danipanna
Goto Top

Frage zur Sicherheit eines Fileservers wenn das AD von extern verwaltet wird

Folgede Situation

Das Aktive Directory wird von einer externen Organisation betreut. Wir haben im Haus einen
"abgespeckten Administrator" mit dem ich User anlegen, löschen, deaktivieren usw. kann.
Ich kann für meine Ou Gpo´s einrichten und verwalten.

Der lokale Anmeldeserver wird auch von der externen Organisation (wir sind eine lokale
Genossenschaft) betreut. D.h. Der Server wird überwacht, ServerPacks und Updates werden
von extern erledigt.

Ich habe mir mal das Szenario so skizziert um einen Überblick zu haben.

Mein Problem ist eigentlich "nur" der FileServer.

Gibt es eine machbare und sichere Möglichkeit. NUR den Benutzern die in meiner
OU sind, den Zugriff auf den Datenbestand (Fileserver) zu gewähren.

Ich habe mir überlegt ob es vielleicht mit der Firewall 2 Möglich ist, nur lokale User
zum Fileserver zu lassen und andererseits die Berechtigungen für die Files doch vom
lokalen Anmeldeserver zu bekommen.

\BIch möchte alle anderen, im besonderen auch allen DomänenAdministratoren, den
Zugriff auf meine Daten sperren. (Backup vom Fileserver mache ich selber)\b

Danke für einen Tipp

Gruss
Dani Panna, Italien

18b57b0f98cb0b2c4ccbf8e0f5ac5d0d

Content-Key: 145038

Url: https://administrator.de/contentid/145038

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Viragofahrer
Viragofahrer 20.06.2010 um 22:08:22 Uhr
Goto Top
Hallo DaniPanna,

ein Domänen-Adminstrator hat immer die Möglichkeit auf die Daten des File-Servers zu zugreifen. Ob eine oder zwei Firewalls.
Selbst wenn Du ihm alle Rechte nimmst, er kann sich den Besitz an Verzeichnissen und Dateien zurückholen.
Dieses kannst Du sehen, wenn Du dir Rechte an einem Verzeichnis ansiehst -> Erweitere Sicherheit -> Besitzer.

Bei der aufgezeigten Hierachie hat die externe Organisation immer das "letzte" Wort. Du bleibst abhängig.

cu
Mitglied: DaniPanna
DaniPanna 21.06.2010 um 08:25:41 Uhr
Goto Top
Hallo,

Danke erstmal für die Info, ......

auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?

Gib es echt keine Möglichkeit, einen Datenbestand, so zu trennen, dass nur meine User Zugriff haben?

Könnte ich zum Beispiel einen Server installieren, die Workgroup gleich der Domäne benennen und nur
die User mit Password irgendwie übernehmen ? (Wenn man die User und Passwörter nicht übernehmen kann,
dann würde dass eine doppelte User und Password Verwaltung bedeuten, bei über 120 Usern ist dass
eher Umständlich ....

Noch eine Idee?

Danke
DaniPanna
Mitglied: Viragofahrer
Viragofahrer 21.06.2010 um 18:08:24 Uhr
Goto Top
Zitat von @DaniPanna:
auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?

Nein


Gib es echt keine Möglichkeit, einen Datenbestand, so zu trennen, dass nur meine User Zugriff haben?

Könnte ich zum Beispiel einen Server installieren, die Workgroup gleich der Domäne benennen und nur
die User mit Password irgendwie übernehmen ? (Wenn man die User und Passwörter nicht übernehmen kann,
dann würde dass eine doppelte User und Password Verwaltung bedeuten, bei über 120 Usern ist dass
eher Umständlich ....

Domäne ist Domäne und Workgroup ist Workgroup und so wie jeder Rechnername im Netzwerk nur einmal existiert darf
gilt dies auch für Domänennamen.
Eventuell gibt es die Möglichkeit der "Vertrauensstellung". Dein AD, sprich deine OU, vertraut dem Fileserver.
Dazu kann ich aber nichts weiteres genaueres sagen, da ich so etwas noch nicht getestet habe.
Mitglied: DaniPanna
DaniPanna 22.06.2010 um 10:03:44 Uhr
Goto Top
Danke inzwischen für Deine Infos.

Dann müsste ich die Daten auf dem Fileserver verschlüsseln, ....... ? Dann kann ein Administrator der Domäne zwar Daten kopieren, aber nicht
sehr viel anfangen, .....

Danipanna