13
Besitzübernahme durch Admin verbieten
Hey,
kennt ihr eine Möglichkeit, wie ich einem Domain-Admin verbieten kann, den Besitz eines Ordners oder einer Datei zu übernehmen?
Mit Hilfe der NTFS-Berechtigung "Besitz übernehmen verbieten" scheint es nicht zu gehen. Ein Admin kann weiterhin den Besitz übernehmen.
Grüße
Stende
kennt ihr eine Möglichkeit, wie ich einem Domain-Admin verbieten kann, den Besitz eines Ordners oder einer Datei zu übernehmen?
Mit Hilfe der NTFS-Berechtigung "Besitz übernehmen verbieten" scheint es nicht zu gehen. Ein Admin kann weiterhin den Besitz übernehmen.
Grüße
Stende
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194971
Url: https://administrator.de/contentid/194971
Printed on: April 24, 2024 at 20:04 o'clock
13 Comments
Latest comment
Hallo,
warum willst du einem Admin verbieten den Besitz über einen Ordner bzw. eine Datei zu übernehmen ? Sowas wird zwar nur in sonderfällen gemacht, kann aber durchaus wichtig sein.
Oder bist du vll ein User, der den Dom-Admin austricksen will ?
Alles ist möglich ...
Grüße
Exze
warum willst du einem Admin verbieten den Besitz über einen Ordner bzw. eine Datei zu übernehmen ? Sowas wird zwar nur in sonderfällen gemacht, kann aber durchaus wichtig sein.
Oder bist du vll ein User, der den Dom-Admin austricksen will ?
Alles ist möglich ...Grüße
Exze
Hallo.
Es gibt einen bekannten Satz - ein Admin ist ein Admin ist ein Admin
Genauso wie du keiner Ehefrau widersprechen kannst, kannst du einem Admin auf Dauer keine Rechte nehmen.
LG Günther
Es gibt einen bekannten Satz - ein Admin ist ein Admin ist ein Admin
Genauso wie du keiner Ehefrau widersprechen kannst, kannst du einem Admin auf Dauer keine Rechte nehmen.
LG Günther
Ich bin Admin, aber auf Anordnung von oben ist dies bei einigen Ordnern so gewünscht.
Geht das denn überhaupt?
Geht das denn überhaupt?
Hi,
nicht dass ich wüsste, wurde aber von mir bisher auch nicht verlangt
es gibt natürlich die üblichen Optionen á la Admin-Konto bzw. Gruppe von den Berechtigungen des Ordners entfernen etc. allerding kann man einen Admin wie GuentherH schon geschrieben hat, nicht dauerhaft aussperren.
Grüße
Exze
[EDIT]
evt. hier: Besitzübernahme per Gruppenrichtlinie verhindern oder Admin automatisch einfügen
[/EDIT]
nicht dass ich wüsste, wurde aber von mir bisher auch nicht verlangt
es gibt natürlich die üblichen Optionen á la Admin-Konto bzw. Gruppe von den Berechtigungen des Ordners entfernen etc. allerding kann man einen Admin wie GuentherH schon geschrieben hat, nicht dauerhaft aussperren.
Grüße
Exze
[EDIT]
evt. hier: Besitzübernahme per Gruppenrichtlinie verhindern oder Admin automatisch einfügen
[/EDIT]
Hallo,
vertraut die Firma dem Admin nicht?
Dann haben die sowieso ein Problem.
Und das zweite wenn dan einer der Benutzer an den Rechten was ändert und sich aussperrt, kannst du dies auch nicht mehr so einfach Rückgängig machen.
Also ich würde das nicht freiwillig umsetzen.
Gruß
vertraut die Firma dem Admin nicht?
Dann haben die sowieso ein Problem.
Und das zweite wenn dan einer der Benutzer an den Rechten was ändert und sich aussperrt, kannst du dies auch nicht mehr so einfach Rückgängig machen.
Also ich würde das nicht freiwillig umsetzen.
Gruß
Lokale oder AD Gruppenrichtlinie (AD auf OU wo Rechner ist verlinken)
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuseisen von Benutzerrechten
auf den Punkt "Übernehmen des Besitzes von Dateien und Objekten und trag die Nutzer ein, die dazu berechtigt sein sollen.
Oder die Gruppe Administratoren mit FULL Access Deny berechtigen und vererben.
Dann ist aber jeglicher Support dahin, würde in so einem Fall einen User anlegen der Rechte hat und den Eigentümer das Passwort dafür vergeben bzw. versiegelt hinterlegen lassen....
Gruss
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuseisen von Benutzerrechten
auf den Punkt "Übernehmen des Besitzes von Dateien und Objekten und trag die Nutzer ein, die dazu berechtigt sein sollen.
Oder die Gruppe Administratoren mit FULL Access Deny berechtigen und vererben.
Dann ist aber jeglicher Support dahin, würde in so einem Fall einen User anlegen der Rechte hat und den Eigentümer das Passwort dafür vergeben bzw. versiegelt hinterlegen lassen....
Gruss
Genau so soll es aussehen, es wird einen User geben, welcher es weiterhin darf, mittels 4 -Augen Prinzip.
Über NTFS-Rechte scheint dies jedoch nicht zu gehen, der Admin darf es immer wieder
Über NTFS-Rechte scheint dies jedoch nicht zu gehen, der Admin darf es immer wieder
Gruppenrichtlinie wäre eine Idee, nur da könnte der Admin ja z.B. die Vererbung deaktivieren und so würde diese auch nicht mehr greifen.
Mit Boardmitteln wird dies so wie ich das sehe wohl nix
Mit Boardmitteln wird dies so wie ich das sehe wohl nix
Full Access Deny für die Gruppe Administratoren
Sperrt euch selbst aus
Sperrt euch selbst aus
Gruppenrichtlinie wäre eine Idee, nur da könnte der Admin ja z.B. die Vererbung deaktivieren und so würde diese
auch nicht mehr greifen.
auch nicht mehr greifen.
Und da kann man dann wieder Günther zitieren:
ein Admin ist ein Admin ist ein Admin
Untermm strich kannst du es doch drehen und wenden wie du willst: Der Admin wird immer in der Lage sein eine Software zu deinstallieren, Gruppenrichtlinien anzupassen etc.
Wenn du da irgendetwas erreichn willst, dann solltest du dir mal Gedanken um Verschlüsselung der Dateien machen - aber das dann ohne EFS, denn auch dort hat der Admin - naja - du weißt schon...
Gruß
Hubert
Ja, so sieht es aus
Hatte mir SafeGuard LanCrypt hierfür angeschaut
Hatte mir SafeGuard LanCrypt hierfür angeschaut
Moin,
Du kannst Cryptoadmins definieren, die die Verschlüsselung kontrollieren, mit Hilfe von Cryptoboxen - da kann der Admin trotzdem alles machen, inklusive Backup / Restore - er sieht nur Datenmuell - Kosten höher 5stelliger Bereich....
Gruß
24
Du kannst Cryptoadmins definieren, die die Verschlüsselung kontrollieren, mit Hilfe von Cryptoboxen - da kann der Admin trotzdem alles machen, inklusive Backup / Restore - er sieht nur Datenmuell - Kosten höher 5stelliger Bereich....
Gruß
24
Ich denke ich werde es über eine Verschlüsselungssoftware lösen. Danke euch für die Antworten.
Ein Admin bleibt ein Admin bleibt ein Admin --> so sollte es sein
Ein Admin bleibt ein Admin bleibt ein Admin --> so sollte es sein
