HCL Notes / Domino / Diverses > Administration & Userprobleme

Datei Operationen: unter welchem User oder System-Account?

(1/2) > >>

hoschie:
Hallo und guten Morgen,

Herausforderung/Problem: wir ziehen gerade unser ActiveDirectory um und es steht die Frage im Raum (zwecks Rechte-Eintrichtung):
unter welchem Account werden Notes-Script-Dateioperationen ausgeführt?

Wenn es ein Agent ist, kann man den (Notes)User-Account in Notes selbst konfigurieren.
Aber wenn es sich um eine Script-Bibo handelt, die auf dem Server und nicht lokal beim User ausgeführt wird und diese Aktion versucht auf ein Netzlaufwerk einen Ordner anzulegen:
mit welchem Account wird diese Dateioperation ausgeführt? Notes-User? Windows-User? User unter dem der Domino-Dienst gestartet ist?

Danke für jeden Tipp!

Riccardo Virzi:
Netzlaufwerke sind ein Problem bei dem gezeigten Screenshot: läuft der Domino Server als Dienst mit einem lokalen Systemkonto, ist kein Zugriff auf Netzlaufwerke möglich. Ist ein "lokales" Systemkonto, das nicht im Netzwerk oder im AD bekannt ist und somit können auch keine Berechtigungen im Netzwerk vergeben werden.
Deswegen nutze ich nicht das lokale Systemkonto, sondern einen Benutzer aus dem AD, falls Dateioperationen im Netzwerk erforderlich sind.

Sobald Dateioperationen, ob lokal oder auf einem Netzwerklaufwerk, stattfinden, wird der Windows Account verwendet. Die Notes ID ist irrelevant. Es ist auch nicht relevant, ob es sich um einen Agenten oder eine Skript Bibliothek handelt. Wichtig ist, wo das ganze ausgeführt wird: auf dem Domino Server oder auf dem Notes Client. Wird ein Agent auf dem Notes Client gestartet, gilt der Windows Account des Benutzers. Wird derselbe Agent als Hintergrundagent auf dem Domino Server ausgeführt, dann gilt der Windows Account der Domino Servers.

Achtung: bei Agenten gibt es 3 Sicherheitsstufen. In der niedrigsten sind zum Beispiel Dateioperationen nicht gestattet.

CarstenH:

--- Zitat von: Riccardo Virzi am 01.06.22 - 10:17:12 ---Netzlaufwerke sind ein Problem bei dem gezeigten Screenshot: läuft der Domino Server als Dienst mit einem lokalen Systemkonto, ist kein Zugriff auf Netzlaufwerke möglich. Ist ein "lokales" Systemkonto, das nicht im Netzwerk oder im AD bekannt ist und somit können auch keine Berechtigungen im Netzwerk vergeben werden.

--- Ende Zitat ---

Das ist so pauschal nicht ganz richtig. Ohne angemeldeten Benutzer gibt es zwar keine gemappten Netzlaufwerke aber per UNC kann man dennoch Ziele im Netz erreichen. Berechtigungen müssen in dem Fall auf den Maschinennamen statt auf einen Benutzer vergeben werden und die Firewalls und UAC der Beteiligten müssen das natürlich zulassen (zuletzt hatte ich das swiw unter 2012R2 auf ein paar Faxservern verwendet).

Die sicherheitstechnisch bessere Lösung ist aber dennoch den Domino unter einem eigenen Account laufen zu zu lassen den man remote besser berechtigen kann, eine Maschine verfügt schließlich - im Gegensatz zu echten Accounts - über keine Credentials.

HTH
Carsten

Riccardo Virzi:
Interessant, ich hatte schon gehört, daß das funktionieren soll. Bisher konnte mir aber niemand erklären wie: mit dem Maschinennamen anstatt dem Benutzernamen. Wieder was dazu gelernt.

Was die Sicherheit angeht, muß ich CarstenH recht geben: lieber einen Benutzer mit Credentials verwenden, wie einen Maschinennamen der keine Credentials hat.

jBubbleBoy:
Bzgl. Windows Domino Service und Netzlaufwerke wäre das noch ein interessanter Ansatz:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0030073

Navigation

[0] Themen-Index

[#] Nächste Seite