/
FALLBACKIMPERSONATION - Detailbeschreibung

FALLBACKIMPERSONATION - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:FALLBACKIMPERSONATION
Kategorie: Logging
Standardwert: 1
Produkt: eTASK.Sonstige (Logging)

Was macht dieser Parameter?

Dieser Parameter steuert, ob beim Schreiben von Log-Einträgen die Windows-Impersonation deaktiviert wird. Impersonation bedeutet, dass das System temporär unter der Identität eines anderen Benutzers agiert. Bei aktiviertem Fallback wird beim Logging die Identität des Anwendungspools verwendet, nicht die des angemeldeten Benutzers.

Wofür wird dieser Parameter verwendet?

  • Behebung von Berechtigungsproblemen beim Schreiben von Log-Dateien

  • Sicherstellung, dass Logs auch bei eingeschränkten Benutzerrechten geschrieben werden können

  • Vermeidung von Logging-Fehlern in Umgebungen mit komplexen Berechtigungsstrukturen

  • Standardisierung der Logging-Identität auf Anwendungspool-Ebene

Technische Details (für Administratoren)

Format: Ganzzahl (Integer) / Boolean
Standardwert: 1

Gültige Werte:

  • 0 = Impersonation beim Logging aktiv (Logs werden unter Benutzeridentität geschrieben)

  • 1 = Impersonation beim Logging deaktiviert (Logs werden unter Anwendungspool-Identität geschrieben)

Wichtige Hinweise:

  • Bei Wert 1 werden alle Log-Einträge mit den Rechten des Anwendungspools geschrieben

  • Bei Wert 0 kann es zu Berechtigungsproblemen kommen, wenn Benutzer keine Schreibrechte auf Log-Verzeichnisse haben

  • Der Parameter betrifft ausschließlich das Logging-System, nicht andere Systemfunktionen

  • Der Standardwert 1 ist für die meisten Installationen optimal

Wann sollten Sie diesen Wert ändern?

Wert auf 0 setzen (Impersonation aktivieren), wenn:

  • Log-Einträge unter der Identität des angemeldeten Benutzers geschrieben werden sollen

  • Eine detaillierte Nachvollziehbarkeit auf Benutzerebene erforderlich ist

  • Alle Benutzer garantiert Schreibrechte auf Log-Verzeichnisse haben

  • Spezielle Compliance-Anforderungen dies erfordern

Wert auf 1 belassen (Impersonation deaktiviert), wenn:

  • Standard-Logging-Konfiguration verwendet wird

  • Benutzer möglicherweise keine Schreibrechte auf Log-Verzeichnisse haben

  • Logging-Fehler vermieden werden sollen

  • Eine zentrale Identität für alle Log-Operationen gewünscht ist

Wichtige Hinweise

  1. Berechtigungsprobleme vermeiden
    Der Standardwert 1 verhindert Berechtigungsprobleme, da der Anwendungspool in der Regel Schreibrechte auf Log-Verzeichnisse hat.

  2. Keine Auswirkung auf Log-Inhalte
    Der Parameter ändert nicht, welche Informationen geloggt werden, sondern nur unter welcher Identität die Log-Dateien geschrieben werden.

  3. Windows-Impersonation
    Impersonation ist ein Windows-Mechanismus, bei dem ein Prozess temporär unter der Identität eines anderen Benutzers läuft. Dies betrifft nur Dateisystem-Operationen beim Logging.

  4. Troubleshooting
    Falls Logging-Fehler auftreten oder Log-Einträge fehlen, sollte zuerst dieser Parameter auf 1 gesetzt werden, bevor Dateisystem-Berechtigungen angepasst werden.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Nein, dieser Parameter hat keine direkten Auswirkungen auf die Sicherheit.

 

Praktisches Beispiel

Ausgangssituation:
Ein Unternehmen hat FALLBACKIMPERSONATION auf 0 gesetzt. Benutzer mit eingeschränkten Windows-Rechten können sich anmelden, aber es werden keine Log-Einträge für ihre Aktionen geschrieben, da sie keine Schreibrechte auf das Log-Verzeichnis haben. Fehler bleiben unprotokolliert.

Konfiguration:
Der Administrator ändert FALLBACKIMPERSONATION auf 1.

Nach der Änderung:

  • Das System schreibt alle Log-Einträge unter der Identität des IIS-Anwendungspools

  • Der Anwendungspool hat Schreibrechte auf das Log-Verzeichnis

  • Auch Aktionen von Benutzern ohne Dateisystem-Rechte werden korrekt geloggt

  • Logging-Fehler verschwinden

  • Die Fehleranalyse wird wieder vollständig möglich

Ergebnis:
Stabiles und vollständiges Logging für alle Benutzer, unabhängig von deren Windows-Dateisystem-Berechtigungen.

Empfohlene Einstellung

Für Standard-Installationen:1(Impersonation deaktiviert)

Begründung:

  • Verhindert Berechtigungsprobleme beim Logging

  • Stellt sicher, dass alle Log-Einträge geschrieben werden

  • Vereinfacht die Administration von Dateisystem-Berechtigungen

  • Entspricht Best Practices für IIS-Anwendungen

Ausnahmen (sehr selten):

  • Wert 0 nur wenn explizit gefordert wird, dass Logs unter Benutzeridentität geschrieben werden müssen

  • Stellen Sie in diesem Fall sicher, dass alle Benutzer Schreibrechte auf Log-Verzeichnisse haben

Tipp: Lassen Sie diesen Parameter auf dem Standardwert 1, es sei denn, Sie haben spezifische Anforderungen. Bei Logging-Problemen ist dies einer der ersten Parameter, die überprüft werden sollten.

IC0000