, der mit seinem lokalen DFS-Namespace verbunden ist. Das wird im Anmeldeskript festgelegt. Die DFS-Pfade sind nach Region gruppiert und die DFS-Namespaces werden repliziert. Die Nutzer können alle Stammordner unterhalb ihrer Region anzeigen, doch durch die NTFS-Berechtigungen wird ihr Zugriff eingeschränkt.

Frage: Wer ist für die Anmeldeskripte zuständig?

Antwort: Sie werden von unserem Desktop-Team gepflegt.

Frage: Gibt es einzelne Benutzer in den Zugriffssteuerungslisten?

Antwort: Nein.

Frage: Wie häufig werden die Berechtigungen überprüft?

Antwort: Die Gruppenmitgliedschaften werden überprüft, wenn ein Nutzer uns verlässt oder die Abteilung wechselt. Wichtige Ordner werden darüber hinaus jährlich geprüft. Wir verwenden DatAdvantage, um sicherzustellen, dass die Berechtigungen gemäß den Standards festgelegt werden, und überwachen die Änderungen von Berechtigungen. Wir haben vor, die Data Owner mithilfe der Empfehlungen von DatAdvantage dabei zu unterstützen, veraltete Gruppenmitgliedschaften bei ihren Überprüfungen zu erkennen.

The post Wie gehen Sie damit um, wenn über 100.000 Nutzer 250 Millionen Ordner teilen? appeared first on Varonis Deutsch.