Bei einer Migration von Exchange 2013 zu 2016 wurde die Anforderung an mich heran­ge­tragen, die öffent­lichen Ordner in Freigabe­post­fächer umzu­wandeln. Dabei sollte nicht nur ihre Struktur inklu­sive der In­halte, sondern auch die Berechti­gungen über­nommen werden. Letzteres erwies sich als der schwierigste Teil der Aufgabe.

Korrekt vergebene Zugriffs­rechte sind ein wichtiger Schutz gegen den Miss­brauch von sen­siblen Infor­mationen. Bei kom­plexen Ver­zeich­nis­struk­turen geben die meisten Bord­mittel dem Admin nicht den benö­tigten Überblick. Der Folder­Security­Viewer (FSV) soll diese Lücke mit vorkonfi­gurierten Reports schließen.

Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.

Um die Amazon Web Services (AWS) aktiv nutzen zu können, be­nötigt man ein eigenes AWS-Konto. Dieser Root-Account ist nur für wenige Auf­gaben erfor­derlich, für die täg­liche Arbeit reichen viel­mehr so genannte IAM-User aus. Ihnen kann man über Gruppen und Rollen gezielt Rechte in AWS zuteilen.

Mit Windows Server 2019 führt Microsoft den Storage Migration Service ein, der den Um­zug be­tagter File-Server auf das neu­e OS ver­ein­facht. Dieses Feature er­laubt nicht nur eine kom­fortable Mig­ration der freige­gebenen Ord­ner und der Daten, son­dern auch von Sicher­heits­ein­stellungen wie den NTFS-Berech­tigungen.

Die Instal­lation von Fonts gehört immer noch zu den Tätig­keiten, die admini­strativen Be­nutzern vorbe­halten bleiben. Wenn User häufig Schriften instal­lieren müssen, aber keine erhöh­ten Privi­legien er­halten sollen, dann helfen hier eigene Tools. Windows 10 ab Version 1803 erlaubt das Nach­laden von Fonts aus dem Store.

Gerade bei größeren Ordner­strukturen ist das Rechte-Management mit der Web-Konsole um­ständlich und lang­sam. Exchange 2016 bringt daher wie seine Vor­gänger eigene PowerShell-Scripts für solche Auf­gaben mit. Sie können Benutzer­berechtigungen für ganze Hierarchien hinzu­fügen oder ent­fernen.

Das Active Directory bildet die IT-Ressourcen und die Struktur eines Unter­nehmens ab. Beide unter­liegen stän­digen Änderungen, die in das AD einge­pflegt werden müssen. Dabei handelt es sich vielfach um Routine-Jobs, die sich mit dem richtigen Tool be­schleunigen und an Benutzer dele­gieren lassen.

Der Besitz von NTFS-Objekten und die Ver­erbung sind wesent­liche Mecha­nismen für die Vergabe von Zugriffs­rechten. Die Bord­mittel von PowerShell sind für das Manage­ment dieser Features aber um­ständlich oder unzu­reichend. Das Modul NTFSSecurity verein­facht diese Auf­gabe mit mehreren Cmdlets.