DIP$

Der Ordner für die DIP$-Freigabe ist meist dynamisch abgelegt. Beachten Sie: Der Ordner sollte niemals direkt auf C:\ liegen. In ihm befinden sich Skripte, Installationsdateien, Betriebssysteme und Treiber, die durch Operatoren der baramundi Management Suite erstellt und abgelegt werden.

Die baramundi Management Suite verwendet für den Zugriff auf einen DIP primär den Netzwerkbenutzer der Domäne, die einem Gerät zugeordnet ist. In aller Regel beschränken sich diese Operationen auf lesende Zugriffe. Auf den primären DIP greift zusätzlich auch der Administrationsbenutzer der baramundi-Management-Suite-Serverdomäne lesend zu. Das Benutzerkonto wird verwendet, um bDS-Skripte zum Transfer an Jobziele zu verpacken (kann der Administrationsbenutzer bDS-Skripte nicht vom primären DIP lesen, schlagen sämtliche Software verteilen- und Applikation deinstallieren-Jobschritte fehl). Zugriffsrechte der Gruppe Benutzer und des Templates Ersteller/Besitzer sollten Sie in jedem Fall entfernen.

HINWEIS

Bitte achten Sie darauf, in allen Applikationen mit Benutzereinstellungen die Option Skript auf Client kopieren zu verwenden, sobald Sie die Benutzer entfernt haben. Weitere Infos dazu in der Empfehlung uBDS-Dateien (s. u.).

Empfehlung uBDS-Dateien

Da der lesende Zugriff für die Domänen-Benutzer entzogen wurde, ist die Empfehlung, die Skripte lokal auf den Client zu kopieren (Option in der Applikation). Eine zweite Möglichkeit ist, alle uBDS-Skripte in einem eigenen Ordner abzulegen und den Benutzern darauf lesende Rechte zu geben. Es ist nicht notwendig, die Benutzer bereits auf höherer Ebene zu berechtigen, da der Zugriff über den UNC-Pfad erfolgt. Beispielpfad: \\bMS-Server.domain.local\DIP$\Scripts\uBDS

Variierende Berechtigungen im DIP

Je nach Modul müssen die Zugriffsrechte des Netzwerkbenutzers sowie anderer zulässiger Benutzerkonten erhöht werden. Sie benötigen zum Beispiel Schreib- und Ändern-Rechte für den Netzwerkbenutzer bei Jobs mit den folgenden Schritten:

Office-Download über MSW
Datensicherung durchführen
Image eines Laufwerks erstellen
Masterimage eines Betriebssystems erstellen
Festplatte vollständig löschen

Jobschritte, die Skripte für die Softwareverteilung (install/update/uninstall) nutzen oder als serverseitige Aktionen ausgeführt werden, benötigen ebenfalls, je nach Inhalt, schreibende Zugriffe.

bDS-Dateien sicher verwenden

bDS-Dateien können sicherheitskritische Informationen beinhalten, dazu zählen Benutzernamen, Kennwörter, Lizenzschlüssel und mehr. Um das Risiko eines unberechtigten Zugriffs auf derlei Daten zu minimieren, empfehlen wir, sensible Informationen stets in benutzerdefinierten Variablen vom Typ Passwort abzulegen. Solche Variablen werden zu keinem Zeitpunkt unverschlüsselt auf Zielsystemen vorgehalten.

In den Skripteigenschaften eines bDS sollte das Logging deaktiviert sein, sodass durch Lektüre der bMA.log keinerlei Informationen gewonnen werden können.

HINWEIS

Das Log lässt sich auch ausblenden. Dazu sind Administrationsrechte erforderlich.

Dateisystemberechtigungen

Die folgende Tabelle zeigt, welche Ordner genauer betrachtet werden sollten. Wichtig: Wird ein Ordner nicht genutzt, werden auf diesen auch keine Rechte für den externen Zugriff vergeben!

{DIP}

Ordner	Benutzer/Gruppen	Berechtigung
„Gesamt“	baramundi-Management-Suite-Operatoren	Ändern
	svc_baraAdmin	Lesen
	svc_baraNet	Lesen
baramundi Management Suite (bMS)	svc_baraAdmin	Ändern (wenn Compliance auf DIP ausgelagert)
	Computeraccounts (Domänen-Computer)	Lesen (Installation des baramundi Management Agents mit LocalSystem)

{DIP}\ManagedSoftware\source

Ordner	Benutzer/Gruppen	Berechtigung
MicrosoftOfficeC2R	svc_baraNet	Ändern (wenn Office über MSW)

{DIP}\Scripts

Ordner	Benutzer/Gruppen	Berechtigung
uBDS	(Domänen-)Benutzer	Lesen (ggf. Ausführen benutzerdefinierter Skripte)

HINWEIS

Für die Aufgaben des Netzwerkadministrators müssen, sofern benötigt, die passenden Ordner angelegt und berechtigt werden.

Freigabeberechtigungen

Die folgende Tabelle zeigt die Freigabeberechtigungen. Der Standard von Microsoft sieht vor, dass auf die Freigabe die Gruppe „Jeder“ das Recht „Vollzugriff“ bekommt. Empfehlenswert ist jedoch, auch hier mit AD-Security-Gruppen zu arbeiten.

Freigabe	Benutzer/Gruppe	Berechtigung
DIP$	svc_baraAdmin	Lesen Ändern (wenn Compliance auf DIP ausgelagert)
	svc_baraNet	Ändern
	(Domänen-)Benutzer	Lesen
	Computeraccounts (Domänen-Computer)	Lesen
	baramundi-Management-Suite-Operatoren	Ändern

Verteilte DIP-Server

Werden zusätzliche DIP-Server eingesetzt, müssen auch diese betrachtet werden. Da in der Regel nur auf dem Haupt-DIP-Server gearbeitet wird, kann hier die Berechtigung einfach und gleichzeitig restriktiver eingerichtet werden. Folgende Tabelle zeigt, welche Berechtigungen gesetzt sein sollten:

Berechtigung	Benutzer/Gruppen
Lesen (gesamter DIP)	svc_baraAdmin svc_baraNet baramundi-Management-Suite-Operatoren
Lesen	bMS-Ordner: Computeraccounts (Domänen-Computer) uBDS-Ordner (Scripts): Domänen-Benutzer
Ändern	svc_baraNet (abhängig von Aufgabe): Datensicherung durchführen Image von einem Laufwerk erstellen Festplatte vollständig löschen (für LOG-Datei)

Berechtigung

Benutzer/Gruppen

Lesen (gesamter DIP)

svc_baraAdmin
svc_baraNet
baramundi-Management-Suite-Operatoren

Lesen

bMS-Ordner: Computeraccounts (Domänen-Computer)
uBDS-Ordner (Scripts): Domänen-Benutzer

Ändern

svc_baraNet (abhängig von Aufgabe):

Datensicherung durchführen
Image von einem Laufwerk erstellen
Festplatte vollständig löschen (für LOG-Datei)

HINWEIS

Ist der verteilte DIP-Server gleichzeitig ein PXE-Relay, wird bei der Installation der Komponente eine BMS$-Freigabe erstellt. Diese kann gefahrlos zurückgezogen werden. Es wird immer auf die BMS$-Freigabe des bServers zugegriffen.