redoks 2 · 2020. 10. 25. · redoks handbuch redoks 2.x stand: 25.10.2020 seite 1 redoks 2.x...
TRANSCRIPT
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 1
90
ReDoKS 2.x
Revisions-, Dokumentations- und Kontroll-System
Handbuch
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 2
Inhalt 1 Installation und Konfiguration ......................................................................................................... 5
1.1 Voraussetzungen ..................................................................................................................... 5
1.2 Bestandteile (Module) ............................................................................................................. 5
1.3 ReDoKS Version 1.x und 2.x ..................................................................................................... 5
1.4 Installation ............................................................................................................................... 6
1.5 Updates ................................................................................................................................... 7
2 Scans zum Sammeln der Daten ....................................................................................................... 8
2.1 Active Directory Domänen scannen (ScanAD.exe) .................................................................. 9
2.1.1 Scankonfiguration ............................................................................................................ 9
2.1.2 Active Directory Scan manuell durchführen ................................................................. 11
2.1.3 Active Directory Scan automatisiert durchführen ......................................................... 12
2.2 Zugriffsrechte auf Serververzeichnisse scannen (ScanAD.exe) ............................................. 14
2.2.1 Scankonfiguration .......................................................................................................... 14
2.2.2 Serverscan manuell durchführen .................................................................................. 14
2.2.3 Serverscan automatisiert durchführen ......................................................................... 15
2.3 EventLogs scannen (ScanAD.exe) .......................................................................................... 17
2.3.1 Konfiguration ................................................................................................................. 17
2.3.2 Manuelle Ausführung .................................................................................................... 21
2.3.3 Automatische Ausführung ............................................................................................. 22
2.4 Arbeitsplatzdaten scannen (ScanPC.exe) .............................................................................. 23
2.4.1 Manuellen Arbeitsplatzscan durchführen ..................................................................... 23
2.4.2 Automatisierten Arbeitsplatzscan einrichten (klassisches Umfeld) .............................. 25
2.4.3 Automatisierten Arbeitsplatzscan einrichten (FIDUCIA IT-Cloud) ................................. 27
2.4.4 Fehlersuche ................................................................................................................... 32
2.4.5 Alternative „Notfallstrategie“........................................................................................ 32
2.4.6 Arbeitsplatzscan konfigurieren (ScanPcDefs.ini) ........................................................... 33
2.5 An- und Abmeldevorgänge erfassen (TraceLogon.exe) ........................................................ 34
2.5.1 Grundlegende Funktionsweise ...................................................................................... 34
2.5.2 GPO für TraceLogon einrichten ..................................................................................... 35
3 Auswertung der Daten (Prüfung) .................................................................................................. 36
3.1 Daten laden ........................................................................................................................... 36
3.1.1 Ladekonfiguration ......................................................................................................... 36
3.1.2 Beispiel für eine Ladekonfiguration ............................................................................... 37
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 3
3.1.3 Ladeverlauf .................................................................................................................... 39
3.1.4 Definititionsdateien ....................................................................................................... 40
3.2 Scaninfo ................................................................................................................................. 41
4 Das Hauptfenster ........................................................................................................................... 43
4.1 Gemeinsame Bedienelemente der Auswertungsfenster ...................................................... 44
4.1.1 Spaltenauswahl ............................................................................................................. 44
4.1.2 Suche ............................................................................................................................. 46
4.1.3 Gruppierung .................................................................................................................. 46
4.1.4 Filterung......................................................................................................................... 48
4.1.5 Sortierung ...................................................................................................................... 49
4.1.6 Spaltenbreiten ............................................................................................................... 49
4.1.7 Schriftgröße, Schriftart .................................................................................................. 50
4.1.8 Master-Detail-Ansichten ............................................................................................... 50
4.1.9 Spaltenkonfiguration speichern/laden und Verarbeitung ............................................ 50
4.1.10 Export der Tabellendaten .............................................................................................. 52
5 Standardabfragen .......................................................................................................................... 56
5.1 Standardabfragen verwalten ................................................................................................. 56
5.1.1 Standardabfragen modifizieren ..................................................................................... 58
6 Auswertungsfenster ...................................................................................................................... 59
6.1 Container ............................................................................................................................... 60
6.2 Vertrauensstellungen ............................................................................................................ 60
6.3 Server..................................................................................................................................... 60
6.4 Zuordnungen ......................................................................................................................... 62
6.5 Arbeitsplätze.......................................................................................................................... 62
6.5.1 Arbeitsplätze (Einzeldaten) ........................................................................................... 62
6.5.2 Arbeitsplätze (Einzeldaten Hardware) .......................................................................... 63
6.5.3 Arbeitsplätze (Aggregierte Gesamtdaten)..................................................................... 63
6.6 Anmeldedaten (TraceLogon-Daten) ...................................................................................... 65
7 Software und Freigabelisten ......................................................................................................... 68
7.1 Scan installierter Software .................................................................................................... 68
7.2 Erkennung freigegebener Software ...................................................................................... 68
7.3 Darstellung in ReDoKS ........................................................................................................... 69
7.4 Eigene Freigaben vornehmen................................................................................................ 70
7.5 Freigabelisten verwalten ....................................................................................................... 71
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 4
8 Kreuztabellen ................................................................................................................................. 73
8.1 Der Kreuztabellen-Verwaltungsdialog ................................................................................... 73
8.2 Kreuztabellen-Definition ....................................................................................................... 74
8.3 Kreuztabellen erstellen.......................................................................................................... 75
9 Datenexport................................................................................................................................... 78
9.1 Rohdatenexport..................................................................................................................... 78
9.2 EiDo Benutzerlisten ............................................................................................................... 79
9.3 Kopieren in die Zwischenablage ............................................................................................ 79
9.4 Konfigurierter Export von Tabellendaten .............................................................................. 79
10 Die AutoMailer-Funktion ........................................................................................................... 80
10.1 Manueller Versand und Test ................................................................................................. 81
10.2 Automatischer Versand ......................................................................................................... 81
11 Anhang....................................................................................................................................... 82
11.1 Aufrufparameter ................................................................................................................... 82
11.1.1 Aufrufparameter ScanPC.exe ........................................................................................ 82
11.1.2 Aufrufparameter ScanAD.exe ........................................................................................ 82
11.1.3 Aufrufparameter ReDoKS.exe ....................................................................................... 83
11.2 Konfigurationsdateien ........................................................................................................... 84
11.2.1 Konfigrationsdateien ScanPC.exe .................................................................................. 84
11.2.2 Konfigrationsdateien ScanAD.exe ................................................................................. 84
11.2.3 Konfigurationsdateien ReDoKS.exe ............................................................................... 84
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 5
1 Installation und Konfiguration ReDoKS dient zur Erfassung sicherheitsrelevanter Einstellungen in Active Directory Domänen und auf
Arbeitsplätzen, zur Dokumentation der erfassten Daten und zum Abgleich mit definierten
Sicherheitseinstellungen bzw. Regeln.
1.1 Voraussetzungen ReDoKS benötigt folgende Systemvoraussetzungen:
- Das Microsoft .net-Framework 4.6.1 (wird typischerweise automatisch mit dem Windows-
Betriebssystem installiert und aktualisiert)
- Ein Verzeichnis für die Programmdateien
- Ein Verzeichnis für die Datendateien
1.2 Bestandteile (Module) ReDoKS besteht folgenden Einzelkomponenten:
Komponente Erläuterung
ScanPC.exe Dient zur Erfassung (Scan) von Arbeitsplatzdaten. Erstellt für jeden gescannten Arbeitsplatz eine Scandatei mit der Dateiendung *.pcx
ScanAD.exe Dient zur Erfassung (Scan) von Active Directory-Domänendaten und Zugriffsrechten auf Serververzeichnisse. Erstellt für jede gescannte Domäne eine Scandatei mit der Dateiendung *.dom (ReDoKS 1.x) bzw. *.domx (ReDoKS 2.x) und für jeden gescannten Server eine Scandatei mit der Dateiendung *.srv.
ReDoKS.exe Dient zur Darstellung der vom Scan erfassten Dateien (entspricht der Viewer.exe von ReDoKS 1.x)
TraceLogon.exe Dient zur (optionalen) Erfassung von An- und Abmeldevorgängen der Benutzer bzw. Hoch- und Herunterfahren der Arbeitsplätze
1.3 ReDoKS Version 1.x und 2.x Die Einführung der FIDUCIA IT-Cloud bringt eine Reihe von Änderungen mit sich, die umfangreiche
Anpassungen bei ReDoKS erfordern. Dafür wird die neue ReDoKS Version 2.x entwickelt,
insbesondere angepasste Version der ScanAD.exe für den Domänenscan und ein neues
Auswertungsmodul ReDoKS.exe.
Die neue ScanAD.exe ist bereits fertig, im Auswertungsmodul ReDoKS.exe fehlen aber noch Teile der
Funktionalität.
Daher sollte ReDoKS wie folgt genutzt werden (gilt für Scan und Auswertung):
- Für die (alte) R-Domäne
nutzen Sie ReDoKS 2.x – falls eine bisher in 1.x vorhandene Funktion in 2.x noch nicht
verfügbar ist, können Sie alternativ auf ReDoKS 1.x zurückgreifen
- Für die IT-Cloud-Domäne (PB-Domäne)
nutzen Sie die neue Version ReDoKS 2.x
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 6
Anmerkungen:
- Installieren Sie ReDoKS 1.x und 2.x in separate Verzeichnisse
- die Arbeitsplätze gehören zur R-Domäne, die von der ScanPC.exe erzeugten *.pcx-Dateien
sind also zusammen mit der R-Domäne auszuwerten
- für die Einrichtung des automatisierten Scans der Arbeitsplätze mit der ScanPC.exe im IT-
Cloud-Umfeld sind einige Punkte zu beachten (siehe Kapitel 0)
- Sie können die R-Domäne auch mit der neuen ScanAD.exe scannen, im „alten“ Format 1.x
speichern und mit der „alten“ Viewer.exe auswerten, dann werden aber die zugehörigen
*.srv-Dateien mit Serverzugriffsrechten nicht eingelesen. Letztlich empfehle ich, die
Versionen nicht zu mischen.
Hier der aktuelle Entwicklungsstand in der Übersicht:
Komponente Alte Version ReDoKS 1.x Neue Version ReDoKS 2.x
Arbeitsplatzscan ScanPC.exe 1.x ScanPC.exe 2.x
Domänenscan ScanAD.exe 1.x ScanAD.exe 2.x
Auswertungsmodul Viewer.exe 1.x ReDoKS.exe 2.x
1.4 Installation Für die Installation sind folgende Schritte durchzuführen:
1. Kopieren der Programmdateien in das Programmverzeichnis – den Nutzern des Programms
müssen (zunächst) Änderungsrechte auf das Verzeichnis eingeräumt werden.
2. Bereitstellung eines gemeinsamen Datenverzeichnisses. Den Nutzern des Programms müssen
Änderungsrechte (Lesen, Erstellen, Schreiben, Löschen von Dateien) auf das Verzeichnis
eingeräumt werden
3. Eingabe der Lizenzinformationen in der ReDoKS.exe im Menü „?/Lizenzierung“ (RZBK bzw.
Kundennummer und der zugehörige Freischaltcode). Der Lizenzstatus wird in der Titelzeile
des Hauptfensters angezeigt. Die Lizenzdaten werden in verschlüsselter Form in der Datei
„Lizenz“ im Programmverzeichnis gespeichert. Bestehen dort keine Schreibrechte, so werden
die eingegebenen Lizenzdaten nicht gespeichert. Wird die Datei gelöscht, so müssen die
Lizenzdaten neu eingegeben werden.
4. Falls gewünscht, können die Zugriffsrechte auf das Programmverzeichnis nun (nach
Schreiben der Lizenzdatei) auf Lesen/Ausführen eingeschränkt werden. In diesem Fall muss
beim Start der ReDoKS.exe aber stets per Parameter /inidir ein Verzeichnis angegeben
werden, in dem Einstellungsdateien (siehe 11.2.3) gespeichert werden (sonst wird versucht,
diese aus dem Programmverzeichnis zu laden und dort wieder zu speichern)
Außerdem müssen verschiedene Unterverzeichnisse (Layout-, Template- und
Exportverzeichnis etc.) ggf. entweder gesondert mit Änderungsrechten versehen oder über
die Programmeinstellungen auf andere Pfade verlegt werden.
5. Anpassung der Programmeinstellungen an die eigenen Wünsche
6. Einrichtung des Scans für Arbeitsplätze (siehe Kapitel 0) und Domänen (Kapitel 2.1)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 7
1.5 Updates Auf der Website www.jenswerstein.de steht die jeweils aktuelle Programmversion zum Download
bereit. Die Versionsnummer der verwendeten Version wird rechts unten im Hauptfenster angezeigt.
Für das Update genügt es, das heruntergeladene zip-File zu entpacken und den Inhalt in das
Programmverzeichnis zu kopieren.
http://www.jenswerstein.de/
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 8
2 Scans zum Sammeln der Daten Die mit dem ReDoKS Viewer dargestellten und verarbeiteten Daten müssen zunächst mit Hilfe der
Scanmodule ermittelt werden:
- ScanAD.exe: erfasst Active Directory Daten und Zugriffsrechte auf Serververzeichnisse
- ScanPC.exe: erfasst Arbeitsplatzdaten
- TraceLogon.exe: zur (optionalen) Erfassung von An- und Abmeldevorgängen
Im FIDUCIA-Umfeld ist Folgendes zu beachten:
- Der Scan der R-Domäne (und zugehöriger Server) wird am Besten vom normalen Admin-AP
aus (der zur R-Domäne gehört) vorgenommen
- Der Scan der IT-Cloud-Domäne (und des FileService) wird am Besten von einem PaaS aus
vorgenommen.
Das liegt daran, dass keine Vertrauensstellung zwischen R-Domäne und IT-Cloud-Domäne
besteht – dadurch würden bei einem Scan vom Admin-AP aus die SIDs in ACLs auf den
FileService nicht aufgelöst werden (auf den Domänenscan der IT-Cloud-Domäne hat das
keinen Einfluss). Ein Teil der SIDs kann von ReDoKS substituiert werden, aber eben nur ein
Teil.
- Vergleichbares gilt für andere Domänen (z.B. bn-its Private Inhouse Cloud), wenn keine
Vertrauensstellung besteht.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 9
2.1 Active Directory Domänen scannen (ScanAD.exe)
2.1.1 Scankonfiguration
Die zu scannenden Domänen müssen zunächst in der Scankonfiguration hinterlegt werden.
Beim ersten Start werden einige Konfigurationseinträge automatisch angelegt:
- Beim Start auf einem zur FIDUCIA R-Domäne gehörenden Arbeitsplatz werden Einträge für
die FIDUCIA R-Domäne und die IT-Cloud-Domäne bereits automatisch angelegt.
- Beim Start auf einem zur FIDUCIA IT-Cloud-Domäne gehörenden Computer (insbesondere
PaaS) wird ein Eintrag für die IT-Cloud-Domäne automatisch angelegt
- Generell wird ein Eintrag für die Standarddomäne (d.h. die Domäne zu welcher der
Computer gehört) automatisch angelegt. Das kann sich mit den o.g. Einträgen
überschneiden.
Der Eintrag für die IT-Cloud muss für einen funktionierenden Scan aber noch ergänzt werden: Hier ist
eine User-ID mit Kennwort einzutragen, mit welcher der Scan durchgeführt werden soll (d.h. dieses
Account muss in der IT-Cloud existieren).
Die vordefinierten Einträge können nach Belieben ergänzt, verändert oder gelöscht werden. Die
Speicherung der Scankonfiguration erfolgt in der Datei DomDefs.ini. Löscht man diese Datei, so
werden beim nächsten Start die Standardeinträge wieder angelegt (siehe 11.2.2).
Für jeden Konfigurationseintrag können folgende Einstellungen festgelegt werden:
Scandefinitionen
editieren
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 10
Einstellung Erläuterung
Anzeigename Bezeichnung in der Domänenauswahl
Domänenname (NetBios-)Name der Domäne (z.B. ‚pb‘ oder ‚R0815‘. Fehlt die Angabe, so wird die Standarddomäne des Arbeitsplatzes verwendet.
LDAP-Server Der Name der zu scannenden Domäne oder eines Domain Controllers/LDAP-Servers der Domäne. Falls die DNS-Namensauflösung für diese Namen nicht funktioniert kann auch die IP-Adresse eines Servers direkt angegeben werden. Fehlt der Eintrag, so wird die Domäne gescannt, zu welcher der Arbeitsplatz gehört auf dem der Scan läuft.
User-ID Benutzer-Account, mit dem die AD-Abfrage durchgeführt wird. Dieses Account muss aus der gescannten Domäne stammen oder aus einer Domäne, die über eine Vertrauensstellung mit der gescannten Domäne verbunden ist. Fehlt der Eintrag, so wird der Scan mit den Rechten des angemeldeten Benutzers durchgeführt.
Passwort Zugehöriges Kennwort zur angegebenen User-ID. Das Kennwort wird nicht angezeigt und verschlüsselt gespeichert
Passwort abfragen Bestimmt, ob das User-ID und Kennwort vor jedem Scan abgefragt werden sollen. Ggf. konfigurierte Werte werden dann als Vorgabewerte des Abfragedialogs verwendet. Diese Option ist insbesondere dann nützlich, wenn das verwendete Kennwort regelmäßig geändert werden muss. Anmerkung: Bei einem bedienerlosen Scan (Aufruf mit dem Parameter /nogui) wird die Option ignoriert.
Authentifikation Wenn Sie unsicher sind bei der Wahl der Authentifikationsmethode, dann treffen Sie keine Auswahl. Es wird dann die sichere Authentifikation über Kerberos/NTLM verwendet.
Sync DCs Abgleich nicht replizierter Attribute über alle Domain Controller
Anmerkungen zum FIDUCIA-Umfeld
- Für die R-Domäne muss kein Eintrag bei LDAP-Server/Domäne/User-ID/Passwort erfolgen
wenn der Scan von einem AP aus erfolgt (die Arbeitsplätze der Bank sind Teil der Domäne
und die Anmeldung erfolgt auch dort). Die Option zum Abgleich nicht replizierter Attribute
sollte verwendet werden, da die R-Domäne mehrere Domain Controller enthält.
Wenn der Scan von einem PaaS aus erfolgt, dann müssen auch für die R-Domäne in den
Feldern Einträge vorgenommen werden, da der PaaS zur IT-Cloud-Domäne gehört.
- Für die IT-Cloud-Domäne ist als LDAP-Server der Name der Domäne (pb.rz.in.gad.de)
eingetragen, der über DNS-Auflösung in einen gültigen Servernamen aufgelöst wird, der
NetBios-Domänenname ist ‚pb‘. Es muss noch ein User-Account mit Kennwort aus der IT-
Cloud-Domäne angegeben werden, da die Anmeldung am Bankarbeitsplatz in der R-Domäne
erfolgt und keine Vertrauensstellung zwischen der R-Domäne und der IT-Cloud-Domäne
besteht.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 11
2.1.2 Active Directory Scan manuell durchführen
Bei Start der ScanAD.exe wird unmittelbar der Scandialog geöffnet. Dort sind folgende
Bedienelemente verfügbar:
Element Erläuterung
Domäne scannen (Schaltfläche)
Startet den Scan der ausgewählten Active Directory Domäne
Domäne scannen (Combobox)
Auswahl der zu scannenden Domäne. Die rechts angeschlossene Schaltfläche öffnet einen Editierdialog zur Verwaltung der Einträge (siehe Kapitel 2.1.1)
Zugehörige Server scannen
Regelt, ob im Anschluss an den Domänenscan automatisch die der gescannten Domäne zugeordneten Server ebenfalls gescannt werden sollen
Scanergebnis speichern in
Speicherverzeichnis für das Scanergebnis (standardmäßig das Programmverzeichnis). Die rechts angeschlossene Schaltfläche öffnet einen Verzeichnisauswahldialog. Wenn im Ladedialog des Auswertungsmoduls bereits eine Ladekonfiguration hinterlegt wurde (siehe Kap. 3.1.1), dann wird das zugehörige Unterverzeichnis eingetragen sobald eine zu scannende Domäne gewählt wird, deren Domänen- oder Anzeigename so heißt wie das Unterverzeichnis. Wird kein passendes Unterverzeichnis gefunden, so wird das Dachverzeichnis aus der Ladekonfiguration verwendet. Anmerkung: Das Speicherverzeichnis kann auch über den Aufrufparameter /t gesetzt werden
Dateinamensmuster Ermöglicht die Angabe eines Namensmusters für die Ergebnisdatei. Standardmäßig wird der Domänenname verwendet, was dazu führt, dass jeder Scan den vorangegangenen überschreibt. Ist dies nicht gewünscht, so kann ein Muster mit Datumsplatzhaltern verwendet werden. Zulässige Platzhalter sind {dom} – Domänenname {tt} - Tag des aktuellen Datums {mm} – Monat des aktuellen Datums {jj} –Jahr des aktuellen Datums Beispiel: „Scan_{tt}-{mm}-{jj}.dom“ erzeugt z.B. „Scan_23-01-2019.dom“ Anmerkung: Das Dateinamensmuster kann auch über den Aufrufparameter /f gesetzt werden (wenn Leerzeichen darin vorkommen, muss der Wert aber in Anführungszeichen gesetzt werden, etwa /f:“Scan {dom}“). Außerdem ist zu beachten, dass das Dateinamensmuster keine in Dateinamen unzulässigen Zeichen (z.B. „\“ oder „:“) enthalten darf.
Speicherformat Bestimmt das Speicherformat, in dem die gescannten Domänendaten abgelegt werden. Zur Auswahl stehen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 12
- ReDoKS Version 1.x (*.dom) das „alte“ Speicherformat, das mit der Viewer.exe eingelesen werden kann
- ReDoKS Version 2.x (*.domx) das „neue“ Speicherformat, das mit der ReDoKS.exe eingelesen werden kann
Es kann auch eine Speicherung in beiden Formaten ausgewählt werden, dann werden zwei Dateien erzeugt.
Über die Schaltfläche „Domäne scannen“ wird der Domänenscan ausgelöst. Der Scanverlauf wird in
einem Textlog protokolliert. Das Verlaufslog wird auch automatisch in Dateiform gespeichert (der
Dateiname entspricht dem der Scandatei mit der Endung *.log).
Rechts über dem Logfenster gibt es zwei kleine Schaltflächen, mit denen das Log in die
Zwischenablage kopiert und das Verzeichnis mit den Scandateien im Explorer geöffnet werden kann:
Anmerkung:
Die in der Oberfläche vorgenommenen Einstellungen bei Speicherverzeichnis, Dateinamensmuster,
Speicherformat und Optionen werden in der Datei ScanAD.ini gespeichert (siehe 11.2.2). Bei
Änderung dieser Einstellungen wird beim Verlassen des Programms gefragt, ob eine Speicherung
erfolgen soll.
2.1.3 Active Directory Scan automatisiert durchführen
Der Active Directory Scan kann auch bedienerlos erfolgen – dazu müssen vom Standard abweichende
Einstellungen per Aufrufparameter eingestellt werden. Ein Scan per Skriptaufruf ist beispielsweise für
die Erstellung turnusmäßiger Scans für Vergleichs- oder Dokumentationszwecke hilfreich.
Der Aufrufparameter /nogui unterdrückt die Graphische Benutzeroberfläche und führt den Scan
bedienerlos aus. Mit /dom:{Domänenname} wird die zu scannende Domänenkonfiguration
ausgewählt (es werden alle Domänen gescannt, in deren Konfigurationsname der angegebene Begriff
vorkommt.
Wenn etwa die die Domänen „FIDUCIA IT-Cloud-Domäne“ und „Standardomäne (R-Domäne)“
definiert sind, dann kann die Auswahl z.B. mit /dom:IT-Cloud oder /dom:R-Domäne erfolgen. Ein
Scanverzeichnis öffnen
Log in die Zwischenablage kopieren
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 13
Aufruf mit /dom:domäne scannt beide Domänen (und /dom:* scannt stets alle definierten
Domänen).
Eine vollständige Auflistung der Parameter finden Sie im Anhang (siehe Kapitel 11.1.2).
Beispielaufrufe:
// alle definierten Domänen scannen
ScanAD.exe /nogui /dom:*
// IT-Cloud-Domäne scannen
ScanAD.exe /notui /dom:it-cloud
// zusätzlich Speicherverzeichnis (Q:\Scans) und Dateimuster angeben
ScanAD.exe /nogui /t:Q:\Scans /f:Scan_{mm}-{jj}.dom
Beachten Sie, dass beim bedienerlosen Scan keine Passwortabfrage erfolgt, auch wenn diese für die
gescannte Domäne konfiguriert ist.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 14
2.2 Zugriffsrechte auf Serververzeichnisse scannen (ScanAD.exe)
2.2.1 Scankonfiguration
Der Scan von Zugriffsrechten auf Serververzeichnisse erfolgt in der Rubrik Serverscan der
ScanAD.exe.
Ähnlich wie beim Domänenscan muss auch hier eine Konfiguration für jeden Server angelegt werden.
Folgende Konfigurationseinträge sind vorzunehmen:
Einstellung Erläuterung
Servername Der Name des Servers (ohne vorangestellter Doppelbackslash), also z.B. „FS0815“ oder „fis.i0815.pb.rz.bankenit.de“
Zugehörige Domäne Name der Domänenkonfiguration der Domäne, zu welcher der Server gehört. Diese Angabe ist wichtig, wenn für den Scan der Domäne bzw. der zugehörigen Server die konfigurierte User-ID mit Passwort verwendet werden soll oder wenn mit der Domäne auch die zugeordneten Server gescannt werden sollen.
Freigabename mit Verzeichnistiefe
Es sind die zu scannenden Freigaben (Shares) des Servers anzugeben (z.B: „C$“, „GROUPDATA“ oder „inst_0815“) zusammen mit der Verzeichnistiefe. Die Verzeichnistiefe gibt die Anzahl der Verzeichnisebenen unterhalb der Freigabe selbst an, für welche Zugriffsrechte ermittelt werden. Eine hohe Verzeichnistiefe lässt die Scandaten stark anwachsen und ist nur sinnvoll, wenn in der entsprechenden Verzeichnisebene auch tatsächlich noch Zugriffsrechte administriert werden. In der Regel sollte eine Verzeichnistiefe von 2-3 ausreichend sein.
Für den Scan vorselektieren
Gibt an, dass der betreffende Server bei Programmstart für den Scan vorausgewählt ist (d.h. bei Klick auf „Server scannen“ wird er im Scan eingeschlossen, wenn die Auswahl nicht verändert wurde.
Anmerkung:
In der FIDUCIA IT-Cloud heißt der Server in der Regel „fis.i0815.pb.rz.bankenit.de“ und die Freigabe
„inst_0815“ (wobei „0815“ durch die passende RZBK zu ersetzen ist).
Die Speicherung der Scankonfiguration erfolgt in der Datei SrvDefs.ini (siehe 11.2.2).
2.2.2 Serverscan manuell durchführen
Zur manuellen Durchführung eines Serverscans sind zunächst in der Rubrik „Serverscan“ die
gewünschten Server in der Liste auszuwählen. Die Standardauswahl der Server nach Programmstart
wird durch die Option „für den Scan vorselektieren“ in der Scankonfiguration der Server festgelegt.
Über die Schaltfläche „Server scannen“ wird der Scan dann ausgelöst. Ist für einen Server die
zugehörige Domänenkonfiguration spezifiziert, so erfolgt der Scan mit den dort hinterlegten Angaben
(User-ID/Passwort, ggf. Passwortabfrage). Ansonsten wird mit den Berechtigungen des
angemeldeten Benutzers gescannt.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 15
Das Scanergebnis wird in einer Datei mit dem Namen des Servers und Endung „*.srv“ im
angegebenen Scanverzeichnis gespeichert, der genaue Name ist vom in der Rubrik „Domänenscan“
gewählten Speicherformat abhängig:
Einstellung Dateiname
Speicherformat ReDoKS 1.x {Servername}.srv, also z.B. „FS0815.srv“
Speicherformat ReDoKS 2.x {Domänenname}#{Servername}.srv, also z.B. „pb.fis.i0815.bankenit.de.srv“
Speicherformat ReDoKS 2.x und Option „Dateiname mit Datum“
{Domänenname}#{Servername}#{Datum}.srv, also z.B. „pb.fis.i0815.bankenit.de#02.09.2019.srv“
Die Checkbox „Dateiname mit Datum“ befindet sich direkt unter der Anzeige des Scanstatus auf der
rechten Seite und regelt, ob im Speicherformat für ReDoKS 2.x das Datum in den Dateinamen mit
aufgenommen wird. Das verhindert, dass an unterschiedlichen Tagen ausgeführte Scans sich nicht
gegenseitig überschreiben.
Der Scanverlauf wird in einem Textlog protokolliert. Das Verlaufslog wird auch automatisch in
Dateiform gespeichert (der Dateiname entspricht dem der Scandatei mit der Endung *.log).
Treten werden des Scans Fehler auf, so werden diese nicht nur im normalen Verlaufslog, sondern
zusätzlich in der Scanstatus-Statistik angezeigt. Durch Klick auf die (rote) Fehlerzahl oder die
Schaltfläche „Error-Log anzeigen“ in der rechten oberen Ecke des Verlaufslogs kann ein gesonderter
Dialog zur Fehleranzeige geöffnet werden. Dort stehen auch (wie beim Domänenscan) Schaltflächen
für das Kopieren des Logs in die Zwischenablage und das Öffnen des Scanverzeichnisses bereit.
Typische Fehlerursache sind z.B. mangelnde Zugriffsrechte auf einzelne Verzeichnisbereiche etc.
Wichtig:
Wenn der Serverscan von einem Arbeitsplatz aus ausgeführt wird, der nicht zu der Domäne des
Servers gehört und zwischen den Domänen des AP und des Servers keine Vertrauensstellung besteht,
dann können die SIDs aus den ACLs der Serververzeichnisse nicht in Namen aufgelöst werden. Diese
Konstellation sollten Sie daher vermeiden.
Im FIDUCIA-Umfeld kommt das vor, wenn Sie den zur IT-Cloud gehörigen FileService von einem zur R-
Domäne gehörigen Arbeitsplatz aus scannen. Führen Sie den Scan besser von einem PaaS aus durch.
2.2.3 Serverscan automatisiert durchführen
Wie der bedienerlose Domänenscan wird auch der Serverscan über Parameter gesteuert. Der
Aufrufparameter /nogui unterdrückt die Graphische Benutzeroberfläche und führt den Scan
bedienerlos aus. Mit /srv:{Server1,Server2…} werden die zu scannenden Server angegeben.
Diese können entweder explizit aufgeführt werden oder es können mit „/srv:*“ alle Server bzw. mit
„/srv:+“ alle für den Scan vorselektierten Server ausgewählt werden.
Eine vollständige Auflistung der Parameter finden Sie im Anhang (siehe Kapitel 11.1.2).
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 16
Beispielaufrufe:
// alle definierten Server scannen
ScanAD.exe /nogui /srv:*
// nur Server FS0815 und FS2301 scannen
ScanAD.exe /nogui /srv:fs0815,fs2301
// eine Domäne und vorselektierte Server scannen
ScanAD.exe /nogui /dom:R0815 /srv:+
// eine Domäne und die dieser Domäne zugeordneten Server scannen
ScanAD.exe /nogui /dom:R0815 /srv:#
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 17
2.3 EventLogs scannen (ScanAD.exe) ReDoKS kann EventLogs auslesen, filtern und Reports über die gefundenen Einträge an konfigurierte
email-Empfänger senden. Die entsprechenden Funktionen sind im Modul ScanAD.exe umgesetzt.
2.3.1 Konfiguration
Die Konfiguration erfolgt in der Rubrik „Ereignisanzeige“ in der ScanAD.exe.
Es können dort mehrere Konfigurationen für das Auslesen von EventLogs angelegt werden, die später
manuell oder per Aufruf von der Kommandozeile aus ausgeführt werden können.
In der Toolbar stehen dazu folgende Funktionen bereit:
Funktion Erläuterung
Neu Eine neue Konfiguration anlegen (mit gedrückter Strg-Taste: neue Konfiguration als Kopie der ausgewählten Konfiguration anzeigen
Auswahlliste Zur Auswahl der aktuellen Konfiguration
Speichern Speichert Änderungen an der aktuellen Konfiguration (Änderungen verfallen, wenn ohne Speichern eine andere Konfiguration ausgewählt wird)
Löschen Löscht die ausgewählte Konfiguration
Ausführen Führt die aktuelle Konfiguration aus, d.h. die EventLogs werden wie konfiguriert ausgelesen und gefiltert. Bei gedrückter Strg-Taste erfolgt auch der Versand der emails wie konfiguriert.
Zugangsdaten Festlegung der email-Zugangsdaten (siehe Kapitel 0)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 18
Bestandteile der EventLog-Konfiguration
Für jede Konfiguration werden folgende Eigenschaften festgelegt:
Eigenschaft Erläuterung
Name Unter diesem Namen wird die Konfiguration von der Kommandozeile aus angesprochen, außerdem wird der Name als Bestandteil der Dateinamen für angehängte Reportdateien verwendet. Der Name darf daher keine in Dateinamen verbotenen Zeichen enthalten (und Leerzeichen sind auch nicht empfehlenswert).
Aktiv Ermöglicht den Ausschluss bestimmter Konfigurationen beim Start über die Kommandozeile (wenn dort mit „*“ alle aktiven Konfigurationen ausgeführt werden)
Beschreibung Wird in als Text im „Betreff“ der erzeugten emails verwendet
Anhänge Bestimmt, in welchem Format die EventLog-Daten an die emails angehängt werden
EventLog-Daten
Serverliste Hier werden die Server ausgewählt, deren EventLogs ausgelesen werden sollen. Die Server müssen in der Rubrik „Serverscan“ angelegt werden (wenn nur EventLogs ausgelesen werden sollen, dann müssen dabei nur die Servernamen angegeben werden, aber keine Freigaben).
EventLogs Auswahl der EventLogs, die ausgelesen werden sollen. Zur Auswahl stehen
- Application (Anwendung) - System (System) - Security (Sicherheit)
Wichtig: Insbesondere bei automatisierter Ausführung von der Kommandozeile ist darauf zu achten, dass der verwendete Sicherheitskontext auch das Zugriffsrecht auf diese EventLogs hat (speziell bei „Security“ ist das typischerweise eingeschränkt)
Eintragszahl begrenzen auf…
Wenn ausgewählt, dann wird die Auswertung nur auf die jüngsten Einträge in der angegebenen Zahl (pro EventLog, vor Filterung) begrenzt. Da EventLogs sehr umfangreich sein können, ist es ratsam, hier eine sinnvolle Begrenzung vorzunehmen
Alter (Tage) begrenzen auf…
Wenn ausgewählt, dann wird die Auswertung auf Einträge bis zu dem angegebenen Maximalalter in Tagen begrenzt. Da EventLogs sehr umfangreich sein können, ist es ratsam, hier eine sinnvolle Begrenzung vorzunehmen. Wenn der Abruf ohnehin in festgelegten Intervallen automatisch erfolgt (z.B. täglich oder wöchentlich), dann ist dieses Intervall ein praktischer Wert.
Vorabfilterung
Event-IDs Berücksichtigt nur die angegebenen Event-IDs. Es können beliebig viele durch Komma getrennte Einzelwerte oder Bereiche angegeben werden. Beispiel: 1000-2000,2956,5914,8000- Die Option „Negieren (umkehren)“ kehrt die Auswahl um, d.h. es werden alle EventIDs außer den angegebenen erfasst.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 19
Zeiten Berücksichtigt nur Events, die zu den angegebenen Zeiten aufgetreten sind. Es können beliebig viele Zeiten durch Komma getrennt angegeben werden. Eine Zeitangabe besteht dabei aus einem Wochentag als Einzelwert („Mo“) oder Bereich („Mo-Fr“) und/oder einem Zeitraum als Bereich („8:30-17:00“). Die Zeit selbst kann in Stunden („8-18“) oder Stunden und Minuten („8:15-17-10“) angegeben werden. Wochentag und Zeit werden durch ein Leerzeichen getrennt.
- Fehlt die Angabe des Wochentags, so gilt die Angabe für alle Wochentage („10-12“ ist gleichbedeutend mit „Mo-So 10-12“)
- Fehlt die Angabe der Zeit, so gilt die Angabe für alle Zeiten („Sa-So“ ist gleichbedeutend mit „Sa-So 0-24“)
Beispiel: Mo-Do 8:00-17:30,Fr 8-13 Die Option „Negieren (umkehren)“ kehrt die Auswahl um, d.h. es werden alle Zeiträume außer den angegebenen erfasst.
Benutzer Berücksichtigt nur Events der angegebenen Benutzer (Angabe als Kommagetrennte Liste). Die Option „Negieren (umkehren)“ kehrt die Auswahl um, d.h. es werden alle Benutzer außer den angegebenen erfasst.
Konfiguration der email-Zugangsdaten
Der Konfigurationsdialog wird über die Schaltfläche „Zugangsdaten“ in der Rubrik „Ereignisanzeige“
geöffnet.
Hier sind die Zugangsdaten zu hinterlegen, die für den Versand von emails erforderlich sind.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 20
Im Einzelnen sind folgende Einstellungen vorzunehmen:
Einstellung Erläuterung
Smtp-Server Der DNS-Name oder die IP-Adresse des smtp-Servers (oder Notes-Servers mit aktiviertem smtp-Dienst)
Email-Account Das email-Account (Adresse) zur Authentifikation gegenüber dem smtp-Server. Amerkung: Die meisten smtp-Server sind so konfiguriert, dass sie keine anonyme Einlieferung von emails zum Versand akzeptieren – daher muss dann ein auf dem smtp-Server vorhandenes email-Account angegeben werden. Das Account erscheint aber nicht als Absender der email.
Email-Passwort Üblicherweise genügt die Angabe eines gültigen email-Accounts zum Versand von emails – sollte der smtp-Server aber eine vollständige Authentifikation fordern, dann muss das zugehörige Kennwort angegeben werden.
Email-Absender Die hier angegebene email-Adresse erscheint als Absender der emails. Sie muss nicht existieren, die Angabe muss aber die Form einer email-Adresse haben und sollte zweckmäßigerweise auf die Herkunft der email hinweisen.
Email CC Die hier angegebenen Empfänger (mehrere email-Adressen mit Komma trennen) werden bei allen emails in das CC-Feld eingetragen, d.h. eine Kopie der email wird an dieses Postfach versandt. Das kann beispielsweise genutzt werden, um die von ReDoKS versandten emails zentral zu archivieren.
Email BCC Die hier angegebenen Empfänger (mehrere email-Adressen mit Komma trennen) werden bei allen emails in das BCC-Feld eingetragen, d.h. eine Kopie der email wird an dieses Postfach versandt, ohne dass dies für die anderen Empfänger sichtbar wird. Das kann beispielsweise genutzt werden, um die von ReDoKS versandten emails zentral zu archivieren.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 21
2.3.2 Manuelle Ausführung
Bei manueller Ausführung kann der Verlauf im Log nachvollzogen werden. Die (gefilterten)
Abfrageergebnisse können dann unter der Rubrik „Einträge“ untersucht werden.
Die Listeneinträge können nach belieben Spalten gruppiert, sortiert oder weiter gefiltert werden.
Zwischen dem oberen Bereich mit der Konfiguration und dem unteren mit Log und Eintragsliste
befindet sich eine Trennlinie, die mit der Maus verschoben werden kann.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 22
2.3.3 Automatische Ausführung
Zur automatischen Ausführung des EventLog-Scans wird die ScanAD.exe mit den Parametern /nogui
und /el aufgerufen. Der Parameter /nogui bewirkt, dass die Anzeige der Benutzeroberfläche
unterdrückt wird (und der Vorgang bedienerlos abläuft). Über den Parameter /el werden die
gewünschten EventLog-Konfigurationen festgelegt, die ausgeführt werden sollen.
Beispiel 1: elcfg1 und elcfg2 ausführen
ScanAD.exe /nogui /el:elcfg1,elcfg2
Beispiel 2: alle aktiven Konfigurationen ausführen
ScanAD.exe /nogui /el:*
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 23
2.4 Arbeitsplatzdaten scannen (ScanPC.exe) Der Arbeitsplatzscan erfolgt über das Programm ScanPC.exe. Die Konfiguration ist in Kapitel 2.4.6
beschrieben.
Benötigt wird für den Scan nur die ScanPC.exe und ggf. die Einstellungsdatei ScanPcDefs.ini (fehlt
diese, so werden Standardeinstellungen verwendet).
Das Scanergebnis wird in einer Datei .pcx abgelegt (standardmäßig in dem
Verzeichnis, in dem die ScanPC.exe liegt, falls kein abweichendes Verzeichnis konfiguriert ist).
Da nur jeweils der Arbeitsplatz gescannt wird, an dem die ScanPC.exe aufgerufen wird richtet man in
der Regel einen automatischen Aufruf auf allen Arbeitsplätzen z.B. per GPO ein. Der manuelle Aufruf
der ScanPC.exe an einem Arbeitsplatz wird typischerweise nur zur Einzelerfassung von Standalone-
Arbeitsplätzen oder zur Fehlersuche verwendet.
2.4.1 Manuellen Arbeitsplatzscan durchführen
Beim Aufruf der ScanPC.exe ohne den Parameter /nogui (z.B. durch Doppelklick) wird eine
graphische Oberfläche gestartet.
Scankonfiguration speichern
(in ScanPcDefs.ini)
Schnellzugriff auf Programm-
und Datenverzeichnis
Info: Benutzer- und PC-Name
Scan starten
Speicherverzeichnis wählen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 24
Nach Start des Scans über die Schaltfläche „Scannen“ werden zwei weitere Rubriken eingeblendet, in
denen der Scanverlauf abgebildet wird:
Warnung
Nicht für den Scan aus-
gewählte Komponenten
Details zur Warnung oben (für
den Zugriff auf S.M.A.R.T-Daten
sind Admin-Rechte erforderlich)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 25
2.4.2 Automatisierten Arbeitsplatzscan einrichten (klassisches Umfeld)
Prinzipiell muss dafür gesorgt werden, dass die ScanPC.exe mit den passenden Parametern
regelmäßig an allen Arbeitsplätzen aufgerufen wird. Welcher Mechanismus dafür verwendet wird, ist
zweitrangig – ebenso, ob die ScanPC.exe aus einem Verzeichnis im Netzwerk oder einem lokalen
Verzeichnis aufgerufen wird. Nachfolgend wird zunächst eine für das klassische FIDUCIA-Umfeld
passende Vorgehensweise beschrieben, danach die für die FIDUCIA IT-Cloud zu beachtenden
Besonderheiten.
Schritt 1: Programm- und Datenverzeichnis einrichten
1. Richten Sie ein Programmverzeichnis im Netzwerk ein, das von allen Arbeitsplätzen aus
zugänglich ist. Auf dieses Verzeichnis muss die Gruppe Domänencomputer zumindest die
Rechte Lesen und Ausführen haben.
2. Kopieren Sie die ScanPC.exe in das Verzeichnis (Sie können auch alle anderen ReDoKS-
Dateien dort halten falls gewünscht)
3. Richten Sie ein Datenverzeichnis im Netzwerk ein, das von allen Arbeitsplätzen aus
zugänglich ist. Auf dieses Verzeichnis muss die Gruppe Domänencomputer Änderungsrechte
haben.
Schritt 2: GPO mit Startskript anlegen
1. Legen Sie eine neue Group Policy an oder modifizieren Sie eine bestehende. Damit alle
Arbeitsplätze erfasst werden, müssen die Computeraccounts der Arbeitsplätze im
Wirkungsbereich des GPO liegen. Im FIDUCIA-Umfeld verknüpft man das GPO daher
zweckmäßigerweise mit OU=Clients, OU=Admin-Root, OU=R…
2. Unter Computerkonfiguration/Windows-Einstellungen/Skripts können Sie nun ein Skript
eintragen, das beim Starten des Computers ausgeführt wird. Der Name des Skripts kann
beliebig gewählt werden, z.B. ReDoKS.cmd.
3. Das Skript muss nun unter dem gewählten Namen im passenden Unterverzeichnis des
SYSVOL-Shares angelegt werden. Über die Schaltfläche Dateien anzeigen… können Sie das
richtige Verzeichnis direkt im Explorer öffnen.
4. Legen Sie nun das Startskript an – dieses muss den Aufruf der ScanPC.exe enthalten,
typischerweise könnte das etwa wie folgt aussehen:
start \\FS0815\PROG\ReDoKS\ScanPC.exe /nogui / t:\\FS0815\GROUPDATA\Scans
Anmerkungen:
- Der Parameter /nogui sorgt dafür, dass der Scan im Hintergrund ohne Anzeige eines Fensters
abläuft
- Mit dem Parameter /t: wird das Verzeichnis angegeben, in dem die
Ergebnisdatei abgelegt werden soll
- Eine Liste aller gültigen Aufrufparameter finden Sie im Anhang
- Der Start-Befehl wird benötigt, damit der Anmeldevorgang nicht auf den Abschluss des Scans
wartet
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 26
- Wenn der Aufrufpfad Leerzeichen enthält, dann muss er in Anführungszeichen
eingeschlossen werden. Dann aber muss dem Aufrufpfad ein Fenstertitel in
Anführungszeichen vorangestellt werden, da das Start-Kommando das erste in
Anführungszeichen gestellte Argument immer als Fenstertitel interpretiert. Beispiel:
Start „FensterTitel“ \\FS0815\PROG\Mein Verzeichnis\ScanPC.exe /nogui …
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 27
2.4.3 Automatisierten Arbeitsplatzscan einrichten (FIDUCIA IT-Cloud)
Prinzipiell muss dafür gesorgt werden, dass die ScanPC.exe mit den passenden Parametern
regelmäßig an allen Arbeitsplätzen aufgerufen wird. Welcher Mechanismus dafür verwendet wird, ist
zweitrangig – ebenso, ob die ScanPC.exe aus einem Verzeichnis im Netzwerk oder einem lokalen
Verzeichnis aufgerufen wird. Nachfolgend wird eine passende Vorgehensweise für die FIDUCIA IT-
Cloud-Umgebung beschrieben.
Im Beispiel werden die Pfade am für die RZBK 0815 dargestellt. Sie müssen diese natürlich auf Ihre
RZBK entsprechend anpassen.
Verwendung der Installationshilfe für Schritt 1+2:
Die ersten zwei der nachfolgend beschriebenen Schritte (Verzeichnisse einrichten und Startskript
anlegen) können Sie auch mit der Installationshilfe vornehmen, die in die ScanPC.exe integriert ist.
Die letzten beiden Schritte (GPO anlegen und AppLocker-Freischaltung) müssen Sie allerdings auch
dann selbst manuell vornehmen.
Die Installationshilfe finden Sie in der Rubrik „Installation“ der ScanPC.exe:
In der Installationshilfe stehen zwei Funktionen zur Verfügung:
Funktion Erläuterung
Installation überprüfen
Überprüft die einzelnen Schritte der Installation und zeigt für jeden Punkt gefundene Abweichungen an, verändert aber nichts
Installieren Führt die Installation durch bzw. ergänzt fehlende Schritte
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 28
Schritt 1: Programm- und Datenverzeichnis einrichten
Wir benötigen ein Programm- und ein Datenverzeichnis im Netzwerk, auf das alle Arbeitsplätze
bereits beim Hochfahren Zugriff haben. Im FileService der FIDUCIA sind für den Pfad zentral\rz\BMT
bereits Zugriffsrechte für die Domänencomputer der R-Domäne vergeben. Wenn Sie einen anderen
Pfad verwenden möchten, dann müssen Sie dort Änderungsrechte für die Domänencomputer der R-
Domäne administrieren lassen.
1. Richten Sie ein Programmverzeichnis „ReDoKS“ unter dem BMT-Pfad im Netzwerk ein.
Vollständiger Pfad: \\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS
2. Kopieren Sie die Datei ScanPC.exe in das Verzeichnis
3. Richten Sie ein Datenverzeichnis ein – zweckmäßigerweise als Unterverzeichnis des
Programmverzeichnisses, z.B. mit dem vollständigen Pfad
\\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS\Scandaten
Schritt 2: Startskript anlegen
Das Startskript soll beim Hochfahren der Computer die ScanPC.exe aufrufen
1. Erzeugen Sie ein Skript mit dem Namen „ScanPC.cmd“ im Programmverzeichnis, also
\\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS\ScanPC.cmd
2. Tragen Sie den Aufruf für die ScanPC.exe in das Skript ein (alles in eine Zeile):
start
\\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS\ScanPC.exe
/nogui
/t:\\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS\Scandaten
Anmerkungen:
- /nogui sorgt dafür, dass der Scan im Hintergrund ohne Anzeige eines Fensters abläuft
- Mit dem Parameter /t: wird das Verzeichnis angegeben, in dem die
Ergebnisdatei abgelegt werden soll
- Eine Liste aller gültigen Aufrufparameter finden Sie im Anhang
- Der Start-Befehl wird benötigt, damit der Anmeldevorgang nicht auf den Abschluss des Scans
wartet
file://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKSfile://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKSfile://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKS/ScanPC.cmdfile://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKS/ScanPC.exefile://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKS/Scandaten
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 29
Schritt 3: GPO zum Start des Skripts beim Hochfahren der Arbeitsplätze anlegen
Das Startskript soll beim Hochfahren der Computer ausgeführt werden. Beachten Sie: Wenn Sie
mehrere GPOs mit Startskripten anlegen, dann wird nur das Startskript der Group Policy mit der
höchsten Priorität ausgeführt. Es ist dann ggf. besser, alle Startskripte in einem GPO
zusammenzufassen.
1. Öffnen Sie in der Admin-Gui die Gruppenrichtlinienverwaltung
2. Legen Sie eine neue Group Policy an oder modifizieren Sie eine bestehende. Damit alle
Arbeitsplätze erfasst werden, müssen die Computeraccounts der Arbeitsplätze im
Wirkungsbereich des GPO liegen. Im FIDUCIA-Umfeld verknüpft man das GPO daher
zweckmäßigerweise mit OU=Clients, OU=Admin-Root, OU=R…
3. Unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts (Start/Herunter-
fahren) können Sie nun das im vorhergehenden Schritt 2 angelegte Skript eintragen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 30
Anmerkung:
Änderungen an GPOs wirken sich nicht sofort aus. Auf jeden Fall ist ein Neustart des Arbeitsplatzes
erforderlich, ggf. muss noch etwas Zeit für die Replikation zwischen DCs einkalkuliert werden.
Schritt 4: Programmverzeichnis im AppLocker freischalten
Die Ausführung des Startskripts bzw. das Scanprogramms werden vom AppLocker blockiert, wenn Sie
das Programmverzeichnis nicht freischalten.
1. Öffnen Sie in der Admin-Gui die Gruppenrichtlinienverwaltung
2. Bearbeiten Sie die Group Policy, in der Sie Ihre AppLocker-Einträge vornehmen
3. Tragen Sie dort unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheits-
einstellungen/Anwendungssteuerungsrichtlinien sowohl unter Ausführbare Regeln als auch
unter Skriptregeln eine Zulassung für „Jeder“ für den Pfad
\\fis.i0815\pb.rz.bankenit.de\inst_0815\zentral\rz\BMT\ReDoKS ein
file://///fis.i0815/pb.rz.bankenit.de/inst_0815/zentral/rz/BMT/ReDoKS
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 31
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 32
2.4.4 Fehlersuche
Ist alles wie oben beschrieben eingerichtet und nach Neustart der Arbeitsplätze werden keine *.pc-
Dateien im Zielverzeichnis abgelegt, so sollten die nachfolgenden Maßnahmen zur Fehlersuche
ergriffen werden.
1. Skript manuell aufrufen
Öffnen Sie eine Kommandozeile und führen Sie das in 2.4.2 erstellte Startskript manuell aus
(oder alternativ jeden Befehl einzeln in die Kommandozeile kopieren und ausführen).
Dieser Test sollte insbesondere zeigen, ob die verwendeten Pfade und die Befehlssyntax
korrekt sind und das Skript funktioniert, wenn es aufgerufen und mit den erforderlichen
Zugriffsrechten ausgeführt wird.
2. Skriptausführung prüfen
Fügen Sie als erste Zeile in Ihr Skript einen Befehl folgender Art ein:
DIR > C:\USERS\PUBLIC\Test.txt
Dieser Befehl erzeugt eine Testdatei (auf den Zielordner – hier „C:\USERS\PUBLIC“ – sollte
Änderungsrecht für alle bestehen).
Zweck des Tests ist es festzustellen, ob das Skript tatsächlich zur Ausführung kommt. Wird
die Testdatei nicht erzeugt, so wird entweder die Group Policy nicht ausgeführt oder es gibt
eine zweite (vorrangige) Group Policy, die ebenfalls ein Startskript setzt und damit die
Startskripteinstellung Ihrer Group Policy überschreibt.
Wird die Testdatei hingegen erzeugt (die Scanergebnisse hingegen nicht), dann wird
entweder die Ausführung der ScanPC.exe blockiert (was an fehlenden Zugriffsrechten oder
AppLocker liegen kann) oder das Schreiben des Scanergebnisses (Abbruch wegen Timeout
oder fehlende Zugriffsrechte auf das Zielverzeichnis)
2.4.5 Alternative „Notfallstrategie“
Wenn der Start der ScanPC.exe nicht beim Hochfahren des Arbeitsplatzes gestartet werden kann,
dann kann der Start alternativ auch mit der Benutzeranmeldung ausgeführt werden. Das bedingt
gegenüber der beschriebenen Vorgehensweise folgende Änderungen:
- Auf das Verzeichnis mit den Programmdateien müssen die Benutzer (nicht mehr die
Computer-Accounts) Zugriff haben
- Die Group Policy wird nicht mit der OU „Clients“, sondern mit der OU „Benutzer“ verbunden
- Statt in der Computerkonfiguration ein Skript beim Starten anzulegen wird das Skript in der
Benutzerkonfiguration bei Anmeldung des Benutzers hinterlegt
Diese Vorgehensweise ist ggf. einfacher, weil die Ausführung im Benutzerkontext erfolgt, aber: Da
der Scan dann mit den Rechten des angemeldeten Benutzers (statt mit Systemrechten) erfolgt, kann
der Scan nur Informationen erfassen, auf welche der (normale) Benutzer Leserecht hat. Auf den
Standardscanumfang (siehe Kapitel 2.4.6) trifft das zu, auf zusätzliche Inhalte ggf. nicht.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 33
2.4.6 Arbeitsplatzscan konfigurieren (ScanPcDefs.ini)
Der Arbeitsplatzscan wird ab ScanPC.exe Version 2.x in der GUI durchgeführt (und nicht wie in
Version 1.x in der Einstellungsdatei ScanPC.ini). Die Speicherung erfolgt (um Verwechslungen zu
vermeiden) in der Datei ScanPcDefs.ini. Einzelne Einstellungen können auch über Aufrufparameter
spezifiziert werden (Liste siehe 11.1.1).
Einstellung Erläuterung
Scanverzeichnis: Bei Klick auf den blauen Link mit der Verzeichnisangabe wird ein Auswahldialog zur Änderung des Speicherverzeichnisses geöffnet.
Scandaten verschlüsselt speichern
Regelt, ob die erzeugte Scandatendatei (pcname.pcx) als Klartext-XML-Datei oder verschlüsselt gespeichert wird
Auswahl Scanumfang Über die Auswahlkästchen in der Strukturanzeige können Sie den Scanumfang festlegen. Standardmäßig sind alle Komponenten unter „Hauptdaten“ eingeschlossen, die unter „Zusatzdaten“ ausgeschlossen.
Detailkonfiguration Manche Komponenten erfordern eine Detailkonfiguration. Wird die Komponente in der Strukturanzeige ausgewählt, so wird rechts neben einer Erläuterung die Eingabemöglichkeit dafür eingeblendet. Im Beispiel sehen Sie, dass für die Komponente „Systemdateien“ die Angabe der zu erfassenden Systemdateien gefordert wird.
Speichern Speichert die vorgenommenen Einstellungen (in ScanPcDefs.ini)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 34
2.5 An- und Abmeldevorgänge erfassen (TraceLogon.exe) Im Active Directory speichert jeder Domain Controller für jeden Benutzer nur den letzten
Anmeldevorgang – mit dem optionalen TraceLogon-Utility stellt ReDoKS daher eine Möglichkeit
bereit, diese Vorgänge über einen längeren Zeitraum zu erfassen und auswertbar zu machen.
Mit TraceLogon können folgende Vorgänge erfaßt werden:
• Anmeldevorgänge der Benutzer • Abmeldevorgänge der Benutzer • Booten der Arbeitsplätze • Herunterfahren der Arbeitsplätze
Für jeden dieser Punkte muß – falls die Erfassung gewünscht ist – nach untenstehendem Schema per
Group Policy ein Skript gestartet werden. Es ist möglich, alle diese Einträge in einem GPO
zusammenzufassen oder aber getrennte GPOs zu verwenden.
Die erfassten Daten können dienen später als Basis für Nutzungsstatistiken und werden bei den
Details zu Benutzeraccounts (alle Anmeldevorgänge eines Benutzers) und zu Computeraccounts (alle
Anmeldevorgänge an einem Computer) angezeigt.
2.5.1 Grundlegende Funktionsweise
Mit TraceLogon können Einträge von An- und Abmeldevorgängen in Protokolldateien vorgenommen
werden. Der Aufruf des Programms erfolgt sinnvollerweise über Group Policies (siehe nächster
Abschnitt).
Aufrufsyntax für einen Anmeldevorgang:
tracelogon /logon /t:Zielverzeichnis
Aufrufsyntax für einen Abmeldevorgang:
tracelogon /logoff /t:Zielverzeichnis
Das Zielverzeichnis bezeichnet dabei das Verzeichnis, in dem die Protokolldateien abgelegt werden
sollen. In der Regel ist es das dasselbe Verzeichnis, in dem auch die Scanergebnisse der Arbeitsplätze
landen. Die Namen der Protokolldateien folgen dem Schema .PCL. Die Daten werden
dann automatisch beim Einlesen der PC-Daten mit eingelesen.
Die oben dargestellte Aufrufform kann durch Einsatz von Parametern bei Bedarf erweitert werden,
insgesamt sind folgende Parameter zulässig:
Parameter Erläuterung
logon Kennzeichnet einen Anmelde- bzw. Startvorgang
logoff Kennzeichnet einen Abmeldevorgang/Herunterfahren des PCs
t: Gibt das Verzeichnis an, in welchem die Protokolldatei geführt wird
maxsize: Überschreitet die zur Speicherung der TraceLogon-Informationen verwendete *.pcl-Datei die angegebene Maximalgröße (in kB), so wird die älteste Hälfte der Einträge automatisch gelöscht.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 35
/anonym Anonymisierung: Statt der tatsächlichen Benutzernamen wird nur eine verschlüsselte Form gespeichert. Wird dieser Parameter verwendet, so sind statistische Angaben über Nutzungsdauer etc. zwar weiterhin verfügbar, können aber keinem konkreten Benutzer mehr zugeordnet werden.
Anmerkungen:
- Die erstellten Protokolldateien (*.pcl-Dateien) werden automatisch mit den
Arbeitsplatzdaten (*.pc-Dateien) eingelesen, wenn die Option TraceLogon-Daten laden (falls
vorhanden) im Ladedialog ausgewählt ist und sie sich im gleichen Verzeichnis befinden.
- Der Menüpunkt Extras/TraceLogon-Daten kürzen öffnet einen Dialog, in dem sich die
gesammelten Daten unabhängig von der Verwendung des maxsize-Parameters kürzen
lassen.
2.5.2 GPO für TraceLogon einrichten
Um TraceLogon zu verwenden ist eine Group Policy anzulegen und folgende Schritte durchzuführen
(Pfadangaben sind entsprechend anzupassen):
- Unter Benutzerkonfiguration/Windows/Einstellungen/Skripts (Anmelden/Abmelden) und
unter Computerkonfiguration/Windows/Einstellungen/Skripts (Starten/Herunterfahren)
jeweils zwei Skripts eintragen (insgesamt also vier)
- Im Anmelde-/Startskript diesen Befehl eintragen: \\Server\Share\ReDoKS\TraceLogon.exe /logon /t:\\Server\Share\Scans
- Im Abmelde-/Herunterfahrenskript diesen Befehl eintragen: \\Server\Share\ReDoKS\TraceLogon.exe /logoff /t:\\Server\Share\Scans
- Das GPO mit den OUs verknüpfen, in denen sich die Benutzer- bzw. Computeraccounts
befinden (Admin-Root/Benutzer bzw. Admin-Root/Clients)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 36
3 Auswertung der Daten (Prüfung)
3.1 Daten laden
3.1.1 Ladekonfiguration
Über den Menüpunkt Datei/Daten laden oder das entsprechende Symbol in der Toolbar wird der
Ladedialog aufgerufen. Hier können Sie festlegen, wo sich die einzulesenden Scandaten befinden und
welche davon geladen werden sollen.
Der Ladebildschirm enthält folgende Eingabefelder und Schaltflächen:
Element Erläuterung
Datenverzeichnis Das Dachverzeichnis, unter dem sich (ggf. in Unterverzeichnissen) die Scandaten befinden
Verzeichnis mit PC-Daten
Unterverzeichnis mit PC-Daten (*.pc-Dateien) relativ zur Position der zugehörigen Datei mit Domänendaten (*.domx-Datei)
Verzeichnis mit Vergleichs-PC-Daten
Unterverzeichnis mit PC-Vergleichsdaten (*.pc-Dateien) relativ zur Position der zugehörigen Datei mit Domänendaten (*.domx-Datei)
Neu Eine neue Ladedefinition hinzufügen
Löschen Ausgewählte Ladedefinition löschen
Speichern Speichert die Ladekonfiguration in der Datei LoadData.cfg (im Programmverzeichnis, falls nicht mit dem Aufrufparameter /inidir ein anderes Verzeichnis angegeben wurde)
OK Lädt alle Daten der Ladedefinitionen, bei denen „Aktiv“ gesetzt ist
Abbruch Schließt den Dialog ohne Ladevorgang
Die Ladedefinitionen enthalten dabei folgende Elemente:
Element Erläuterung
Aktiv Zeigt an, ob die in der Ladedefinition spezifizierten Daten geladen werden
Unterverzeichnis Gibt das Unterverzeichnis (im oben genannten Datenverzeichnis) an, in dem sich die Daten befinden
Dateimuster Schränkt das Laden von Domänendaten auf das angegebene Dateimuster ein
Unterverzeichnisse einschließen
Sucht Domänendaten nicht nur direkt im angegebenen Verzeichnis, sondern auch in allen darin enthaltenen Unterverzeichnissen. Von mehreren *.domx-Dateien wird die neuste geladen.
Vergleichsdaten laden Lädt neben der neusten *.domx-Datei auch die zweitneuste und führt einen Vergleich zwischen beiden Domänendaten durch.
Serverdaten laden Lädt *.srv-Dateien aller Server. Die Dateien müssen dem Namensschema {Domäne}#{Servername}.srv oder {Domäne}#{Servername}#{Datum}.srv folgen. Wenn für einen Server mehrere Dateien vorhanden sind, dann wird nur die neuste geladen.
PC-Daten laden Sucht in dem Verzeichnis in dem die *.domx-Datei gefunden wurde den Unterorder der unter „Verzeichnis mit PC-Daten“ eingetragen ist und lädt die *.pc-Dateien daraus. Wenn „Vergleichsdaten laden“ aktiviert ist, dann werden entsprechend auch die *.pc-Daten aus dem „Verzeichnis mit Vergleichs-PC-Daten“ geladen und ein Vergleich durchgeführt.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 37
TraceLogon-Daten laden
Lädt TraceLogon-Dateien (*.pcl) aus dem gleichen Verzeichnis wie die PC-Daten (sofern vorhanden)
Wichtig:
Mit ReDoKS 2.x können folgende Daten geladen werden:
- Domänendaten im ReDoKS 2.x-Format (*.domx)
- Serverdaten im ReDoKS 2.x-Format (*.srv)
- PC-Daten im ReDoKS 1.x-Format (*-pc)
Nicht geladen werden können Domänendaten im ReDoKS 1.x-Format (*.dom).
Die Ladekonfiguration ermöglicht es, die Ablage der Scandaten auch mehrerer Domänen recht
flexibel zu gestalten und schnell die gewünschten Daten zum Laden auszuwählen. So bleibt es einem
letztlich selbst überlassen, ob man die Scandaten verschiedener Domänen in einem gemeinsamen
Verzeichnis speichert oder in getrennten Unterverzeichnissen unterbringt – man muss nur ein
geeignetes Schema entwerfen und einmal als Ladekonfiguration hinterlegen.
Ich würde empfehlen, für jede Domäne ein eigenes Unterverzeichnis mit dem Namen der
betreffenden Domäne anzulegen und Domänen- und Serverscans (*.domx und *.srv-Dateien) direkt
darin abzulegen.
Wenn für eine Domäne auch PC-Scans (*.pc-Dateien) verfügbar sind, dann sollten diese in einem
eigenen Unterverzeichnis (Namensvorschlag: „PCs“) innerhalb des Domänenverzeichnisses
untergebracht werden, parallel dazu ggf. noch ein Verzeichnis mit PC-Vergleichsdaten.
3.1.2 Beispiel für eine Ladekonfiguration
Nachfolgend ist das an einem Beispiel mit drei Domänen verdeutlicht. Innerhalb des
Datenverzeichnis X:\ sind drei Unterverzeichnisse für die Domänen (bn-ist, IT-Cloud und R2301)
angelegt.
Da die Daten der drei Domänen mal einzeln, mal in Kombination geladen werden sollen wird für jede
Domäne eine Ladedefinition angelegt.
Für Domäne „R2301“ wird das Unterverzeichnis „R2301“ angegeben und als Dateimuster einfach
„*.domx“, da sich in diesem Unterverzeichnis ohnehin nur Domänendaten dieser Domäne befinden.
Da sich die *.domx-Dateien direkt in „R2301“ befinden, wird die Option „Unterverzeichnisse
einschließen“ nicht benötigt.
Es sollen aber Vergleichsdaten geladen werden, d.h. im Beispiel wird neben der Datei „R2301_27-08-
2019.domx“ auch die Datei „R2301_26-08-2019.domx“ geladen und ein Vergleich durchgeführt.
Auch Serverdaten sollen geladen werden, d.h. die Datei „R2301#SRVRED#27-08-2019.srv“ mit
Zugriffsrechten auf Verzeichnisse des Servers SRVRED wird ebenfalls eingelesen.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 38
Auch „PC-Daten laden“ ist aktiviert, die *.pc-Dateien aus dem Unterverzeichnis „PCs“ werden somit
ebenfalls geladen, ebenso wie die Vergleichs-PC-Daten aus dem Unterverzeichnis „Vgl“.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 39
3.1.3 Ladeverlauf
Beim Laden wird der Ladeverlauf in einem eigenen Dialog angezeigt. Im oberen Bereich werden die
geladenen Elemente (Domänen, PCs, Server) aufgelistet, im unteren Bereich Details dazu. Hier sollten
Probleme erkennbar werden (im Beispiel enthält das „IT-Cloud“-Verzeichnis keine Scandaten).
Über den Menüeintrag Logs\geladene Scandaten kann der (letzte) Ladeverlauf zu einem späteren
Zeitpunkt wieder geöffnet werden.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 40
3.1.4 Definititionsdateien
Für die Aufbereitung der geladenen Scandaten werden verschiedene Definitionsdateien verwendet:
Dateityp Erläuterung
Funktionstypen Enthält Regeln für die Zuordnung von Benutzern, Gruppen, Computern etc. zu Funktionstypen. Funktionstypen ermöglichen die Kategorisierung dieser Objekte. ReDoKS lädt Funktionstyp-Definitionen aus allen Dateien des Musters „Ftypes-*.ini“ im Programmverzeichnis.
Freigabelisten Enthalten Listen freigegebener Softwareprodukte. ReDoKS lädt Freigabedefinitionen aus allen Dateien mit dem Suffix „*.flx“ aus dem Template-Verzeichnis. Neben den mitgelieferten Freigabelisten wird eine Freigabeliste „Eigene Freigabeliste.flx“ angelegt, in welche eigene Einträge aufgenommen werden können (durch Programmfunktionen, ein direktes Editieren ist nicht erforderlich).
AD-Template Enthält Regeln zur Abbildung der Sicherheitsrichtlinien für Domänen. Durch Anwendung dieser Regeln werden Abweichungen ermittelt. ReDoKS lädt alle AD-Templates aus allen Dateien des Musters „*_AD.tpl“ aus dem Template-Verzeichnis. Jede Templatedatei enthält einen Domänenfilter der bestimmt, auf welche Domänen das Template angewandt wird.
PC-Template Enthält Regeln zur Abbildung der Sicherheitsrichtlinien für Arbeitsplätze. Durch Anwendung dieser Regeln werden Abweichungen ermittelt. ReDoKS lädt alle PC-Templates aus allen Dateien des Musters „*_PC.tpl“ aus dem Template-Verzeichnis Jede Templatedatei enthält einen Domänenfilter der bestimmt, auf welche Domänen das Template angewandt wird.
Der Speicherort der Templates und Freigabelisten wird in den Programmeinstellungen über
Verzeichnisse\Templateverzeichnis festgelegt (standardmäßig das Verzeichnis „Templates“ im
Programmverzeichnis).
Die geladenen und verwendeten Definitionsdateien können Sie über den Menüpunkt
Konfiguration/Definitionsdateien abrufen.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 41
3.2 Scaninfo Das Scaninfo-Fenster liefert Rahmeninformationen zum Scanvorgang und Domäneneinstellungen
aller gescannter Domänen. Das ist insbesondere wichtig für die Kontrolle, ob ein Scan vollständig und
aktuell ist.
Besonders wichtig sind dabei folgende Punkte:
Aktualität der Daten
Unter Scandurchführung/Scanstart ist der Zeitpunkt des Scans hinterlegt.
Aktualität des Scanprogramms
Unter Scandurchführung/Scanner ist die Version des Scanprogramms aufgeführt, mit dem der Scan
erzeugt wurde. Diese sollte hinreichend aktuell sein. Unter www.jenswerstein.de können Sie die
aktuelle Version und eine Versionshistorie abrufen und damit feststellen, von wann der verwendete
Scanner datiert.
Die Verwendung eines veralteten Scanprogramms ist problematisch, weil neuere Versionen ggf.
Fehlerkorrekturen und/oder eine Ausweitung des Scanumfangs beinhalten.
Identität der gescannten Domäne
Der Name der gescannten Domäne ist im Bereich Scanergebnis aufgeführt. Zu beachten ist allerdings,
dass es technisch natürlich problemlos möglich wäre, eine Domäne gleichen Namens durch
Neuinstallation zu erzeugen. Eine wirklich eindeutige Identifikation einer Domäne bietet daher nur
die SID der Domäne (die ebenfalls in diesem Bereich aufgeführt ist). Diese lässt sich bei der
Installation nicht festlegen oder verändern und hat die Form S-1-5-21-xxx-xxx-xxx (wobei xxx für
Blöcke von 9 bzw. 10 Ziffern steht). Eine Domäne mit identischer SID ließe sich nur erzeugen, indem
man eine Datensicherung der Originaldomäne auf anderen Geräten wiederherstellt und die Domäne
so dupliziert.
Die SID einer Domäne bildet zugleich den Stamm für die SIDs aller in der Domäne erzeugten Objekte.
Deren SIDs werden durch Anhängen einer RID (eine fortlaufende Zahl beginnend mit 1000) an die
Domänen-SID erzeugt.
Die Domänen-SID der FIDUCIA IT-Cloud-Domäne pb.rz.in.gad.de lautet S-1-5-21-3869251445-
693688657-1304979281 (diese Domänen-SID ist für alle Banken gleich). Die SID eines Benutzers aus
dieser Domäne könnte daher also z.B. S-1-5-21-3869251445-693688657-1304979281-1078 lauten.
Scanumfang: Nicht replizierte Attribute
Ob der Scan nichtreplizierter Attribute eingeschaltet ist kann unter Scankonfiguration/Sync NRA
eingesehen werden. Ob im späteren Scanverlauf auch alle Domain Controller erreicht wurden ist
unter Scandurchführung/Erreichte Domain Controller bzw. Scandurchführung/Nicht erreichte
Domain Controller ablesbar.
Prinzipiell werden die Objekte einer Domäne (z.B. Benutzer, Gruppen etc.) über alle Domain
Controller der Domäne repliziert, d.h. es spielt keine Rolle, von welchem Domain Controller die
Domänendaten abgefragt werden, da alle Domain Controller (von Replikationsverzögerungen einmal
abgesehen) über die gleichen Informationen verfügen.
http://www.jenswerstein.de/
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 42
Es gibt jedoch einige Attribute, die nicht repliziert werden. Dazu zählen die Anzahl der Anmeldungen
und das Datum der letzten Anmeldung. Diese Informationen führt jeder Domain Controller selbst
und gleicht sie nicht mit den anderen Domain Controllern ab.
Ein Beispiel zur Verdeutlichung: in einer Domäne existieren drei Domain Controller A, B und C. User1
meldet sich an – die Anmeldung wird von einem dieser Domain Controller bearbeitet. Welcher das
ist, darauf hat der Benutzer keinen Einfluss (zumeist der DC, der der Anmeldelokation am nächsten
ist). Im Beispiel wird die Anmeldung von Domain Controller A bearbeitet. Dieser erhöht die Anzahl
der Anmeldungen für User1 und setzt das Datum der letzten Anmeldung auf den Anmeldezeitpunkt.
Die Werte für Anzahl der Anmeldungen und Datum der letzten Anmeldung auf den DCs B und C
bleiben unverändert.
Folgerung:
Werden die Domänendaten beim Scan nur von einem Domain Controller abgefragt, so ergeben sich
für die nichtreplizierten Attribute ggf. falsche bzw. missverständliche Werte. Um aussagekräftige
Werte zu erhalten müssen die Einzelwerte aller Domain Controller abgefragt werden. Die Anzahl der
Anmeldungen ergibt sich dann aus der Addition der Einzelwerte und der Zeitpunkt der letzten
Anmeldung als Maximalwert der Einzelwerte.
Wurde die Option zum Scan nichtreplizierter Attribute (Sync NRA) nicht ausgewählt oder wurden
beim späteren Scan nicht alle Domain Controller erreicht, so sind die Werte der nichtreplizierten
Attribute mit Vorbehalt auszuwerten.
Fehlermeldungen
Sind während des Scanvorgangs Fehlermeldungen aufgetreten, so werden diese unter
Scandurchführung/Fehlermeldungen aufgelistet. Eine Fehlermeldung kann (muss aber nicht) auf
einen unvollständiges Scanergebnis hinweisen. Im Zweifelsfall sollte das Scanlog näher untersucht
werden.
Anmerkung:
Die Fehlermeldung „Ein solches Objekt ist auf dem Server nicht vorhanden“ ist unkritisch. Sie tritt z.B.
beim Scan der FIDUCIA IT-Cloud-Domäne auf, wenn dort FSMO-Rolleninhaber ermittelt werden
sollen aber nicht gefunden werden.
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 43
4 Das Hauptfenster Alle Programmfunktionen und Auswertungsfenster sind über das Menü des Hauptfensters abrufbar.
Die wichtigsten Menüeinträge sind außerdem über die Toolbar darunter schnell verfügbar.
Wenn Sie nur eine Domäne geladen haben, dann wird durch Klick auf einen Eintrag in Menü oder
Toolbar direkt das entsprechende Auswertungsfenster mit diesen Domänendaten geöffnet. Haben
Sie mehrere Domänendaten geladen, so öffnet sich stattdessen ein Dropdown-Menü mit der
Domänenliste. Für jede Domäne werden dabei der Name und das Scandatum angegeben. Im obigen
Beispiel wurde die R-Domäne mit Vergleichsdaten (bei Vergleichsdaten wird das Icon schattiert
dargestellt) und die PB-Domäne geladen.
In der Statuszeile am unteren Rand des Hauptfensters
befindet sich ein Ordnersymbol mit Dropdown-Menü,
über welches wichtige Verzeichnisse direkt im Explorer
geöffnet werden können.
Das Dropdown-Menü daneben bietet verschiedene
Möglichkeiten für die automatische Anordnung der
geöffneten Ansichtsfenster. Die verschiedenen Optionen
sind auch über die Funktionstasten F4-F8 zugänglich.
Darüber hinaus werden in der Statuszeile der angemeldete Benutzer, die geladenen Daten und (ganz
rechts) die Programmversion angezeigt.
Ganz rechts unten in der Statuszeile wird die ReDoKS Programmversion angezeigt. Ein Klick darauf
öffnet den Infodialog, in dem Kontakt- und Supportinformationen angezeigt werden.
Geladene
Domänen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 44
4.1 Gemeinsame Bedienelemente der Auswertungsfenster Die meisten Auswertungsfenster sind mit standardisierten Bedienelementen ausgestattet, die
nachfolgend besprochen werden. Zusätzliche Elemente bei bestimmten Fenstern werden gesondert
abgehandelt.
Funktion Erläuterung
Spaltenauswahl Spaltenauswahl ein- bzw. ausblenden. Zusammen mit der Strg-Taste: Erweiterte Spaltenauswahl öffnen (Beschreibung siehe unten)
Automatische Spaltenbreite
Automatische Spaltenbreite ein-/ausschalten. Eingeschaltet wird die Breite aller Spalten proportional so angepasst, dass alle Spalten gerade die verfügbare Tabellenbreite ausfüllen. Das kann bei großer Spaltenzahl problematisch sein – ausgeschaltet unterbleibt die automatische Anpassung der Spaltenbreite, es wird dann ein horizontaler Rollbalken eingeblendet, wenn die Gesamtbreite der Spalten die verfügbare Tabellenbreite übersteigt. Dann kann es sinnvoll sein, wichtige Spalten zu fixieren (siehe „Erweiterte Spaltenauswahl“ weiter unten)
Suchen Suchzeile ein- bzw. ausblenden
Gruppierung Gruppierungszeile ein- bzw. ausblenden
Filtern Filterzeile ein- bzw. ausblenden
Konfiguration Konfiguration speichern: Speichert die aktuelle Spaltenauswahl und -anordnung (die zuvor individuell eingestellt wurde). Dropdown-Menüeinträge:
- Individuelle Konfiguration wiederherstellen - Standardkonfiguration wiederherstellen - Als Standardkonfiguration speichern
Anmerkung: Details zu Speicherung und Verarbeitung der Spaltenkonfiguration finden Sie in Kapitel 4.1.9
Zwischenablage Ausgewählte Zeilen in die Zwischenablage kopieren
Export Export der Tabellendaten. Anmerkung: in einigen Ansichten steht auch eine erweiterte Exportmöglichkeit zur Verfügung, in die bei gedrückter Strg-Taste verzweigt wird (die Möglichkeit steht im Tooltip wenn verfügbar)
4.1.1 Spaltenauswahl
Die Zusammenstellung der angezeigten Spalten kann auf folgenden Wegen geändert werden:
- Die Anordnung der Spalten lässt sich ändern, indem der Spaltenkopf an eine andere Position
innerhalb der Kopfzeile gezogen wird
- Spalte entfernen: Im Kontextmenü des Spaltenkopfs über den Eintrag „Spalte entfernen“
oder durch Ziehen aus der Kopfzeile heraus
- Spalte hinzufügen: zunächst über das Icon „Spaltenauswahl“ der Toolbar oder über den
gleichnamigen Eintrag im Kontextmenü des Spaltenkopfs die Spaltenauswahl einblenden,
dann die Spalte aus der Spaltenauswahl an die gewünschte Stelle in der Kopfzeile ziehen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 45
Die so vorgenommene Spaltenzusammenstellung kann dann über die Speicherfunktion gesichert
werden (siehe oben).
Durch Halten der Strg-Taste bei Klick auf die Schaltfläche „Spaltenauswahl“ lässt sich der Dialog für
die Erweiterte Spaltenauswahl öffnen:
Hier können Sie die Spalten zwischen
den Listen „verfügbare Spalten“ (nicht
angezeigte Spalten) und „angezeigte
Spalten“ direkt per Drag&Drop
verschieben bzw. die Reihenfolge der
angezeigten Spalten per Drag&Drop
ändern. Die Spaltenreihenfolge kann
auch durch direkte Eingabe einer Zahl
vor dem Spaltennamen geändert
werden.
In der Spalte „Fixiert“ lässt sich die Spaltenfixierung festlegen. Zulässige Werte sind:
- Nicht fixiert
- Links: Die Spalte ist am linken Rand fixiert und bleibt dort fest verankert, auch wenn der
horizontale Rollbalken bewegt wird
- Miite/links: Die Spalte bewegt sich mit dem horizontalen Rollbalken, bis sie am linken Rand
anstößt
- Rechts: Die spalte ist am rechten Rand fixiert und bleibt dort fest verankert, auch wenn der
horizontale Rollbalken bewegt wird
Spaltenauswahl ein/aus
Eingeblendete
Spaltenauswahl
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 46
4.1.2 Suche
Über die Suchzeile kann innerhalb der Tabelle gesucht werden.
Es werden die Inhalte aller angezeigten Spalten durchsucht und die Anzeige auf die Zeilen
beschränkt, in denen der Suchbegriff gefunden wurde (Groß-/Kleinschreibung bleibt dabei
unberücksichtigt). Die Fundstellen werden farblich unterlegt.
4.1.3 Gruppierung
Nach Einblendung der Gruppierungszeile kann nach jeder Spalte gruppiert werden, indem die
betreffende Spalte in die Gruppierungszeile gezogen wird (alternativ kann über das Kontextmenü des
Spaltenkopfes auch „nach dieser Spalte gruppieren“ gewählt werden). Auf umgekehrtem Weg wird
die Gruppierung wieder aufgehoben.
Gruppierung nach „Funktionstyp“:
Suchzeile ein/aus
Eingeblendete
Suchzeile
Markierte Suchergebnisse
Gruppierungszeile
ein/aus
Eingeblendete
Gruppierungszeile
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 47
Mehrstufige Gruppierung nach „Funktionstyp“ und „Deaktiviert“:
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 48
4.1.4 Filterung
Zur Filterung der angezeigten Datensätze können Filter auf folgenden Wegen eingerichtet werden:
Durch Klick in die rechte obere Ecke eines Spaltenkopfs (sobald der Mauszeiger in den Spaltenkopf
bewegt wird erscheint ein kleines Filtersymbol rechts oben) kann ein Filterdialog geöffnet werden:
Über die Toolbar kann auch eine Filterzeile eingeblendet werden, die (ähnlich wie bei Excel) alle
Spalten umfasst:
Unterhalb der Tabelle werden die aktiven Filterbedingungen als Text aufgelistet und können
vollständig gelöscht oder (vorübergehend) deaktiviert werden. Über die Schaltfläche „Filter
bearbeiten“ kann ein gesonderter Filterdialog aufgerufen werden, der eine detailliertere
Filterbearbeitung erlaubt (insbesondere die Kombination von Einzelbedingungen mit „und“ bzw.
„oder“.
Kleines Filtersymbol
Filterdialog
Filteroperator
Filterzeile
ein/aus
Eingeblendete
Filterzeile
Filterwert
Filter löschen
Filter deaktivieren
Aktive Filterbedingungen
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 49
Anmerkung:
Der Beschreibungstext über der Tabelle („x / y / z Gruppen in ‚R2301‘…“) ist wie folgt zu
interpretieren:
z: Anzahl der Gruppen insgesamt
y: Anzahl der Gruppen im gewählten Container (ausgewählt in der Strukturanzeige)
z: Anzahl der Gruppen nach Filterung
4.1.5 Sortierung
Tabellen können nach beliebigen Spalten sortiert werden. Die Sortierung erfolgt analog zu Excel
durch Klick in den Spaltenkopf, wobei sich bei Wiederholung die Sortierrichtung umkehrt.
Nach welchen Spalten sortiert wird (und die Sortierrichtung) ist an den Sortiersymbolen am rechten
Rand der Spaltenköpfe zu erkennen.
Um nach mehreren Spalten zugleich zu sortieren muss zunächst nach der ersten Spalte sortiert
werden und dann beim Hinzufügen weiterer Sortierspalten die Umschalt-Taste gedrückt werden.
Anmerkung:
Auch bei Gruppierungen kann die Sortierfolge geändert werden und wird durch die Sortiersymbole
angezeigt.
4.1.6 Spaltenbreiten
Die Spaltenbreite lässt sich durch Ziehen der Trennlinie zwischen Spaltenköpfen verändern, allerdings
für bestimmte Spaltentypen (Checkboxen, Zahlen- und Datumswerte) nur bis zu vorgegebenen
Maximalbreiten (in den Programmeinstellungen einstellbar).
Über das Kontextmenü der Spaltenköpfe kann darüber hinaus auch mit der Option „Optimale
Spaltenbreite (alle Spalten)“ die Spaltenbreite für alle Spalten optimiert werden.
Erste Spalte
(aufsteigend)
zweite Spalte
(absteigend)
-
ReDoKS
Handbuch ReDoKS 2.x
Stand: 20.03.2021 Seite 50
4.1.7 Schriftgröße, Schriftart
Schriftart, -größe und -farbe lässt sich für Tabellendaten, Spaltenüberschriften und Kategorien
getrennt in den Programmeinstellungen festlegen.
4.1.8 Master-Detail-Ansichten
In vielen Ansichten s