Verzeichnisstrukturen prozessorientiert definieren und verwalten
von Stefan Kowski (Kommentare: 0)
Das Dateisystem ist eines der wichtigsten Teile des Betriebssystems. Anwender kommen mit ihm fast immer in Berührung, weil sie dort ihre Daten speichern und bearbeiten. Die logische Organisation des Dateisystems, d.h. der Aufbau und die Verwaltung der Verzeichnisstrukturen, ist daher eine der bedeutendsten Aufgaben von Administratoren: sie müssen den Anwendern helfen, ihre Dateien zu verwalten, und gleichzeitig übergeordnete Unternehmensaspekte wie Zugriffsrechte und Datensicherung beachten.
Während die Verzeichnisstrukturen im Bereich des Betriebssystems und bei Software-Anwendungen meist vorgegeben sind, muss die Struktur der geschäftlichen Daten, z.B. Briefe, Excel-Listen oder sonstige Dateien, selbst definiert werden. Da es leider wenig Literatur gibt, wie man ein Dateisystem am besten strukturiert, zeigen wir Ihnen in diesem Blog-Artikel einige Ansätze, die Sie leicht auf Ihren Server-Systemen umsetzen können.
Sie erfahren unter anderem
- Wie Sie Anforderungen Ihrer Organisation an die Dateiablage ermitteln,
- Wie Sie diese Anforderungen mit Hilfe einer Verzeichnisstruktur technisch abbilden,
- Und wie Sie die Daten Ihrer aktuellen Server in die neuen Strukturen überführen können
Zielvorgaben für den Entwurf einer Verzeichnisstruktur
Ohne klare Ziele lässt es sich schlecht planen, daher legen wir nun die Zielvorgaben für das neue Dateisystem fest, an denen sich der Entwurfsprozess orientieren soll:
- Jeder Anwender weiß, wo er seine benötigten Dateien im Dateisystem findet,
- Jeder Anwender weiß, wo er neu erzeugte Dateien im Dateisystem ablegen muss,
- Die Verzeichnisstruktur soll auch eine Umstrukturierung des Unternehmens „überleben“,
- Der Administrationsaufwand in der täglichen Arbeit soll möglichst gering sein.
Neben diesen allgemeinen Zielen müssen auch die fachlichen Anforderungen definiert werden, die vom Dateisystem erfüllt werden müssen. Zu diesen Anforderungen gehören:
- Fachliche Anforderungen der Anwender
Hierzu gehören alle Anforderungen der Aufbau- und Ablauforganisation, also der einzelnen Abteilungen oder bestimmter Geschäftsprozesse in Ihrem Unternehmen. Jede Abteilung wird z.B. recht wahrscheinlich ein eigenes Verzeichnis bekommen, in dem nur die zugeordneten Mitarbeiter Zugriffsrechte besitzen.
- Fachliche Anforderungen aus externen Vorgaben
Dazu gehören z.B. Datenschutz- und Compliance-Vorgaben, die Ihr Unternehmen erfüllen muss.
- Technische Anforderungen
Es kann sein, dass eingesetzte Software-Anwendungen bestimmte Verzeichnisstrukturen erwarten. Auch diese Vorgaben müssen beim Entwurf des Dateisystems beachtet werden.
Aufbau der Verzeichnisstruktur
In der Praxis hat sich als Basis für ein Dateisystem ein vierstufiges System aus Verzeichnistypen bewährt:
- Geschäftsdatenverzeichnis
Das Geschäftsdatenverzeichnis ist die Basis für alle Daten Ihrer Anwender. Es grenzt die Daten von den Daten des Betriebssystems ab.
- Stammverzeichnis
Das Geschäftsdatenverzeichnis enthält eine Reihe von Stammverzeichnissen. Das sind Verzeichnisse, die geschützte Verzeichnisse einer bestimmten Kategorie enthalten, z.B. Abteilungen oder Projekte.
- Organisationsverzeichnis
Ein Stammverzeichnis enthält eine Reihe von Organisationsverzeichnissen. Sie können sich an Organisationseinheiten orientieren, aber auch für andere Daten definiert werden, die besondere Berechtigungen erfordern, z.B. für Installationsordner besonders lizenzierter Software-Anwendungen.
Designtipp: Orientieren Sie sich bei der Definition von Organisationsverzeichnissen an der Aufbauorganisation, d.h. Abteilungen oder Projekte in Ihrem Unternehmen.
- Prozessverzeichnis
Jedes Organisationsverzeichnis kann Prozessverzeichnisse enthalten, die besonders geschützte Bereiche mit eigenen Berechtigungen bilden.
Designtipp: Orientieren Sie sich bei der Definition von Prozessverzeichnissen an der Ablauforganisation, d.h. bestimmter Geschäftsprozesse innerhalb einer Organisationseinheit. Typische Prozessverzeichnisse sind z.B. geschützte Verzeichnisse für Abteilungs- oder Projektleiter.
Die folgende Grafik zeigt Ihnen beispielhaft die verschiedenen Verzeichnistypen. Das Geschäftsdatenverzeichnis D:\Daten enthält die Stammverzeichnisse Archiv, Kunden und Projekte. Die Stammverzeichnisse enthalten ein oder mehrere Organisationsverzeichnisse.
Hinweis: Aus Gründen einer einfachen Darstellung haben wir Prozessverzeichnisse in der Abbildung weggelassen.
Diese Verzeichnistypen können Sie verwenden, um Ihr neues Verzeichnis zu entwerfen und es anschließend mit folgenden Arbeitsschritten einzurichten:
- Erzeugung der Verzeichnisstruktur
- Erzeugung der Benutzergruppen im Active Directory
- Eintragen der Benutzergruppen in die entsprechenden Verzeichnisse
- Kopieren der Daten aus den alten Verzeichnissen in die neuen Verzeichnisse
Mit Hilfe des Parks Authorization Managers (PAM) können Sie diese Arbeitsschritte weitgehend automatisieren. PAM erstellt Ihnen alle Stamm- und Organisationsverzeichnisse, erzeugt die Benutzergruppen und trägt sie in die Verzeichnisrechte ein. Auch eine Kopierfunktion für die Datenmigration steht Ihnen mit PAM zur Verfügung.
Tipps und Tricks
Mit folgenden „Best Practice“-Hinweisen verbessern Sie Ihr neues Dateisystem:
- Verwenden Sie flache Hierarchien für Verzeichnisse mit Berechtigungen
Mehr als vier Ebenen (inkl. Prozessverzeichnisse) sollten Sie aus Gründen der Übersichtlichkeit nicht nutzen.
- Vergeben Sie keine Berechtigungen für Windows-Standardbenutzergruppen im Geschäftsdatenbereich
Wenn Sie z.B. der Gruppe Domänen-Benutzer Rechte geben, hätte jeder neue Anwender sofort Rechte, auch ohne Antragsverfahren. So verlieren Sie schnell den Überblick, welcher Anwender bestimmte Verzeichnisse lesen darf.
Eine Ausnahme ist die Gruppe Domänen-Admins, wenn Sie keine spezielle Administratorengruppe für das Dateisystem einrichten möchten.
- Vergeben Sie keine Berechtigungen an einzelne Anwender
Nur Benutzergruppen sollten berechtigt sein, jeder Gruppe sollten mindestens zwei Mitarbeiter angehören. Dieses 4-Augen-Prinzip schützt Sie vor Problemen im Urlaubsfall oder nach Ausscheiden eines Mitarbeiters aus dem Unternehmen.
Die berühmte Ausnahme von der Regel ist üblicherweise das Home-Verzeichnis des Benutzers.
- Sehen Sie Benutzergruppen als Berechtigungen, nicht als „Benutzerbündel“
Definieren Sie für jedes Organisationsverzeichnis eigene Gruppen, auch wenn diese (in der Praxis ohnehin eher zufällig) die gleichen Benutzer enthalten sollten. So behalten Sie auch ohne aufwendige Analyse immer den Überblick, in welchen Verzeichnissen eine bestimmte Gruppe Berechtigungen besitzt.
- Definieren Sie möglichst wenige Freigaben, nutzen Sie Access Based Enumeration
Vermeiden Sie, die Organisationsverzeichnisse einzeln im Netzwerk freizugeben. Geben Sie besser das Stammverzeichnis mit berechtigungsgenauer Anzeige der Unterverzeichnisse frei. So ändert sich der Zugriff auf die Verzeichnisse für die Anwender einfach durch Veränderung ihrer Benutzergruppen, sie müssen sich keine neuen Freigaben merken.
Fazit
Ein klar und einfach strukturiertes Dateisystem unterstützt Ihre Anwender optimal bei ihrer täglichen Arbeit.
Aus der täglichen Arbeit wissen wir, dass Dateisysteme im Laufe der Jahre nicht mehr so aufgebaut sind, wie es ursprünglich geplant war, und Umstrukturierungen im Unternehmen bzw. veränderte Anforderungen ihre Spuren hinterlassen. Insbesondere, wenn es auch keine dokumentierten Berechtigungsvergaben gibt, ist eine Reorganisation zur Erfüllung von Complicance-Anforderungen sinnvoll.
Beschäftigen Sie sich nicht zu lange mit alten Strukturen, sondern setzen Sie aktiv einen Prozess zur Abbildung der Anforderungen der Anwender auf, organisieren Sie das Dateisystem neu und übertragen Sie die vorhandenen Daten in die neuen Strukturen. Mit dem Parks Authorization Manager (PAM) haben Sie ein Werkzeug, das Ihnen bei der Reorganisation hilft und Ihnen danach in der täglichen Arbeit weiter gute Dienste leisten kann, um die neuen Strukturen auf Dauer zu erhalten.