Fachbeitrag «Dateiserver»

Dateien zentral speichern

1. Dateiserver

Das Betreiben eines mit Zugriffsrechten geschützten Dateiservers ist erst dann sinnvoll, wenn die Benutzerverwaltung mit einem Verzeichnisdienst (Directory Services) zentral erfolgt. Bei Microsoft ist dieser Dienst unter dem Begriff ActiveDirectory bekannt.

Sobald man bei einem Rechner Dateifreigaben erstellt, kann man von einem Dateiserver oder Fileserver sprechen. Bei Microsoft Windows liegt die Einschränkung bei der Anzahl Verbindungen, die ein ressourcenfreigebender Rechner (WIN-PC ca. 20) eingehen darf. Bei WIN-Serverbetriebssystemen hängt es von der Version ab: Essential (ca. 50PC’s) < Standard (gemäss CAL’s) < Datacenter (gemäss CAL’s)  CAL=Client Access License oder Zugriffslizenz

2. Zugriffsrechte

  • Zugriffsrechte in UNIX: Unix als klassisches Mehrbenutzerbetriebssystem verfügt seit der ersten Version (1974) über Dateirechte und unterscheidet drei Benutzerklassen Inhaber (User), Gruppe (Group) und «alle anderen» (Others). Für jede Datei und jeden Ordner kann für jede dieser Klassen die Rechte Lesen (Read), Schreiben (Write) und Ausführen (eXecute) unabhängig voneinander zugewiesen werden. Neben diesen Dateirechten gibt es zudem noch die drei erweiterten Dateirechtbits Set user identity, Set group identity sowie das Sticky Bit.
    Unix-Befehle:
    chmod für das Ändern der Zugriffsrechte rwx
    chown für das Ändern des Besitzers
    chgrp für das Ändern der Besitzergruppe
    In der Unix-Welt versteht man unter ACL (Access Control List) eine Erweiterung der klassischen Zugriffssteuerung auf Ebene des Besitzer-Gruppe-Welt-Modells. Auf diese Weise lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten.
  • Zugriffsrechte in Microsoft-Windows. Unter Windows steht dank Benutzung des NTFS-Dateisystems die Möglichkeit zur Verfügung, erweiterte Datei-Zugriffsrechte zu benutzen. Jedem Betriebssystemobjekt (Datei, Prozess etc.) wird ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann. Ist keine ACL vorhanden, so erhält jeder Benutzer Vollzugriff auf das Objekt. Ist die ACL vorhanden, aber leer, so erhält kein Benutzer Zugriff.
    ACL’s werden defaultmässig vererbt. Die Vererbung kann aber auch ausgeschaltet werden. Wird die ACL eines übergeordneten Verzeichnisses geändert, so hat dies je nach gewählter Vererbung Auswirkungen auf die darunterliegende Verzeichnisstruktur.
    (Weiterführendes findet man unter den Begriffen ACL - Beschränkte und erweiterte Sicherheitseinstellungen unter Windows)

3. Neuer Harddisk in Betrieb nehmen (WIN)

Ausser bei Hot-Swap fähigen RAID-Systemen muss ein HD-Tausch oder HD-Erweiterung bei ausgeschaltetem Rechner erfolgen. Nach dem Booten des Rechners werden folgende Schritte in der Computerverwaltung unter Datenträgerverwaltung (Konsolenaufruf diskmgmt.msc) nötig:

  • Datenträger initialisieren
  • Auf Datenträger neue Partition erstellen
  • Festlegen ob primäre oder erweiterte Partition
  • Partitionsgrösse in MB angeben
  • Laufwerksbuchstabe zuweisen oder leeren Ordner als «Mountpoint» bereitstellen
  • Dateisystem festlegen (Bei WIN vorzugsweise NTFS)
  • Datenträger bzw. Partition formatieren

Hinweis zu Dateisystem: Das bei Memorysticks weit verbreitete FAT-Dateisystem hat Einschränkungen in der max. Dateigrösse, der Partitionsgrösse und unterstützt zudem keine Zugriffsrechte. Dafür kann es von allen Betriebssystemen WIN, Linux, OSX etc. gelesen und beschrieben werden.

4. Harddiskpflege

Bei magnetischen Speichermedien wie Harddisks soll man gelegentlich die Fragmentierung überprüfen (Verstreute Speicherung von logisch zusammengehörigen Datenblöcken des Dateisystems auf einem Datenträger) und allenfalls eine Defragmentierung durchführen. Dies ist bei SSD’s (Solid-State-Disks) nicht nötig und wegen der begrenzten Anzahl von Schreibzyklen sogar kontraproduktiv.

5. Dateifreigabe (WIN)

Dem WIN-Server muss zuerst die Dateiserverfunktion hinzugefügt werden. Danach folgen diese Schritte:

  • Datenträgerkontingente festlegen (Wieviel Speicher darf ein Benutzer maximal belegen)
  • Freizugebender Ordnerpfad angeben
  • Freigabenamen und Pfad bestimmen (UNC-Pfad)
  • Zugriffsrechte regeln

Die Freigabe kann mit folgenden Befehlen überprüft werden:

  • netstat
  • net share
  • net use
  • Dateiserververwaltung – Freigegebene Ordner verwalten (zeigt z.B. die Anzahl Clients mit einer Netzlaufwerkverbindung zum Server an)

UNC-Pfad: UNC-Pfad bedeutet Unified Naming Convention Pfad und ist ein Standard zur Bezeichnung von Netzwerkadressen in der Form:

  • \\Hostname\Freigabename
  • \\IP-Adresse\Freigabename
  • \\FQDN\Freigabename

6. Serverkonzept erstellen

Soll ein serverbasiertes Netzwerk eingerichtet werden, müssen zuvor folgende Konzepte erstellt werden:

6.1 Datenkonzept

Hier geht es darum, die Informationsbedürfnisse und Einschränkungen für die Anwender abzuklären.

  • Wer darf in welchem Verzeichnis schreiben, wer darf lesen?
  • Welche Informationen unterstehen dem Datenschutz?
  • Welche Daten sind vertraulich?

6.2 Benutzer und Berechtigungsmatrix

In einer tabellenartigen Darstellung wird festgehalten, wer welche Rechte im Netzwerk besitzt. Es geht um Lese- bzw. Schreibrechte in Verzeichnissen und bei Dateien.

  • Erfassen sie die Benutzer - Verwenden sie dabei vorteilhafterweise keine Umlaute wie ö, ä, ü, é, è, à, etc.
  • Bilden Sie Gruppen
  • Weisen Sie die Benutzer den korrekten Gruppe zu
  • Verteilen Sie die Berechtigungen auf Verzeichnisebene an die entsprechenden Gruppen und nur im Ausnahmefall an einzelne Benutzer (Damit reduzieren sie den Administrationsaufwand bei neueintretenden, ausscheidenden und funktionswechselnden Mitarbeitern in ihrer Firma)

6.3 Namenskonzept

Alle Objekte benötigen eindeutige und systemverträgliche Namen. Überlegen sie sich darum, wie sie z.B. sperrige Mitarbeiternamen im System abbilden, auch hinsichtlich der Zeichenanzahlbeschränkung und der Vermeidung von Umlauten und Sonderzeichen. Einige Firmen vergeben ihren Servern Namen von Bergen, wie z.B. Pilatus, Eiger, Matterhorn etc. oder Südseeinseln. Andere codieren z.B. die Raumbezeichnungen in ihre Hostnamen wie z.B. PC-B1-01 was soviel heisst, wie PC Nr. 01 in Büro1.

6.4 Adressierungskonzept

Alle Objekte benötigen IP-Adressen:

6.5 Netzwerkkonzept

Dazu erstellen sie ein «Logisches Layout», wobei die Bezeichnungen, IP-Adressen, etc. mit denen im Namens- und Adresskonzept übereinstimmen sollten.