Bei einer Migration von Exchange 2013 zu 2016 wurde die Anforderung an mich herangetragen, die öffentlichen Ordner in Freigabepostfächer umzuwandeln. Dabei sollte nicht nur ihre Struktur inklusive der Inhalte, sondern auch die Berechtigungen übernommen werden. Letzteres erwies sich als der schwierigste Teil der Aufgabe.
Korrekt vergebene Zugriffsrechte sind ein wichtiger Schutz gegen den Missbrauch von sensiblen Informationen. Bei komplexen Verzeichnisstrukturen geben die meisten Bordmittel dem Admin nicht den benötigten Überblick. Der FolderSecurityViewer (FSV) soll diese Lücke mit vorkonfigurierten Reports schließen.
Seit Server 2016 ist es möglich, Benutzer temporär in AD-Gruppen aufzunehmen und so ihre Berechtigungen zeitlich zu beschränken. Die Bordmittel sehen dafür nur PowerShell vor. Mein hier beschriebenes Script bietet aber eine GUI, so dass auch technisch nicht versierte User diese Aufgabe übernehmen können.
Bei LAPS handelt es sich um ein kostenloses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufälliges Passwort erzeugt. Allerdings kann man nicht so einfach erkennen, ob der Mechanismus auf jedem Rechner funktioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.
Um die Amazon Web Services (AWS) aktiv nutzen zu können, benötigt man ein eigenes AWS-Konto. Dieser Root-Account ist nur für wenige Aufgaben erforderlich, für die tägliche Arbeit reichen vielmehr so genannte IAM-User aus. Ihnen kann man über Gruppen und Rollen gezielt Rechte in AWS zuteilen.
Mit Windows Server 2019 führt Microsoft den Storage Migration Service ein, der den Umzug betagter File-Server auf das neue OS vereinfacht. Dieses Feature erlaubt nicht nur eine komfortable Migration der freigegebenen Ordner und der Daten, sondern auch von Sicherheitseinstellungen wie den NTFS-Berechtigungen.
Die Installation von Fonts gehört immer noch zu den Tätigkeiten, die administrativen Benutzern vorbehalten bleiben. Wenn User häufig Schriften installieren müssen, aber keine erhöhten Privilegien erhalten sollen, dann helfen hier eigene Tools. Windows 10 ab Version 1803 erlaubt das Nachladen von Fonts aus dem Store.
Gerade bei größeren Ordnerstrukturen ist das Rechte-Management mit der Web-Konsole umständlich und langsam. Exchange 2016 bringt daher wie seine Vorgänger eigene PowerShell-Scripts für solche Aufgaben mit. Sie können Benutzerberechtigungen für ganze Hierarchien hinzufügen oder entfernen.
Der Besitz von NTFS-Objekten und die Vererbung sind wesentliche Mechanismen für die Vergabe von Zugriffsrechten. Die Bordmittel von PowerShell sind für das Management dieser Features aber umständlich oder unzureichend. Das Modul NTFSSecurity vereinfacht diese Aufgabe mit mehreren Cmdlets.
Während sich Hyper-V oder das Active Directory praktisch vollständig über PowerShell verwalten lassen, fällt die Unterstützung für das Management der NTFS-Zugriffsrechte immer noch mager aus. Diese Lücke schließt das Modul NTFSSecurity des Microsoft-Mitarbeiters Raimund Andrée mit insgesamt 36 Cmdlets.