FAQ zum Zentralen File-Service

Hier erhalten Sie Informationen, wie das Formular auszufüllen ist und wie man Wünsche äußern kann, die im Formular noch nicht verankert sind.

Das Formular wird vom Installationsprogramm ausgewertet. Wenn für Sonderwünsche andere Formulierungen, als unten beschrieben, verwendet werden, kann es zu fehlerhaften Ergebnissen beim Einrichten des Gruppenlaufwerkes kommen.

Diese Hinweise werden kontinuierlich erweitert. Aktueller Stand: 18.07.2019

Folgende Sonderwünsche können berücksichtigt werden:

• Es wird die Sicherheitsstufe "hoch" benötigt. Der Zugriff erfolgt mit SMB3.
  • Bitte im Kommtarfeld eintragen: "Sicherheitsstufe: hoch"
• Vorhandene Volumes der medizinischen Fakultät, die noch nicht den Status "Gruppenlaufwerk" haben.
  • Bitte im Kommentarfeld eintragen: "MFdat: Volume in Gruppenlaufwerk umwandeln".
• Es soll ein virtueller File-Server mit Anbindung an eine Subdomäne unter "dom" inklusive eines Speichervolumes eingerichtet werden. SVM (Storage Virtual Machine).
  • Der im Formular angegebene Name wird dem Volume zugewiesen.
  • Im Kommentarfeld müssen folgende Angaben gemacht werden:
    • SVM: <namenskürzel> (max. 6 Zeichen)
      • es entsteht daraus "vs-<kuerzel>.zih.tu-dresden.de"
    • Domain: <domainname>
    • Domaincontroller: <IP1>, <IP2>
  • Es wird ein Loginname mit Passwort benötigt, womit die SVM der Domäne beitreten kann. (Bitte vorbereiten, wir fragen dies zur Einrichtung ab.)
  • In einer vorhandenen Firewall müssen die notwendigen Ports freigeschaltet werden.
• weitere Sonderwünsche
  • bitte ebenfalls im Kommentarfeld angeben, bis weitere Hinweise vorliegen

Gruppenlaufwerke sind Ergänzugen zu den zentralen Home-Verzeichnissen. In den Homeverzeichnissen kann man im Gegensatz zu Gruppenlaufwerken keine gemeinsamen Dateien bearbeiten. Die eingestellten Zugriffsrechte (UNIX- oder NTFS-Regeln) regeln den Zugriff auf Gruppenlaufwerke.

In Datei- oder Verzeichnisnamen dürfen keine unzulässigen Zeichen vorkommen.
   Der Sprachcode muss dem des Laufwerkes entsprechen (de.UTF-8).

Gruppenlaufwerke unterliegen Diskquotas. Das ist in der Regel die beantragte Größe.

Da sie ins zentrale Backup gesichert werden, empfehlen wir, sie in Unterverzeichnisse (Teilbereiche) zu unterteilen, die nicht mehr als 5 TB bzw. 5 Millionen Dateien enthalten. Diese Teilbereiche bilden jeweils einen eigenständigen Backup-Client. Nur so kann sichergestellt werden, dass ein Backupdurchlauf in seinem Laufzeitfenster fertig wird.

Von den Gruppenlaufwerksinhalten werden in der Regel Snapshots gemacht, die eine Weile erhalten bleiben.

   Zur Zeit gelten folgende Snapshot-Regeln:
      - 2 Tage lang je 6,10,14 und 18 Uhr        (insgesamt  8 Snapshots)
      - 2 Wochen lang Mo-Sa jeweils abends (insgesamt 12 Snapshots)
      - 26 Wochen lang Sonntag abends         (insgesamt 26 Snapshots)

Bei drohendem Überlauf des Speichersystems werden zuerst die ältesten größeren Snapshots gelöscht.

Für Gruppenlaufwerke braucht das ZIH ständig Kontaktpersonen, um im Notfall die richtigen Maßnahmen einleiten zu können. In der Regel werden sie in der folgenden Reiehenfolge angesprochen:

• die beiden eingetragenen Administratoren
• der benannte Leiter
• der IT-Beauftragte der Struktureinheit, um Ansprechpartner zu finden

Zugriffsrechte und andere Optionen der Gruppenlaufwerke können die Administratoren im Selfservice Portal oder anderen dafür eingerichteten Stellen an den Bedarf anpassen.

• NTFS-Zugriffsrechte werden auf dem Terminalserver "domts3.zih.tu-dresden.de" verwaltet
• UNIX-Rechte werden im IDM-Gruppenverwaltungs-Portal verwaltet.
• Laufzeit, Quotas, Ansprechpartner können im Selfservice Portal verändert werden.

Bei allgemeinen Fragen stellt man die Frage per Ticket an den Servivedesk.

Bei der Untersuchung von Problemen sind folgende Angaben mitzuliefern

• welches Betriebssystem
• welche Anwendung (z.B. MS Office Version)
• Netzanbindung, soweit bekannt?
• direkt (IP-Adresse 141.30.x.x oder 141.76.x.x)
• indirekt, versteckt (keine eigene TU-IP-Adresse)

In der Regel wird jedem TU-Angehörigen zentraler Speicherplatz in Form eines Homeverzeichnisses zur Verfügung gestellt. Dies hat folgende Einschränkungen:

• die Standardquota beträgt 20 GB
• Erhöhungen können per Ticket an den Servicedesk angefordert werden
  • die maximale Quota beträgt dann 200 GB für Mitarbeiter, bzw 50 GB für Studierende
• Es ist keine gemeinsame Berarbeitung von Dateien mit Dritten möglich

Wird darüber hinaus Bedarf festgestellt, also mehr Quota oder gemeinsame Arbeit an Dateien, kann man das mit einem Gruppenlaufwerk lösen. Dies wird im Selfserviceportal beestellt. Die maximale Größe beträgt technisch bedingt zur Zeit 100 TB.

Gruppenlaufwerke unterscheiden sich in verschiedenen Kategorien, die sich in Serviceklassen wiederspeigeln können.

• erwartete Größe
• normale oder hohe Sicherheitsstufe
• mit / ohne Snapshots / Backup / Teilbackup
• mit / ohne Spiegel an einen weiteren Speicherstandort der TUD
• Stil der Zugriffsrechte (UNIX oder NTFS)
• überwiegender Zugriff mit dem Protokoll CIFS
• überwiegender Zugriff mit dem Protokoll NFS

Die Auswahl des benötigten Zugriffsrechte-Modells erfolgt bei der Antragsstellung.

• UNIX
  • Der Administrator kann das IDM-Gruppenportal zur Administration seiner UNIX-Gruppen nutzen.
• CIFS / NTFS
  • Diese Rechte kann der Administrator selbst verwalten.
• NFS
  • Die Zugriffsrechte bestimmt der Administrator des NFS-Clients

Ein Wechsel von NTFS- auf UNIX-Rechteverwaltung oder umgekehrt, ist möglich. Zur Fertigstellung ist es notwendig, dass alle Verbindungen zum Laufwerk kurzzeitig geschlossen werden.

UNIX-Rechte sind Zugriffsrechte auf Dateien nach UNIX-Regeln.

• Es werden drei Gruppen von IDs unterschieden.
  • der Eigentümer
  • die Eigentümergruppe
  • der "Rest"
• Jede dieser ID-Gruppen bekommt die Rechte explizit erteilt.
  • lesen                           (R)
  • schreiben                   (W)
  • ausführen                   (X)
  • bzw. "nicht erlaubt"  (-)

Bei Gruppenlaufwerken werden in der Regel die Zugriffrechte so voreingestellt, dass der Eigentümer, und die Eigentümergruppe alle Rechte haben, der Rest keine. Die Eigentümergruppe wird an neue Verzeichnisse weitervererbt.

• Im Linux sieht die Rechteliste so aus
  • Verzeichnis     :  drwxrws---
  • Programm      :  -rwxrwx---
  • normale Datei:  -rw-rw----

Gruppenlaufwerks-Admins können die Eigentümergruppen im IDM-Portal für Gruppenverwaltung selbst pflegen.

NTFS-Rechte sind ACL-basierende Zugriffsrechte auf Dateien und Ordner nach Windowsregeln (ACL=Access Control List)

• Die Rechte werden z. B. über eine grafische Oberfläche im Dateimanager oder per Kommandozeile mit dem Kommando "icacls" vergeben.
• Die NTFS-Rechte verwaltet der Administrator des Gruppenlaufwerkes.
• Zur Administration der Rechte haben wir einen Terminalserver eingerichtet.
  • Mit einer RemoteDesktop-Verbindung verbinden mit 
    • 141.76.18.82 (DOMTS3.dom.tu-dresden.de)
      • dort anmelden
      • das Netzlaufwerk verbinden
      • die Rechte nach den eigenen Vorstellungen verwalten
• Zusätzlich spielen noch die Besitzverhältnisse für die Objekte eine Rolle.
• s. auch: "Besitzer von Ordner oder Dateien ändern, Besitzrechte in Windows"
• s. auch: "NTFS-Berechtigungen, Zugriffssteuerung mit NTFS"

Jeder Ordner und jede Datei hat einen Besitzer. Der Besitzer ist derjenige, der das Objekt erstellt hat. Nicht jedes Objekt wird von einem "echten" Benutzer erstellt. Beispielsweise werden bei der Installation des Betriebssystems, Installation von Programmen etc. automatisch Ordner und Dateien erstellt. Der Besitzer wird im "Register Besitzer", in den "Erweiterten Sicherheitseinstellungen" unter "Aktueller Besitzer" angezeigt.

Der Besitz ist eine wichtige Eigenschaft bei den NTFS-Rechten. Denn der Besitzer stellt die oberste Instanz bei der Vergabe von Berechtigungen dar. Das ist deshalb wichtig, weil es durchaus m&ouml;glich ist, festzulegen, dass z. B. niemand eine Berechtigung auf ein Objekt bekommt.

Was geschieht nun, wenn niemand auf das Objekt zugreifen kann? Wenn niemand auf das Objekt zugreifen kann, k&ouml;nnen auch keine neuen Berechtigungen vergeben werden. Ein Teufelskreis. Niemand kann in Zukunft auf das Objekt zugreifen.

Beim Versuch, auf ein Objekt zuzugreifen, auf das niemand berechtigt ist, kommt eine Fehlermeldung. Auch der Administrator kann nicht darauf zugreifen. Das führt manchmal zur Verwirrung, denn viele Administratoren sind verwundert darüber, dass sie auf ein Objekt nicht zugreifen dürfen, obwohl sie ja "Administratoren" sind.

Maßgeblich für den Zugriff sind die Berechtigungen. Wer nicht berechtigt ist, kann auch nicht zugreifen. Nicht einmal der Ersteller! Der Ersteller kann jedoch eines tun. Der Ersteller kann als letzte Instanz neue Berechtigungen vergeben. Aus dem Grunde hat grundsätzlich jedes Objekt einen Besitzer.

Der Besitzer kann die Berechtigungen einsehen und neu vergeben. Erst danach können weitere Benutzer die Berechtigungen einsehen und je nachdem was eingestellt wurde, selbst weitere Berechtigungen vergeben.

Was passiert aber, wenn es den Besitzer nicht mehr gibt? Auch für solche Fälle gibt es eine Lösung. Ein Administrator hat die Möglichkeit, den Besitzer so zu ändern, dass entweder der Administrator oder die Gruppe der Administratoren zum Besitzer ernannt wird.

Auch in der täglichen Arbeit kann es notwendig sein, dass der Administrator kurzzeitig den Besitz übernehmen muss. Beispielsweise haben die Administratoren keine Berechtigung, auf die Benutzerprofile der Benutzer zuzugreifen. Manchmal kommt es jedoch vor, dass der Administrator darauf zugreifen muss, beispielsweise um dem Benutzer bei irgendeinem Problem zu helfen. In solchen Fällen kann der Administrator, mit Einverständnis des Benutzers natürlich, kurzzeitig den Besitzer ändern, sich berechtigen und dem Benutzer bei seinem Problem helfen.

Das ZIH richtet den Start so ein, dass "Jeder" sich verbinden kann, aber dann keine weiteren Rechte hat.

• "Jeder" hat dann Rechte "Lesen" und "Ordnerinhalt anzeigen" beim Stammverzeichnis des Gruppenlaufwerkes. Das erfüllt mehrere Zwecke:
  • das Laufwerk kann man auch per SSHFS aus Linux bzw. Mac OS-X anbinden
  • man kann über den Daten-Gateway (SFTP-Server) auf das Laufwerk zugreifen
  • man kann verschiedenen Logins / Login-Gruppen verschiedenen Unterverzeichnisse zuweisen, ohne alle ins Stammverzeichnis eintragen zu müssen und danach Rechte wieder zu entziehen.
• Der Laufwerks-Admin hat Vollzugriff und ist Eigentümer des Gruppenlaufwerkes.
• Die Domänen-Admins der Domäne "dom" haben Vollzugriff. Dies wird für ordnungsgemäßes Backup benötigt.

Rechteverwaltung   

• Der Laufwerks-Admin meldet sich mit einer RemoteDesktop-Verbindung am Terminalserver domts3.zih.tu-dresden.de an. Danach hängt er das eigene Laufwerk als Netzlaufwerk ein und kann über das Register "Sicherheit" Rechte verwalten.
  • Alle Zugriffsberechtigten bekommen Zugriff auf das Laufwerk. Sie werden mit "dom\loginname" hinzugefügt.

In Unterverzeichnissen wird eine Baumstruktur angelegt und in den verschiedenen Zweigen nur die Logins zugelassen, die zugreifen sollen. Die Rechte sollten von oben nach unten vererbt und unten gegebenenfalls entzogen werden.

Wenn Logins z. B. nur in ein bestimmtes Verzeichnis schreiben sollen, aber sonst keine Rechte haben sollen, müssen sie trotzdem bis zum Ziel navigieren können, also zumindest Berechtigungen lesen können.

Vorgehensweise:

• Man geht über die Eigenschaften des Laufwerkes, bzw. eines Verzeichnisses.
  • <Eigenschaften>
    • <Sicherheit>
      • <Bearbeiten>
        • <Hinzufügen>   (!!! vgl. jetzt Suchpfad="dom.tu-dresden.de",                                                    wenn nicht, ist man im falschen Netz)
          • <Erweitert>
            • hinter "Beginnt mit" den gewünschten Loginnamen eingeben und "Jetzt suchen" drücken (... geht nicht? --> falsches Netz)
            • aus den Ergebnissen den Loginnamen heraussuchen
            • mit <ok> zurück navigieren

Das Speichersystem hat alle Voraussetzungen die Bestimmungen der Datenschutzstufe hoch zu erfüllen. Dazu müssen jedoch einige Regeln eingehalten werden.

Schon bein Einrichten eines Gruppelaufwerkes muss der Schutzbedarf geklärt sein. Bei Datenschutzstufe hoch werden die Daten auf den Festplatten verschlüsselt und die Übertragung über das Datannetz erfolgt ebenfalls verschlüsselt.

Zugriff ist daher nur mit dem Protokoll Samba 3 (SMB3) möglich. Dies wird nicht von Windows 7 bzw. 8 unterstützt.

Linux-Systeme greifen mit den Protokollen der Secure Shell (SSH) auf die Daten zu.

Unsere Backupsysteme bestehen aus Festplattenpools und Bandlaufwerken an zwei getrennten Standorten des Campus. Regelmäßiges Backup ins zentrale Backup-System bedeutet inkrementelles Backup von Disk auf Disk. Von dort werden die Daten auf Magnetbänder migriert und von den Festplattenpools wieder gelöscht.

Die Gruppenlaufwerke werden in der Regel einmal wöchentlich ins zentrale Backup-System gesichert. Die Daten bleiben in der Regel 26 Wochen lang restaurierbar. Dazu wird immer die Mitwirkung der ZIH-Admins benötigt.

Spielregeln, welche Daten gehören nicht auf Gruppenlaufwerke?

Die Gruppenlaufwerke liegen in der Regel auf den teuersten und am besten gegen Nichtverfügbarkeit abgesicherten Speichersystemen des ZIH. Die Daten werden regelmäßig ins zentrale Backup gesichert. Deshalb sollten einige Spielregeln beachtet werden.

Die Gruppenlaufwerke sollten nicht als Backup-Ziel benutzt werden, da die vom ZIH zu tragenden Kosten dafür weit höher liegen, als die der Nutzug des zentralen Backup-Services.

Ein einzelner Backup-Prozess kann in der Regel gut mit maximal 5 TB Daten und/oder bis zu 5 Millionen Dateien umgehen. Wenn es deutlich mehr Daten werden, sollte man sie so in Verzeichnisse verteilen, dass man sie mit mehreren, voneinander unabhängige, Backup-Prozesse sichern kann.

Die Rohdaten von fertigen Projekten sollten in Archive (tar, zip) zusammengefasst werden.

NTFS-Rechte, Verschiedene Einstellungen haben verschiedene Auswirkungen.

offen

/wurzel       

• Admins und Domänen-Admins mit Vollzugriff
• Jeder mit "Leserecht" und "Ordnerinhalt anzeigen"
• Jeder darf mounten und sieht die Verzeichnisse
• sshfs und sftp können ausgeführt werden, man sieht den Inhalt und kann ihn entsprechend der Rechte verarbeiten

kein sshfs bzw. sftp

/wurzel       

• Admins und Domaenen-Admins mit Vollzugriff
• Jeder mit "Leserecht"
• Jeder darf mounten und sieht die Verzeichnisse
• sshfs und sftp können ausgeführt werden, man sieht dort aber nichts und kann nicht in Unterverzeichnisse wechseln

kein sshfs, kein sftp, kein Zugriff auf das Stammverzeichnis

/wurzel             

• Admins und Domaenen-Admins mit Vollzugriff, sonst keiner
• CIFS geht für alle, aber man sieht nichts, kann auch nicht in Unterverzeichnisse wechseln

   /wurzel/"username"  

• "username" hat Rechte
• Anbinden von "/wurzel" und Wechsel und Unterverzeichnis geht nicht, aber /wurzel/"username" kann direkt angebunden werden.
• "username" darf dort gemäß der Rechte etwas tun
• sshfs und sftp können nicht ausgeführt werden

NTFS ist entwickelt worden, weil die bis dahin gängigen Dateisysteme FAT und FAT32 den professionellen Ansprüchen nicht mehr genügten. Beispielsweise war die maximale Kapazität einer Festplatte unter FAT auf 2 GB und unter FAT32 auf 32 GB beschränkt.  Das NTFS-Dateisystem wurde mit Windows NT eingeführt.

Eine der Stärken von NTFS ist, dass in eine Datei zusätzliche Informationen    gespeichert werden können. Dazu gehören vor allem Zugriffsrechte, auch NTFS-Rechte genannt. Dadurch wird ermöglicht, den Zugriff auf lokale Dateien zu regeln. Der     Unterschied zu den Dateifreigaben ist, dass Dateifreigaben den Zugriff über das Netzwerk steuern.

Meldet sich ein Benutzer jedoch lokal am Rechner an, gelten die Freigabeberechtigungen nicht mehr, da sie nur für Zugriffe von externen Computern  gelten. Mit NTFS-Berechtigungen ist es möglich, auch den lokalen Zugriff zu steuern, bzw. freizugeben oder zu verhindern.
NTFS kann aber noch mehr, z.B. können Freigabeberechtigungen nur auf Ordner  angewendet werden. Mit NTFS ist es möglich, jede einzelne Datei mit NTFS-Rechten zu versehen.

Um die NTFS-Berechtigungen anzusehen oder zu ändern, rufen Sie die Eigenschaften des Ordners oder der Datei auf. Im Register Sicherheit befinden sich die NTFS-Rechte und können hier geändert werden. Bevor NTFS genutzt werden kann, muss der Datenträger mit NTFS formatiert sein. Es ist auch nachträglich möglich, ein FAT32-System in ein NTFS-System umzuformatieren. Ist der Datenträger nicht mit NTFS formatiert, existiert das Register Sicherheit nicht.

Unsere Gruppenlaufwerke können ebenfalls von UNIX auf NTFS umgestellt werden. Danach erhält das Laufwerk eine Startkonfiguration wie neue Gruppenlaufwerke.

Wenn in einer Domänenumgebung auf einem Client ein Ordner erstellt wird, sind bestimmte Gruppen standardmäßig mit verschiedenen Berechtigungen versehen.     Authentifizierte Benutzer sind die, die sich von einem vertrauenswürdigen     Domänencontroller authentifiziert haben. Die Gruppe System ist eine Pseudogruppe des Systems, die benötigt wird, wenn vom System auf den Ordner zugegriffen wird. In der Gruppe Administratoren sind wie der Name schon sagt, Administratoren zusammengefasst. Unter Rechnername\Benutzer sind die lokalen Benutzer zusammengefasst.

Für jeden Benutzer oder jede Gruppe sind die Berechtigungen im unteren Bereich     aufgelistet.  Wenn man das mit den Freigabeberechtigungen vergleicht, stellt man     fest, dass es hier wesentlich mehr Berechtigungen gibt.

Klicken Sie im Register Sicherheit auf die Schaltfläche Bearbeiten, können Sie im nächsten Fenster über die Schaltflächen Hinzufügen und Entfernen weitere Benutzergruppen zu den Berechtigten hinzufügen oder von der Berechtigung ausschließen.

Für jeden Benutzer/Gruppe können Sie im unteren Bereich die Rechte vergeben. 

Für die Gruppen, die standardmäßig berechtigt werden, z.B. die Authentifizierten Benutzer, können Sie die Berechtigungen nicht ändern. Im unteren Bereich sind die gesetzten Häkchen grau dargestellt. Auch können Sie die Gruppe nicht entfernen.

Das liegt daran, dass dieser Gruppe von übergeordneten Berechtigungen die Rechte auf diesen Ordner vererbt werden. Die Übernahme von übergeordneten Berechtigungen muss deaktiviert werden, damit auch für diese Gruppen die Berechtigungen separat vergeben werden kann.

Klicken Sie im Register Sicherheit auf die Schaltfläche Erweitert, bekommen Sie eine erweiterte Ansicht der Berechtigungen.

Hier ist insbesondere die Spalte Geerbt von interessant.

Gruppen waren z. B. bereits auf Laufwerk berechtigt. Daher wird die Berechtigung auch für neue Ordner erteilt. Die Berechtigung wird also geerbt. 

Verantwortlich dafür ist der Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen". Um die Einstellungen zu ändern, klicken Sie auf Berechtigungen ändern.

In diesem Fenster können Sie nun alle Einstellungen vornehmen. Über die    Schaltflächen "Hinzufügen", "Entfernen" und "Bearbeiten" können Sie weitere     Benutzer hinzufügen, entfernen oder die Berechtigungen ändern.

Wenn Sie den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts     einschließen" entfernen, werden automatisch alle Benutzer und Gruppen entfernt, die ihre Berechtigung nur deshalb hatten, weil sie ihre Berechtigung geerbt haben. Damit wird die Vererbung von übergeordneten Objekten ausgeschaltet.

Die andere Option, "Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigung von diesem Objekt ersetzen", bewirkt, dass die Berechtigungen an die Unterordner/Dateien weitergegeben werden. Untergeordnete Objekte erben die Berechtigungen von diesem Objekt.

Snapshots sind eine Technologie, die es erlaubt, augenblicklich den Stand in einem Laufwerk einzufrieren. Die darin befindlichen Daten stehen bis zum Löschen des Snapshots readonly zur Wiederherstellung zur Verfügung.

Alle Snapshots sind nicht überschreibbar und bieten deshalb auch Schutz vor versehentlicher bzw. absichtlicher (Viren, Trojaner) Manipulation der Daten. Ein Störprogramm kann zwar das aktuelle Original von Daten zerstören, hat jedoch keinen Zugriff auf die Snapshots. (Die gilt jedoch nur für Laufwerke auf dem NetApp-System)

Wiederherstellung verlorener Daten aus den Snapshots

• Man kopiert verlorene Daten einfach aus den Snapshots wieder in ein schreibbares Verzeichnis.

Wo stehen die Snapshots?

• Windows
  • Bei den Dateieigenschaften unter „Vorgängerversionen“
• Linux
  • Im Unterverzeichnis „.snapshot“
• MacOS
  • Im Unterverzeichnis „~snapshot“

Die Unterverzeichnisse „.snapshot“ sind nur im Mountpunkt sichtbar, aber in jedem Unterverzeichnis enthalten.

Wann werden sie erzeugt und wie lange sind sie Verfügbar?

Die Standardregel ist wie folgt definiert

• wöchentliche Stände werden sonntags abends festgehalten (26 Wochenstände)
• 2 Wochen lang montags - sonnabends abends (12 Tagesstände)
• 2 Tage lang 4-Stündlich in der Kernarbeitszeit (8 aktuelle Stände)

Alle Homeverzeichnisse und Gruppenlaufwerke werden regelmäßig ins zentrale Backup gesichert. Ausnahmen bilden individuelle Absprachen mit Gruppenlaufwerks-Verantwortlichen.

Backup-Klienten müssen aus technischen Gründen in Portionen aufgeteilt werden, die ein einzelner Backup-Prozess in seinem Zeitzyklus verarbeiten kann. Das heißt, bevor er wieder startet, muss der vorhergehende Durchlauf abgeschlossen sein.

Aus diesem Grund ist das ZIH auf die Mitwirkung der Laufwerksverantwortlichen angewiesen, um die geeigneten Backup-Klienten definieren zu können. Dabei gelten in der Regel folgende Einschränkungen pro Prozess:

• Maximal 1 inkrementeller Backup-Zyklus pro Woche
• Maximal 5 Millionen Dateien
• Maximal 5 TB Datenmenge

Die Backup-Klienten werden auf einem Backup-Gateway gebündelt. Da darauf kein Zugriff durch die Nutzer möglich ist, kann Restore von Daten nur mit Hilfe eines Backupadministrators erfolgen.

Im Normalfall findet man verlorene Daten zeitnah auch in den Snapshots wieder.

Mit einem CIFS-Mount von der Kommandozeile (verschiedene Linux-Varianten akzeptieren unterschiedliche Syntax)

Alle Kommandos bestehen jeweils aus einer Zeile. Die Parameter sind durch Leerzeichen getrennt.

Allgemeine Schreibweise

             mount -t cifs -o optionen <laufwerk> <mountpunkt>

1. Homeverzeichnis
1a)      mount -t cifs -o username="dom\loginname"   \\\\vs-home.zih.tu-         dresden.de\\loginname     mountpunkt

1b)      mount -t cifs -o username="loginname",domain="dom" //vs-home.zih.tu-dresden.de/loginname mountpunkt

2. Gruppen-Laufwerk
2a)      mount -t cifs -o username="dom\loginname" \\\\vs-grpNN.zih.tu-  dresden.de\\GLW-Name mountpunkt

2b)      mount -t cifs -o username="loginname",domain=dom //vs-grpNN.zih.tu-dresden.de/GLW-Name mountpunkt

Mit dem "Finder"

  Homeverzeichnis
    Im Finder mit einem "Server verbinden"
       smb://vs-home.zih.tu-dresden.de/"ZIH-Loginname"

    "verbinden" drücken und als "Registrierter Benutzer" verbinden
    Name       : ZIH-Loginname
    Kennwort: ZIH-Passwort

  Gruppen-Laufwerk
    Im Finder mit einem "Server verbinden"
       smb://vs-grpNN.zih.tu-dresden.de/GLW-Name    (NN ist 01, 02, 03 oder 04)

    "verbinden" drücken und als "Registrierter Benutzer" verbinden
    Name       : ZIH-Loginname
    Kennwort: ZIH-Passwort

Mit einem CIFS-Mount von der Kommandozeile  mit der Option "-t cifs" oder "-t samba"

  Home-Laufwerk
    mount -t cifs //\"ZIH-Loginname"@vs-home.zih.tu-dresden.de/<ZIH-Loginname> mountpunkt

  Gruppen-Laufwerk
    mount -t cifs //\"ZIH-Loginname"@vs-grpXX.zih.tu-dresden.de/<GLW-Name> mountpunkt

     Es wird noch nach dem Passwort von "ZIH-Loginname" gefragt.

Immer automatisch nach Login einbinden

In der Systemsteuerung findet man die Benutzereinstellungen. In diesen muss das Laufwerk zu den "Anmeldeobjekten" hinzugefügt werden.

Verbindung mit dem Home-Verzeichnis auf dem Server "vs-home"

Im Windows-Explorer "Dieser PC" auswählen. Im Menüband "Computer" ein "Netzlaufwerk verbinden". Laufwerksbuchstaben auswählen
    Ordner              : \\vs-home.zih.tu-dresden.de\ZIH-Loginname
    Benutzername: dom\ZIH-Loginname
    Passwort          : ZIH-Passwort

Verbindung mit einem Gruppen-Laufwerk auf einem Server "vs-grpNN"

Im Windows-Explorer "Dieser PC" auswählen. Im Menüband "Computer" ein "Netzlaufwerk verbinden". Laufwerksbuchstaben auswählen
    Ordner              : \\vs-grpNN.zih.tu-dresden.de\GLW-Name   (NN ist 01, 02, 03 oder 04)
    Benutzername: dom\ZIH-Loginname
    Passwort          : ZIH-Passwort

Eine verschlüsselte Datenübertragung von und zum Netzlaufwerk kann man mit dem Protokoll SMB3 (Samba 3) erzwingen.

Alte Betriebssyteme, wie Windows 7 oder Windows Server 2008 beherrschen dieses Protokoll leider nicht.

Wie erzwinge ich die Benutzung von SMB3 unter Window 10?

Die Antwort suche ich noch....

SSHFS (Secure SHell File System) ist ein Netzwerkdateisystem, mit dem Netzwerkspeicher ins eigene Dateisystem über sine verschlüsselte SSH-Verbindung mit SFTP-Protokoll eingebunden werden kann.

einhängen eine Home-Verzeichnisses:
       sshfs <ZIH-Login>@dgw.zih.tu-dresden.de:/home/"hN"/<ZIH-Login> <mountpunkt>

Der Wert "N" ist die letzte Ziffer der UserID des ZIH-Lgins. Diese kann man auf einem Login-Server wie folgt berechnen:

let N=${UID}%10

einhängen eine Gruppenlaufwerkes:
       sshfs <ZIH-Login>@dgw.zih.tu-dresden.de:/glw/<glw-Name> <mountpunkt>

Wenn kein Public-SSH-Key in Homeverzeichnis den Logins hinterlegt ist, wird nach dem Passwort des ZIH-Logins gefragt.

abhängen:

fusermount -u <mountpunkt>

Das übliche Linux-Kommando "umount" darf nur "root" ausführen. Deshalb muss das Kommando "fusermount" installiert sein:
      

1. Man kann eine VPN-Verbindung zur TU Dresden schalten und sich dann wie gewohnt mit dem Netzlaufwerk verbinden lassen.

2. Man benutzt das Kommando sftp von der Linux- oder der Mac-Kommandozeile, bzw. eine Anwendung, die Secure FileTransfer (SFTP) zur TUD ermöglicht und verbindet sich wie folgt:

Home-Verzeichnis

    Server               : sftpg.zih.tu-dresden.de
    Benutzername: ZIH-Loginname
    Passwort          : ZIH-Password
    Verzeichnis      : /home/ZIH-Loginname

Gruppen-Laufwerk

    Server               : sftpg.zih.tu-dresden.de
    Benutzername: ZIH-Loginname
    Passwort          : ZIH-Password
    Verzeichnis      : /glw/gruppenlaufwerk

Nach der Anmeldung wird das Home-Verzeichnis angezeigt.
Man kann danach in das Verzeichnis des Gruppen-Laufwerkes wechseln.

Die eingetragenen Administratoren können UNIX-Zugriffsrechte mit Hilfe der Gruppenverwaltung im IDM-Portal sebs steuern.

Die eingetragenen Administratoren können Zugriffsrechte im Windows-Stil (NTFS)  selbst festlegen. Dazu melden sie sich mit einer Remotedesktop-Verbindung am Terminalserver domts3.zih.tu-dresden.de an und verbinden sich mit dem Netzlaufwerk.

Nutzungsberechtigte binden es in ihre Arbeitsumgebung ein, indem sie sich mit dem Netzlaufwerk verbinden lassen.

Wir sind dabei WebVPN zu prüfen. Bei Erfolg wird es in einem der nächsten Infoblätter des ZIH bekanntgegeben.

Diese FaQ wird dann eine Anleitung enthalten.

Was sind die Daten-Gateways, wo sind die Verzeichnisse, wie kopiere ich Daten?

Die Daten-Gateways unterstützen die Nutzer, ihre Daten zwischen verschiedenen Laufwerken zu sortieren. Alle zentralen Homeverzeichnisse und Gruppenlaufwerke sowie das Zentralarchiv sind im Verzeichnisbaum zu finden. Sie sind gleichzeitig ein Gateway ins zentrale Backup.

Als Kopierwerkzeuge stehen SCP, SFTP und Rsync zur Verfügung. Interaktives Login auf einen Datengateway ist nicht möglich.

Die Baumstruktur ist wie folgt aufgebaut:

•     Home-Verzeichnisse
  • /home/"loginname"
• Gruppen-Laufwerke
  • /glw/GLW-Name
• HRSK-Verzeichnisse
  • Stehen derzeit nicht mehr am Datengateway zur Verfügung, sondern nur noch an den Taurus-Export-Nodes
• Archiv
  • /archiv/"loginname"
  • /archiv/"projectname"
  • /archiv/"GLW-name"

Wenn ein Gruppenlaufwerk vermeintlich leer ist, bitte ein Ticket eröffnen.

Zum Kopieren von Daten benötigt man einen geeigneten SCP-, SFTP- oder Rsync-Client.

• In Linux sind es die genauso genannten Kommandozeilenkommandos oder die Desktop File Manager, Dolphin (KDE) oder Nautilus (GNOME).
• Auf Mac gibt es ebenso Kommandos von der Kommandozeile oder grafische Tools, wie FileZilla.
• Für Windows gibt es grafische Tools, wie FileZilla oder WinSCP.

Beispiele für Kommandozeilen-Kommandos

Man wird immer nach dem Passwort gefragt, oder man hinterlegt auf den beteiligten Systemen SSH-Keys von dem System, von dem aus die Kommandos ausgeführt werden.

•  Daten vom Daten-Gateway zum lokalen System kopieren.

   cd "zielverz"
   scp "zih-loginname"@dgw.zih.tu-dresden.de:"quelldatei" .

• Daten vom lokalen System zum Daten-Gateway kopieren.

   cd "quellverzeichnis"
   scp "quelle" "zih-loginname"@dgw.zih.tu-dresden.de:"zielverz"

• Daten auf dem Daten-Gateway von Ort1 zu Ort2 kopieren.

   scp "loginname"@dgw.zih.tu-dresden.de:"quelle" "loginname"@dgw.zih.tu-dresden.de:"zielverz"

• Daten von "Irgendwo" auf den Daten-Gateway kopieren

   scp "login"@"host":"quelle" "zih-loginname"@dgw.zih.tu-dresden.de:"zielverz"

• Daten mit dem Daten-Gateway mit "rsync" synchronisieren
  • rsync muss auf dem Daten-Gateway ausgeführt werden, sonst gibt es einen internen Fehler. Wir suchen einen Weg, den Fehler zu beseitigen.

   Folgende Wege sind jedoch möglich:

• rsync vom Daten-Gateway zum Remotehost

         ssh "loginname"@dgw.zih.tu-dresden.de rsync -options test-dgw.dat "loginname"@"remotehost":"ziel"

        Beispiel:
         ssh xyz@dgw.zih.tu-dresden.de rsnyc -aHlpSr --delete --exclude=.snapshot /hpc/xyz/projekte xyz@mypc.xy-domain.de/

• rsync vom Remotehost zum Daten-Gateway:

         ssh "loginname"@dgw.zih.tu-dresden.de rsync -options "loginname"@"remotehost":"quelle" "zielverz"

• Beispiel:

         ssh xyz@dgw.zih.tu-dresden.de rsync -aHlpSr --delete --exclude=.snapshot xyz@mypc...de:bilder /home/weller

• weitere konkrete Beispiele:

        Daten aus dem Datengateway mit dem zentralen Home-Verzeichnis synchronisieren
            dgw:$HOME/tools --> login1:$HOME/tmp2

         ssh xyz@dgw.zih.tu-dresden.de rsync -av tools xyz@login1.zih.tu-dresden.de:tmp2

        Daten aus dem zentralen Home-Verzeichnis mit dem Datengatew   synchronisieren
            login1:$HOME/tools --&gt; dgw:$HOME/tmp2

         ssh xyz@login1.zih.tu-dresden.de rsync -av tools xyz@dgw.zih.tu-dresden.de:tmp2

        Daten aus einem Gruppenlaufwerk in ein HRSK-Verzeichnis synchronisieren

            ssh xyz@dgw.zih.tu-dresden.de rsync -av /glw/glw_jw/GLW-Test xyz@tauruslogin3.hrsk.tu-dresden.de:tmp2

  mögliche Fehlermeldungen

• Host key verification failed
  • Ursache und Lösung
    • Am Zielsystem in $HOME/.ssh/known-hosts steht ein alter SSH-Key des sendenden Systems, also den Key oder die Datei löschen.

Alle Festplatten und Laufwerke im primären Speichersystem sind verschlüsselt. Beim Austausch defekter Platten, gehen die verschlüsselten Platten zurück an den Hardwarehersteller.

Festplatten, die sensible Daten enthalten können, werden nach Defekt ausgetauscht und datenschutzgerecht entsorgt.

Die Verbindung zum File-Server ist unverschlüsselt, es sei denn, man verwendet folgende Verbindungsprotokolle:

• Secure Shell (ssh)
  • In Linux und MacOS enthalten
  • Windows-Clients sind verfügbar (z.B. Putty)
• SMBv3
  • SMB ist das Standardverbindungsprotokoll aus Windows, jedoch die Versionen 1 und 2 sind unverschlüsselt.

Die Daten werden vor der Übertragung unverschlüsselt an die Anwendung übergeben. Wenn man ein verschlüsseltes Laufwerk am Endgerät benutzen möchte, muss man ein geeignetes Verschlüsselungsprogram benutzen. BoxCryptor ist zur Zeit empfohlen, eignet sich jedoch nicht für jeden Anwendungsfall.

Schutz von persönlichen WWW-Seiten

Mit einer Datei namens ".htaccess" in einem Web-Ordner kann man regeln, wie auf dessen Inhalt zugegriffen werden kann.

Der Inhalt sieht zum Beispiel wie folgt aus:

AuthType Basic
AuthName "Login notwendig"
AuthUserFile /home/fs2/v<NNN>/<Loginname>/public_html/.htpasswd
Require valid-user

Die hinter "AuthUserFile" angegebene Datei enthält die zugriffsberechtigten Benutzernamen mit ihren verschüsselten Passwort-Hashes. Zwischen den Benutzernamen und den Loginnamen des Systems muss kein Zusammenhang bestehen.

Wird das Verzeichnis im Web-Browser gewählt, fragt dieser nach einem gültigen Benutzernamen und dem dazugehörenden Passwort.

Der Pfad des Passwortfiles sollte genau so aussehen. Der ZIH-Loginname und NNN müssen korrekt anggeben werden. NNN ist die letzte Ziffer der UserID von "Loginname".

Die UserID kann man auf einem Login-Server mit dem Kommando "id loginname" ermitteln.

Die Ursache hierfür ist die Kodierung (Spracheinstellung des Speicherbereiches). In der Regel sollte das "de.utf-8" sein, das Umlaute, "ß" und Leerzeichen zulässt. Andere Zeichensätze lassen die Dateinamen "verschwinden", oder zeigen falsche Zeichen an.

Wir empfehlen, weitgehend auf Leerzeichen, Sonderzeichen, "ß" und Umlaute in Dateinamen zu verzichten.

Die Anzeige richtet sich nach den verfügbaren Ressourcen. Wenn genügend Speicherplatz frei ist, wird die beantrage Größe angezeigt. Wenn der Platz knapp wird, zeigen die Systeme den insgesamt noch verfügbaren Restspeicherplatz an.
    

Die ZIH-Administratoren sind bei Engpässen in der Lage, Daten ohne Betriebsstörung auf andere Speicherbereiche zu velagern.

Man kann sich von einem Client gleichzeitig nur mit einem Loginnamen anmelden.

      1.  Anmeldung, indem man den Namen des Servers benutzt
                \\vs-grp01.zih.tu-dresden.de\GLW1   

                 Anmeldename 1: dom\loginname1

Für eine zweite Anmeldung, muss man einen zweiten Weg finden.

      2.  Anmeldung, indem man die IP-Adresse des Servers benutzt
                \\141.76.10.14\GLW2

                Anmeldename 2: dom\loginname2

Altlasten kann man unter Windows mit Reboot beheben oder mit folgender Kommandozeile im Eingabefenster von Windows:

net use * /delete /yes

Das ist eine Einstellung im Sicherheitscenter von MS Office. Netzlaufwerke werden erst eimal als gefährlich eingestuft. MS Office muss den Speicherort als vertrauenswürdig anerkennen.

Lösungsweg:

Entsprechend den vorliegenden IT-Schutzbestimmungen kann man im Sicherheitscenter
die vorgegebenen strengen Regeln verändern.

Das Sicherheitscenter findet man bei den Office-Programmen im Menüpunkt
"Dateien" unter "Optionen".

• Sicherheitscenter aufrufen
• Geschützte Ansicht (entsprechende Häkchen entfernen)
• Vertrauenswürdige Speicherorte
  • Häkchen unten bei "Vertrauenswürdige Speicherorte im Netzwerk zulassen"
  • Neuen Speicherort hinzufügen
    • Laufwerk aussuchen
    • Unterordner ebenfalls zulassen (Häkchen) ?
• u.v.a.

Lassen Sie uns bitte möglichst viele Informationen aus den folgenden Tests zukommen.

• Betrifft das Problem alle KollegInnen in Ihrem Umfeld?
• Bitte das Sicherheitscenter von Windows checken (vertrauenswürdige Quellen).
  • Wenn das nicht hilft, bitte das Umfeld beschreiben.
• Wenn möglich, bitte Gegentest mit dem zentralen Homeverzeichnis machen und das Ergebnis mitteilen.
  • Freigabe: \\vs-home.zih.tu-dresden.de\zih-loginname
• Bitte checken Sie das Verhalten unserer Test-Laufwerke. Sie sind auf allen GLW-Servern vorhanden:
  • \\vs-grp01.zih.tu-dresden.de\test-glw bzw.
  • \\vs-grp02.zih.tu-dresden.de\test-glw
• Wie verhalten sich die Dateien im Verzeichnis "Office Dateien"
  • Office2003           (.doc,.xls)  bzw.
  • Office2007/2010/2013 (.docx,.xlsx)
    • Lassen sie sich öffnen?
    • Wie lange dauert es?
• Teilen Sie uns in der Zusammenfassung auch Ihre Netzumgebung mit (fragen Sie       gegebenenfalls einen Administrator)
  • IP-Adresse
  • Gibt es eine eigene Firewall in Ihrem Umfeld?
• Wenn möglich testen Sie nach Neustart des PCs erneut.

Weitere Informationen:

http://www.ugg.li/excel-20102013-oeffnet-dateien-von-netzwerkservern-immer-schreibgeschuetzt-undoder-sehr-langsam/

Trust-Center:
        (https://support.office.com/de-at/article/Anzeigen-der-Optionen-und-Einstellungen-im-Trust-Center-d672876e-20d3-4ad3-a178-343d044e05c8)

Im Falle eines NTFS-Laufwerks muss der lokale Admin dem Nutzer entsprechende Rechte geben.

Im Falle eines UNIX-Laufwerke checken Sie, ob das Login Mitglied der Eigentümergruppe ist.

• auf einem Login-Server einloggen
• mit "id loginname" die Gruppenliste überprüfen

Wenn es nicht hilft, bitte ein Ticket eröffnen und den Laufwerks-, den Loginnamen und die Zeit des Verbindungsversuches mitteilen.

Der symbolische Link auf "public_html" wird nicht aufgelöst

• Ursache 1
  • Der Kurzname des Fileservers muss per DNS/WINS/LMHOSTS aufgelöst werden können.
    • Abhilfe bei Einzelplatz-PCs:
      • Folgende Adressen als WINS-Server eintragen: 172.26.40.7,172.26.40.8,172.26.41.5,172.26.41.6
    • Vorgehensweise
      • Netzwerk- und Freigabecenter aufrufen
      • Adaptereinstellungen ändern
      • Ethernet
      • Eigenschaften von Ethernet
      • Internetprotokoll Version 4 auswählen
      • Eigenschaften klicken
      • Erweitert klicken
      • WINS aufklappen
      • Hinzufügen klicken, Adresse eintragen und Hinzufügen klicken
      • Alle 4 Adressen eintragen

Auf der Kommandozeile gilt folgende Einschränkung

• Das Tool netsh bzw. die WINS-Definition mit Hilfe von vbscript oder Powershell           lässt nur maximal 2 WINS-Server-Einträge zu (primary+secondary).
•  Abhilfe im Domänen-Umfeld
  • Hier empfiehlt sich, die WINS-Server in die entsprechenden Bereichsoptionen des DHCP-Servers einzutragen.

• Ursache 2
  • Der symbolische Link verweist nicht auf einen absoluten Pfad, bzw. einen falschen Pfad.
    • Abhilfe 1
      • Selbst auf dem Login-Server nachsehen und ändern.
    • Abhilfe 2
      • Ticket öffnen und vom ZIH nachsehen lassen.

       falscher Link:
          public_html -> ../wwwpublic/"loginname"/public_html

       richtiger Link
          public_html -> /home/fs2/v"N"/wwwpublic/"loginname"/public_html

       Die Ziffer "N" ist die letzte Ziffer der UserID. Diese ermittelt man mit dem        Kommando "id loginname"

Manche Dateiexplorer (z. B. der Total-Commander) erfordern das Setzen eines Häkchens im Rückfragefenster, damit die Zugriffsrechnte mit übertragen werden.

Checken Sie die neuen Zugriffsrechte auf einem der Login-Server.

• "---------" deutet auf diesen Fehler hin.

Der Administrator hat den Zugriff auf das Stammverzeichnis entzogen.
Entweder Jeder oder alle einzelnen Logins müssen mit den Rechten "Lesen" und "Ordnerinhalt anzeigen" eingetragen werden.

Eine Ursache kann sein, dass der Name der Datei inklusive Pfad zu lang ist.

Der Exportpfad auf dem File-Server zählt mit zur Länge des Dateinamens.

Es gibt unterschiedliche Aussagen. Wir gehen von 255 Zeichen aus, da alle Betriebssysteme unterstützt werden muessen.

• FAT (Windows) : 255
• EXT3 (Linux)  : 255
  • (bei UTF-8 max. 255 Bytes)
• NTFS (Windows): 256
  • (bei UTF-8 max. 256 Bytes)
  • (bei Unicode max. 255)

 Wikipedia schreibt:

• Windows: 260 (3 für das Laufwerk, 1 Zeichen als Abschluss, es bleiben 256 für den Namen)
• NTFS mittels UNC (Uniform Naming Convention) 32767.

Es gibt ein Problem in der Windows-Registry mit einer alten Lizenz. Es wird wie folgt behoben

Komplettes löschen des Registry-Schlüssels:
        "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing"

Einmal als Administrator die Remotedesktopverbindung ausführen, dann geht es wieder.

Ergänzung dazu (zweiter Lösungsansatz):

"Es kann passieren, das keine temporäre Terminalserverlizenz vergeben wird. Dann einfach die HKEY_LOKALE_MACHINE\SOFTWARE\Microsoft\MSLicensing den ganzen Regkey zuerst exportieren und umbenennen. Anschließend löschen und den Client neu starten. Sich an der Domäne ganz normal anmelden und dann über Remotedesktopverbindung auf den TS wieder versuchen zuzugreifen. Der Client zieht sich dann irgendwann automatisch eine freigeworden Terminalserverlizenz oder er generiert sich eine temporäre Lizenz."

Beim wechselseitigen Zugriff aus Windows, Linux, bzw. MacOS muss beachtet werden, dass die folgenden Zeichen nicht in Verzeichnis- bzw. Dateinamen vorkommen solten, da sie ungewollten Namenstransformationen unterliegen können:

~ " # % & * : < > ? / \ { | } .

Im Fehlerfalle erscheinen unter Windows Namen, wie ABCDEF~G.DAT, die sich in der Regel nicht auf den ursprünglichen Namen zurückführen lassen.

Wenn Sie solche Dateinamen bemerken, sollten Sie so schnell wie möglich in den Snapshots nach den ursprünglichen Namen suchen und die Dateien umbenennen.

Zentrale Homeverzeichnisse werden als Netz-Laufwerke allen Angehörigen der TU Dresden zur Verfügung gestellt. Die Bereitstellung persönlicher Homeverzeichnisse erfolgt ohne weitere Formalitäten. Die Nutzung wird mit der Bestätigung des „End User License Agreement“ (EULA)  freigeschaltet. Nach dem Ausscheiden aus der TU Dresden werden diese nach einer Wartezeit von 6 Monaten gelöscht.

Die Bereitstellung von Gruppen-Laufwerken erfolgt im Rahmen der technischen Möglichkeiten. Die Nutzung ist nur mit freigeschalteten Logins möglich.

Gruppen-Laufwerke sind ohne zusätzliche Schutzmaßnahmen für die Daten der Schutzbedarfskategorie "normal" gemäß der Richtlinie zur Informationssicherheit (http://www.verw.tu-dresden.de/VerwRicht/Sachwort/download.asp?file=mpre0517.pdf)  zugeordnet.

Gruppen-Laufwerke können im Selfservice-Portal des ZIH beantragt werden.

Am Portal zur Verwaltung von Charakteristiken wird dezeit noch gearbeitet (Stand Ende 2018).

Zur Antragsstellung ist die Angabe von Kontaktpersonen (Antragssteller, Ansprechpartner bzw. Admins) notwendig. Im Rahmen der Bereitstellung wird die Zustimmung eines zuständigen Leiters des Antragsstellers eingeholt.

Für den reibungslosen Ablauf müssen immer Kontaktpersonen erreichbar sein, die innerhalb von 3 Werktagen (z. B. bei Sicherheistvorfällen) auf Anfragen reagieren können. Die Loginnamen dieser und technische Eckdaten der beantragten Laufwerke werden in einer Datenbank gespeichert. Die zur Kontaktaufnahme nötigen Kontaktdaten werden bei Bedarf aus dem IDM der TUD ermittelt.

Nach Freischaltung eines Netzlaufwerkes sind die Antragssteller sofort zugriffsberechtigt und können über entsprechende bereitgestellte Services die Zugriffsrechte im Weiteren selbst verwalten.

An einem Portal zum Verwalten von Änderungen an Gruppenlaufwerken wird gearbeitet. Bis zur Fertigstellung bitte Tickets eröffnen. (Stand: Ende 2018)

Die Laufzeit von Gruppen-Laufwerken ist auf maximal 5 Jahre festgelegt. Vor Ablauf dieser Frist kann sie im Selfservice-Portal um jeweils bis zu 5 weitere Jahre verlängert werden. Gruppen-Laufwerke, deren Laufzeitende um 6 Monate überschritten wurde, werden aus dem Online-Zugriff in Quarantäne verschoben und nach einem weiteren Jahr in Absprache mit den Kontaktpersonen gelöscht. Wenn eine Kontaktperson ausscheidet, muss eine neue benannt und dem ZIH mitgeteilt werden. Dazu steht künftig ein Änderungsformular im Selfservice Portal zur Verfügung. Wenn keine Kontaktperson erreichbar ist, wird mit dem IT-Beauftragten des zuständigen Bereiches Kontakt aufgenommen.

Es wird empfohlen, nicht mehr benutzte Gruppen-Laufwerke per Ticket wieder abzumelden.

• Für den effizienten Betrieb der Speicher-Systeme, zur Übersicht und statistischen Auswertung werden Daten zur Ausnutzung von Ressourcen (CPU, Netzlast, Speicherwachstum, Auslastung, …) automatisch erfasst.
• Sollten sich anhand der gemessenen Daten administrativ notwendige Eingriffe für bestimmte Gruppen-Laufwerke ergeben, werden die Ansprechpartner zeitnah informiert.
• Einsicht in Log-Daten wird Dritten nicht gewährt.
• Alle im Kontext des Dienstes anfallenden Log-Daten können anonymisiert in einer Datenbank erfasst und für Langzeit-Analysen genutzt werden.