www.dambeck.ch

Part 3 of 3 Was der Chef wissen will.

Hier gehen wir mal auf die Organisatorischen Probleme mit NTFS ein. Generell gibt es hier mehre Ansätze. Ich Denke das Grosse Ziel ist das man jederzeit weiss Wer, Wo Zugriff hat und wer diesen Erlaubt hat. Zu bestimmen wer wo Zugriff hat ist meiner Meinung nach nicht Aufgabe der IT. Ich bin hier ein Anhänger der "Götti" Prinzip. Was soviel heisst wie jeder Ordner hat einen "rl" Besitzer. Dieser bestimmt wer darf und wer nicht darf. Die ganze Kommunikation sollte schriftlich abgelegt oder über ein geeignetes Tool abgehandelt werden um die Nachvollziehbarkeit und Revisionssicherheit (gilt in der CH) zu gewähren. Angemerkt sei hier das dies rechtliche Aspekte sind  und zur Strafverfolgung von Privat Personen führen kann (auch wenn mir kein fall bekannt ist). Im Grossen und ganzen bin ich aber für einen Relativ offen Zugriff auf Daten. 

Das AHA Ordner Prinzip (Shared)

Was den Administrativen Aufwand exterm senkt ist ein AHA (Alle Haben Access) Ordner. Wo vom CIO bis zur Putzfrau alle Daten ablegen können. Idealerweise ist dieser über das ganze unternehmen Verfügbar und trägt einen eigen Laufwerks Buchstaben.  Das ist dann sozusagen das Kriegsgebiet wo jeder alle Daten sieht und jeder alles Löschen, Lesen, Speichern kann.

Der Schlüssel hier ist die Vernunft, und ab und zu mal ein kleiner tipp aus der IT an einzelne Kunden (Anwender).

Das User Home

Ist aus Unternehmens das Dööfste  seit der Erfindung des Konkurs. Eines der Grossen  Ziele jeder Firma ist das jeder ersetzbar ist bzw das es immer einen Stellvertreter gibt. also müssen auch immer mindesten 2 Leute Zugriff eine Information haben. Was sich aber 1 zu 1 bisst mit der Idee des Home Drive. Die Einzige Rechtfertigung eines solchen Speicherplatz ist es wenn die Firma Private Arbeiten erlaubt, dies ist meistens so wenn diese Außerhalb der Arbeitszeit Stadt finden.  Die Kunden sollten aber auf solche Details hingewiesen werden.

Was die IT immer wieder vor Probleme stellt. Wir kennen alle das Problem "Kunde A" hat was auf dem Home Drive gespeichert und ist im Urlaub. "Kunde B" braucht genau in diesem Moment eine Datei. Toll nicht. An die Datei zu kommen ist meist nicht das Problem den irgendwer muss diese ja jeden Abend auf Band  sichern. Darf man die Datei jetzt weitergeben, wenn ja haben wir eine AHA Folder geschaffen, wenn nein haben wir unproduktive Arbeit. Was beides irgendwie nicht so toll ist.

Das Gruppen Laufwerk

Eine Tolle Erfindung wenn sie richtig Benützt wird. Auf dem Gruppen Laufwerk erstellen wir also mal ein paar Ordner, am besten etwas mit System. Das unten erwähnte System basiert auf "AGDLP" es eignet sich für Mittlere bis Grosse Firmen, Für klein unternehmen wurde ich AGP und für Firmen mit einem Forest, mehrere AD Domänen (Was aber irgendwie kennen sin macht da Simens auch mit "nur" einem AD lebt WELTWEIT!!!!) dazu später mehr . Ich mache meist einen Ordner pro "Businessunit" (BO)  (zb. Buchhaltung) und unterhalb Ordner pro "Workunit" (WO) zb. (Kreditoren, Debitoren, etc) Gleich nach dem Anlegen der Ordner erstelle ich Pro BU eine DL- Gruppe (domain local security groupe) welche ich zb auf den Namen "DL_RN_SRV1_Share1_Buchhaltung" Taufe. DL = domain local, RN = Read NotBequeath. Für die WO Ordner erstelle ich immer 2 Gruppen zb. "DL_RB_SRV1_Share1_Buchhaltung_Kreditoren" und eine "DL_WB_SRV1_Share1_Buchhaltung_Kreditoren" wobei RB = Read Bequeath und WB = Write Bequeath bedeutet. Ich erstelle die gruppen immer gleich mit dem Ordner, dann geht’s nicht nicht vergessen.

AGDLP

Beim AGDLP (Accounts in Globalgruopes in DomainLocalGroups auf Premmisions) geht’s eigentlich darum die Kunden in Gruppen zusammenzufassen, Also zb. alle "Debitoren Buchhalter" in die Globalegrupe "G_Buchhaltung_Debitoren" und zb die Kreditoren in die Gruppe "G_Buchhaltung_Kreditoren". Dan Verschachteln wir die gruppen in die DL Gruppen und schon hat jeder den Zugriff welchen er benötigt.

Fazit

Dieses NTFS kann unglaubliche Abgründe bereithalten für den Admin Welcher einfach mal etwas drauflos klickt. Allso ist es extrem wichtig das man zuerst plant. Nach der Planung sollte ein vernünftiger "proof of concept" gemacht werden bei dem das oberste gebot den Kunden Fragen ob das führ ihn so gut ist !!!! Anbei noch ein paar tips wie ihr den Kunden Super verärgern könnt. Benennt alles mit Abkürzungen, macht aus dem Folder "Buchhaltung"  den Folder "CHFSTMA" so was lieben die Anwender. Das Alphabet hat genügend Buchstaben also nutzt das auch und Verbindet min 20 Netzwerk Laufwerke. Als Letzer tip möchte ich noch mitgeben das es OK ist wenn euer Konzept so kompliziert ist das es mehr als eine A4 Seite füllt

In diesem Sinne noch etwas Selbst Kritik: Beim Schreiben ist mir aufgefallen das doch noch einiges Fehlt, es volgt allso in den nachsten Wochen noch "Part 4 of 3 The secret’s of NTFS Quotas".

Gruss Koni

Part 2 of 3 Cool Tools

Ich mochte euch ein paar Tools vorstellen welche auf NTFS aufbauen ober eng damit zusammenhängen.

VSS, Volume shadow Copy

VSS ist eine art Backup welches sich selber managt. Bei VSS kann ein Zeit gesteuerter Auftrag zum automatischen kopieren von Dateien und Ordner welche geändert haben. Das ganze tönt lustig ist aber ganz einfach zum installieren und geht ab Windows Server 2003. Man muss auch nichts speziell installieren alles "out of BOX"  Seit ich VSS auf meinem File Server aktiviert habe. Musste ich noch nie ein Backup Tape  für den Restore von Daten einlegen (Holz "anlangen"). Was natürlich nicht Heisst das es nicht mehr nötig ist ein Backup zu Fahren. VSS ist kein Backupersatz !!! Aus Erfahrung bin ich der Meinung das es ca 10-20% der Datenmenge als VSS Space sinvoll ist. Das Reicht normalerweise für ca. 1 Woche.  Allso bei ca 100GB Daten sollen ca 20GB Platz für VSS reserviert sein. Dies muss aber kein Teurer platz auf einem SAN sein. Meinermeinug recht da eine USB Festplatte völlig aus. Vss kann ganz einfach auf den Propeties (Eigenschaften) eines Laufwerks einrichten. Jetzt muss man nur noch die Zeiten einrichten ich mache meistens am 10:00, 15:00 und 20:00 Uhr. Mann kann auch ein Limit Setzen welches bewirkt das eine art "RoundLog" gemacht wird. Zusammen gefasst ist es in etwa das  gleiche wie Salivge bei Novell. Mit dem unterschied das Zeitgesteuert ist. Das zurückspien kann einfach in den Eigenschaften eins Ordner’s machen. Wobei bei windows XP noch ein kleiner Client instaliert werden muss. Das gute daran ist das Benutzer sich so selber backups zurückholen können. Für alle welche jetzt komplett verwirrt sind gibt’s noch ein kleines Flash Video von Microsoft. 

ABE, Access-based Enumeration

Hat eigentlich nicht allzuviel mit NTFS zu schaffen aber es ist einfach ein geiles kleines Tool. Wer kennt die Situation nicht wir haben auf einem Windows  ca 20 Ordner HR, Fibu, IT, TO etc und jede Abteilung hat nur rechte auf ihren eigenen Ordner. Also die HR Leute auf den HR Ordner und die Buchhalter auf den FIBU Ordner. Im Normalfall sieht da der Share etwa so aus wie im ersten Bild. Der Benutzer Sieht alle Ordner Egal ob er Zugriffsrechte hat oder nicht. sobald er einen Ordner anklickt gibt’s eine hässliche Error Meldung. Wenn wir ABE Aktiveren werden alle Ordner ausgeblendet auf welche der Benutzer keine rechte hat siehe Bild 2 unten (gleicher share und geliche rechte wie Bild 1 mit ABE).  Um in den Genuss von ABE zu kommen  benötigt man Mindestens einen Windows 2003 Server mit SP1 und den ABE Clients welcher gratis bei Microsoft Heruntergeladen (ABEUI.msi) werden kann.  Aus Erfahrung weiss ich das ein Eingeschaltes ABE ca 3-4% mehr CPU Auslastung bedeutet, was aber Meist kein Problem bedeutet. Bei Meiner Recherche bin ich auf noch auf mögliche Probleme gestossen wen man ABE  auf einem Aktive Directory Controller Installiert. Was aber bei mir ohne Probleme gegangen ist. Was mich enorm fasziniert hat ist das Icon welches oben beim ABE Tab in den eigenschaften des Shares zu finden ist. es Erinnert irgendwie verdammt an das Icon der nwadmin32.exe

DFS, Distributet File Server

Also zuerst eines vorweg, das DFS von Windows Server 2003 und Windows Server 2003 r2 unterscheidet sich gewaltig. Meine Empfehlung Hände weg vom  DFS wenn ihr keinen Release 2 Server habt. Es recht aber wenn der DFS root Server ein r2 ist. DFS ist eigentlich eine wirklich tolle Sache. Die meisten kennen DFS schon vom Netlogon auf den Domänen Controllern. Wenn ihr eine Windows Dömane habt. Das Sysvol wird Domänen weit über DFS verteilt. Das DFS kann in der "Systemsteuerung" unter "Add remove Programs" hinzugefügt werden (Dies muss nur auf dem DFS Root Server gemacht werden. Für das DFS Fallen auch keine weiteren Lizenzen an. Mit DFS kann man 2 Verschiedene nette Sachen machen. 1 Mann kann einen Virtuellen Share erstellen und andre Share’s darunter darstellen. Was uns die Möglichkeit gibt alle Daten im unternehmen an einer Zentralen stelle bereitzustellen egal auf welchem Server die Daten Ligen. Der zweite "Fancy" Punkt ist das DFS Daten Replizieren kann. Was Doch ganz nützlich sein kann. Mann kann Allso alle seine Files im unternehmen "Clustern" ohne einen Shared  Storage und Windows 2003 Advanced Server Lizenzen zu Kaufen. Was natürlich auch eine nette idee ist das man so die Daten von kleinen Ausenstellen an das HQ Repliziert und diese dann Zentral Wegschiebt auf Band Mann kan ja einstellen das Synchronisieren nur zweichen 20:00 und 23.00 Uhr stattfindet da auch nur geändertes gesynct wird reicht das meistens.

showacls.exe

Ist ein kleines aber sehr feines Konsolen Programm welches die Verzeichnis rechte auflistet und auch rekursive abfragen machen kann. Das ist in den Meisten fällen doch netter als gefühlte Millionen von Klicks zu machen um eine einfache Dokumentation zu erstellen. Es ist meiner meinung nach auch geeignet um im Task Sheduler zu laufen und jeden Tag einen Report zu erstellen um ungewollte eingriffe (Hacker, etc.) zu finden. Man verliert doch schnell mal den überblich bei mehr als 3 Ordnern aber dazu mehr im 3ten teil. showacls.exe ist im Resorce Kitt des Windows 2003 Servers enthalten und kann bei Microsoft heruntergeladen werden.

Part 1 of 3 The Basic’s

Bevor wir Richtig loslegen ein kleiner Überblick was in den Nachsten Posts so ab geht. The World of NTFS soll einen kleinen Einblick in eines der am wenigstenbeachteten  Features von Microsoft Windows bieten. Im Part 1 geht es eigentlich generell Dateisysteme im besonderen um NTFS. Im Part 2 wenden wir uns dann auf Applikationen zu welche auf NTFS Aufbauen zb. VSS,  DFS etc. Im Part 3 geht es dann um die Grosse Organisatorische Fragen AGDLP Ownership Quotas etc. 

NTFS ist die Abkürzung für New Technologie File System. Also das Standard Dateisystem für Windows NT3.1 bis Server 2008. Wobei auch noch FAT gewählt werden kann. Der Quasi Vorgänger war HPFS von IBM welches unter OS2 und OS2 Warp benutzt wurde. In der Letzen Zeit halten aber auch immer mehr Erweiterungen einzug welche an NSS Volumes von Novells Netware Erinnern (meinermeinung das Beste FS welches es bis heute gibt) 

„Beginn Zitat: Wikipedia“

Aus Sicht des Dateisystems ist alles Teil einer Datei, auch die Informationen des Systems. Die Hauptdatei ist die MFT (Master File Table). In dieser Datei befinden sich die Einträge, welche Blöcke zu welcher Datei gehören, die Zugriffsberechtigungen und die Attribute. Jede Eigenschaft einer Datei ist unter NTFS ein Attribut, auch der eigentliche Dateiinhalt.

Sehr kleine Dateien und Verzeichnisse werden in der MFT direkt abgespeichert. Größere Dateien werden dann als Attribut in einem Datenlauf gespeichert.

Beim Formatieren der Festplatte wird für die MFT ein fester Platz reserviert, der nicht von anderen Dateien belegt werden kann. Wenn dieser voll ist, beginnt das Dateisystem freien Speicher vom Datenträger zu benutzen, wodurch es zu einer Fragmentierung der MFT kommen kann. Standardmäßig wird ein reservierter Bereich von 12,5 % der Partitionsgröße angenommen.

Beim Speichern von Meta-Daten wird ein Journal geführt, das bedeutet, dass eine geplante Aktion zuerst in das Journal geschrieben wird. Dann wird der eigentliche Schreibzugriff auf die Daten ausgeführt und abschließend wird das Journal aktualisiert. Wenn ein Schreibzugriff nicht vollständig beendet wird, zum Beispiel wegen eines Absturzes, muss das Dateisystem nur die Änderungen im Journal zurücknehmen und befindet sich anschließend wieder in einem konsistenten Zustand.

„Ende Zitat: Wikipedia“

Wie überall in der EDV Wellt gibt es auch bei NTFS verschiedene Versionen. Welche untereinander abwärtskompatibel sind. Die Versionen werden beim erstellen der Partition festgelegt. Die Version des NTFS kann nicht angepasst werden ausser durch ein Update des Betriebssystem. Was auch gerne mal zu Problemen mit Dual Boot Systemen führen kann. Seihe diesen etwas älteren aber immer noch Vista aktuellen Artikel  TechNet Artikel. http://support.microsoft.com/kb/184299/de

Unten bei eine kleine Liste mit den Windows NTFS Versionen und den Wichtigsten Neuerungen

• NTFS 1.x – Windows NT 3.1
• NTFS 1.x – Windows NT 3.5/3.51
• NTFS 2.x – Windows NT 4.0
  Kann einzelne Daten Verschlüsseln
• NTFS 3.0 – Windows 2000 (NT 5.0)
  EFS (Entripptet File System)
  Disk Quotas, auf Laufwerke
  Symlinks
  Junction Points
  Hardlinks (max 1023 namen pro File)
  Sparse File (speichert nur die Tatsächliche Grösse bei halb lehren Dateien „sihe NTFS 5.1“ )
• NTFS 3.1 – Windows XP (NT 5.1)
• NTFS 3.1 – Windows Server 2003 (NT 5.2)
  Folder Quotas (Ab Windows Server 2003 r2)
• NTFS 5.0 – Windows Vista (NT 6.0)
• NTFS 5.1 – Windows Vista SP1 (NT 6.1)
  Speed und ev eine bessere Indexe Dank teils impl. von  WINFS (diese Angaben ohne Gewähr)