Bei aikux.com, Spezialdienstleister in Sachen Fileservermigration und Rechtemanagement, wurde man bei zahlreichen Projekten auf ein besonderes Problem aufmerksam: Viele Firmen und Organisationen haben gewachsene Fileserverstrukturen. Im Laufe der Jahre wurden immer wieder Berechtigungen gesetzt, mitunter auch falsch, so dass es nach dem Löschen der Accounts oder von Gruppen aus dem Active Directory, ohne vorheriges Löschen der Einträge in der Access Control List (ACL), zu verwaisten SID-Einträgen in der ACE des Fileservers kommt.
Was erst einmal wie ein Schönheitsfehler klingt, kann sich aber u.U. zu einem durchaus heiklen Problem auswachsen, das nicht nur Auditoren interessiert. Wie damit umgehen? Ein manuelles Entfernen der verwaisten Einträge mag für 20 Verzeichnisse noch funktionieren – alles, was darüber liegt, wird dann aber sehr aufwendig und damit fast unmöglich. aikux.com entschloß sich deshalb, ein praxistaugliches Werkzeug für seine Kunden zu entwickeln, das ihnen das Problem einfach und mit geringstem Aufwand vom Halse schafft: den ACL-Cleaner.
Wie entstehen verwaiste/tote SIDs?
Für die Steuerung der Zugriffsberechtigungen auf Fileserverressourcen empfiehlt sich die Nutzung von Domänen-Gruppen und Domänen-Accounts. Diese kann man direkt in die ACL der Verzeichnisse des Fileservers eintragen. So ein Domänen-Account oder eine Domänen-Gruppe besteht aus einer eineindeutigen Security-ID. Da diese SID für uns Menschen allerdings schlecht zu verwalten ist, gibt man dem Account auch noch einen Namen. Windows arbeitet intern mit der SID – wir arbeiten mit dem Namen. Wenn man jetzt einem User oder einer Gruppe eine Berechtigung zuweisen möchte, dann suchen wir uns den entsprechenden Account aus und weisen diesem auf dem Fileserver die Berechtigungen zu. Im System passiert jetzt noch etwas anderes: Auf Systemebene wird in der ACL nicht der Name vermerkt sondern die SID.
Wenn nun ein Account aus dem AD gelöscht wird, ohne daß vorher der Eintrag aus der ACL entfernt wurde, kann diese SID bei der nächsten Betrachtung der Sicherheitseinstellungen nicht mehr aufgelöst werden. Es steht kein Objekt im AD mit ihr in Referenz. Also kann und sollte dieser Eintrag auch entfernt werden.
Warum sollten verwaiste SIDs entfernt werden?
Ganz einfach: Einerseits vermeidet man Performanzverluste, eine bösartige Manipulation der SID-History mit der Möglichkeit zur unkontrollierten Rechtevererbung kann ausgeschlossen werden und last but not least freut es den Auditor, wenn auch dort Ordnung herrscht.
Verwaiste/tote SIDs müssen entfernt werden! – Nur wie?
Nun kann es sein, dass verwaiste/ tote SIDs in hunderten von ACLs zu finden sind. Das macht ein manuelles Entfernen fast unmöglich. Für alle Unternehmen, die das Werkzeug für das Rechtemanagement 8MAN im Einsatz haben, ist das kein Problem, da 8MAN eine Funktion besitzt, die alle ACLs sichtbar macht, in denen sich verwaiste/tote SIDs befinden. Diese können in einem CSV-Report aus 8MAN exportiert werden. Dann schlägt die Stunde für den ACL-Cleaner von aikux.com: Er ist in der Lage, die identifizierten ACLs zu bereinigen. Dazu wird der Export an den ACL_Cleaner übergeben, der nun der Reihe nach alle ACLs bereinigt. Nach dem nächsten Scan von 8MAN sind dann im Report für verwaiste/tote SIDs keine Einträge mehr zu finden. Der “ACL-Cleaner” von aikux.com kann viele Stunden Arbeit und auch ein aufwendiges Scripting ersparen bzw. macht die Lösung des Problems erst möglich.
Der ACL-Cleaner ist zur Zeit nur für den gemeinsamen Einsatz mit dem Werkzeug zum Rechtemanagement 8MAN gedacht, ein in Kürze erscheinendes Folgerelease wird unabhängig von 8MAN arbeiten und allen Interessenten zur Verfügung stehen.