Autor Thema: Datei Operationen: unter welchem User oder System-Account?  (Gelesen 1100 mal)

Offline hoschie

  • Junior Mitglied
  • **
  • Beiträge: 51
Hallo und guten Morgen,

Herausforderung/Problem: wir ziehen gerade unser ActiveDirectory um und es steht die Frage im Raum (zwecks Rechte-Eintrichtung):
unter welchem Account werden Notes-Script-Dateioperationen ausgeführt?

Wenn es ein Agent ist, kann man den (Notes)User-Account in Notes selbst konfigurieren.
Aber wenn es sich um eine Script-Bibo handelt, die auf dem Server und nicht lokal beim User ausgeführt wird und diese Aktion versucht auf ein Netzlaufwerk einen Ordner anzulegen:
mit welchem Account wird diese Dateioperation ausgeführt? Notes-User? Windows-User? User unter dem der Domino-Dienst gestartet ist?

Danke für jeden Tipp!



Offline Riccardo Virzi

  • Junior Mitglied
  • **
  • Beiträge: 70
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #1 am: 01.06.22 - 10:17:12 »
Netzlaufwerke sind ein Problem bei dem gezeigten Screenshot: läuft der Domino Server als Dienst mit einem lokalen Systemkonto, ist kein Zugriff auf Netzlaufwerke möglich. Ist ein "lokales" Systemkonto, das nicht im Netzwerk oder im AD bekannt ist und somit können auch keine Berechtigungen im Netzwerk vergeben werden.
Deswegen nutze ich nicht das lokale Systemkonto, sondern einen Benutzer aus dem AD, falls Dateioperationen im Netzwerk erforderlich sind.

Sobald Dateioperationen, ob lokal oder auf einem Netzwerklaufwerk, stattfinden, wird der Windows Account verwendet. Die Notes ID ist irrelevant. Es ist auch nicht relevant, ob es sich um einen Agenten oder eine Skript Bibliothek handelt. Wichtig ist, wo das ganze ausgeführt wird: auf dem Domino Server oder auf dem Notes Client. Wird ein Agent auf dem Notes Client gestartet, gilt der Windows Account des Benutzers. Wird derselbe Agent als Hintergrundagent auf dem Domino Server ausgeführt, dann gilt der Windows Account der Domino Servers.

Achtung: bei Agenten gibt es 3 Sicherheitsstufen. In der niedrigsten sind zum Beispiel Dateioperationen nicht gestattet.

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 672
  • Geschlecht: Männlich
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #2 am: 01.06.22 - 17:24:41 »
Netzlaufwerke sind ein Problem bei dem gezeigten Screenshot: läuft der Domino Server als Dienst mit einem lokalen Systemkonto, ist kein Zugriff auf Netzlaufwerke möglich. Ist ein "lokales" Systemkonto, das nicht im Netzwerk oder im AD bekannt ist und somit können auch keine Berechtigungen im Netzwerk vergeben werden.

Das ist so pauschal nicht ganz richtig. Ohne angemeldeten Benutzer gibt es zwar keine gemappten Netzlaufwerke aber per UNC kann man dennoch Ziele im Netz erreichen. Berechtigungen müssen in dem Fall auf den Maschinennamen statt auf einen Benutzer vergeben werden und die Firewalls und UAC der Beteiligten müssen das natürlich zulassen (zuletzt hatte ich das swiw unter 2012R2 auf ein paar Faxservern verwendet).

Die sicherheitstechnisch bessere Lösung ist aber dennoch den Domino unter einem eigenen Account laufen zu zu lassen den man remote besser berechtigen kann, eine Maschine verfügt schließlich - im Gegensatz zu echten Accounts - über keine Credentials.

HTH
Carsten

Offline Riccardo Virzi

  • Junior Mitglied
  • **
  • Beiträge: 70
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #3 am: 01.06.22 - 17:56:57 »
Interessant, ich hatte schon gehört, daß das funktionieren soll. Bisher konnte mir aber niemand erklären wie: mit dem Maschinennamen anstatt dem Benutzernamen. Wieder was dazu gelernt.

Was die Sicherheit angeht, muß ich CarstenH recht geben: lieber einen Benutzer mit Credentials verwenden, wie einen Maschinennamen der keine Credentials hat.

Offline jBubbleBoy

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.290
  • Geschlecht: Männlich
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #4 am: 01.06.22 - 18:06:26 »
Bzgl. Windows Domino Service und Netzlaufwerke wäre das noch ein interessanter Ansatz:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0030073
Gruss Erik :: Freelancer :: KI-Dev, Notes, Java, Web, VBA und DomNav 2.5 / NSE 0.16 / OLI 2.0

--
Nur ein toter Bug, ist ein guter Bug!

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 672
  • Geschlecht: Männlich
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #5 am: 02.06.22 - 10:53:57 »
Bzgl. Windows Domino Service und Netzlaufwerke wäre das noch ein interessanter Ansatz:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0030073

Leider nicht wirklich eine Alternative, da die im Artikel beschriebene Methode nur mit einem (automatisch) angemeldeten Windows Account funktioniert.

Local System hat keinen eigenen Desktop sondern kann höchstens mit dem Desktop eines weiteren, angemeldeten Nutzers interagieren was wieder weitere Herausforderungen mit sich bringen wird wie z.B. mögliche Meldungen auf dem Desktop des automatisch angemeldeten Nutzers die zu einem kompletten Hang (bis hin zum Domino) führen können, wenn sie eine Interaktion erwarten.

Sicherheitstechnisch ist das m.E. auch keine empfehlenswerte Situation durch die gespeicherten Kennwörter, die für diese Konstellation benötigt werden.

HTH
Carsten

Offline AlexZX

  • Frischling
  • *
  • Beiträge: 35
Antw:Datei Operationen: unter welchem User oder System-Account?
« Antwort #6 am: 02.06.22 - 11:27:14 »
eine weitere Möglichkeit wäre Java zu verwenden.

Mann kann über "jcifs.smb.SmbFile" auf jede Freigabe zugreifen unter Eingabe von Benutzername und Passwort.

Natürlich nur, wenn Java in Frage kommt.

Gruß
Alex

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz