45666
Goto Top

Mehrere Benutzer - Absicherung?

Hallo!

Ich habe da ein kleines Problem:

Gegeben ist ein Windows Server 2003 Enterprise. Auf diesen verbindet man sich per RDP. Alle User haben gewollt Adminrechte. Der Server ist ein Testserver für uns Azubis. Darauf können wir uns VM-mäßig austoben.
Ich nutze den Server auch zum Surfen mit meinem selber eingerichteten Firefox (mein "richtiger" Rechner macht mein exessives Verhalten Tabs betreffend einfach nicht mitface-smile)

Nun gibt es da aber noch einen User dem ich nicht über den Weg traue. Hab ihn zb gerade dabei erwischt, wie er mein Firefox genutzt hat. Natürlich hat er es geleugnet, aber Process Monitor und Taskmanager haben etwa anderes gesagt. Und kurz nachdem ich ihn darauf angesprochen habe verschwand der Prozess der auf seinen Namen lief aus der Liste und der IE öffnete sich :/


Nun mache ich mir natürlich Gedanken, wie ich meine eigenen Dateien auf dem Server vor ihm, der ja auch Adminrechte hat, schützen kann.
Jeder Azubi meldet sich auf dem Server mit seinem eigenen Account an. Adminrechte entziehen oder ihn komplett vom Server bannen geht leider nicht, dann krieg ich wohl Ärger mit dem Chef. Andererseits will und kann ich nicht auf meine Eigenen Dateien auf dem Server verzichten.

Weiß jemand, wie ich das am besten anstelle?


Gruß

Content-Key: 74587

Url: https://administrator.de/contentid/74587

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 27.11.2007 um 12:33:05 Uhr
Goto Top
Hallo,

ändere dein "exzessives Verhalten Tabs betreffend" und gehe wieder auf deinen eigenen PC.
Einen Admin kannst du zwar behindern, aber niemals aussperren. Er hat immer Möglichkeiten, sich wieder Zugriff zu verschaffen. Daher gibt man diese Rechte normalerweise auch nicht jedem...
Und auf einem testserver für Azubis haben eigentlich auch keine wichtigen Daten etwas verloren.

Gruß,
Schorsch

P.S. für VMs benötigt man nicht unbedingt Adminrechte, vielleicht kann man das doch umstellen.
Mitglied: 45666
45666 27.11.2007 um 12:44:45 Uhr
Goto Top
Hallo!


Hm schade, aber ich habe mir beinah schon etwas in der Art gedacht face-sad

Es sind in dem Sinne keine "wichtigen" Daten, aber eben Sachen die nur mich etwas angehen und bei denen ich nicht möchte, dass andere (speziell dieser eine) daran rumschnüffeln.

Wie müsste ich die Berechtigungen setzen, damit sein Account keine Rechte mehr hat auf meinen Ordner zugreifen zu dürfen? Ich meine, er kann sich zwar die Rechte wiedergeben, aber sowas sehe ich ja dann auch und kann ihn entsprechend zusammenfalten. Wäre immerhin ein kleiner Schutz face-smile

Es gibt also den Benutzer Administrator, System, den User a(ich) und den User b(der soll ausgesperrt werden).
Angenommen, ich geh jetzt auf C:\Dokumente und Einstellungen\User a und setz auf diesen Order für den User b und dem User Administrator alles auf "verweigert". Funktioniert das Profil dann weiterhin fehlerfrei für den User a oder gibt es da Probleme?

Gruß
Mitglied: DerSchorsch
DerSchorsch 27.11.2007 um 13:07:46 Uhr
Goto Top
Hallo,

ja, du kannst dem User die Leserechte auf deinem Profil entziehen. Eigentlich benötigst nur du da Rechte drauf, die anderes kannst du entfernen bzw. verweigern.

Ist aber halt nur die "Behinderung" des Administrators. Er kann den Besitz übernehmen und sich somit wieder Zugang verschaffen. Und er kann sich danach die Rechte selbst wieder entziehen , dass merkst du dann auch nicht so leicht. Da müsstest du dann eventuell wieder die Objektüberwachung aktivieren. Aber auch hier: als Administrator...

Was du aber machen könnest: die Dateiverschlüsselung (EFS) verwenden, um deine Daten zu schützen. Das hängt nämlich am Anmeldekonto des Benutzer. Als Administrator könnte er zwar die Dateien löschen, etc.. aber nicht lesen.
Programme wie Truecrypt gehen natürlich auch.

Trotzdem, ich bleibe dabei, geh mit deinen Daten auf deinen eigenen PC zurück.

Gruß,
Schorsch
Mitglied: 45666
45666 27.11.2007 um 13:30:54 Uhr
Goto Top
Oha, dass wusste ich nicht. Jemand kann Besitzer eines Objektes sein und es einsehen, ohne, dass er unter dem Reiter "Sicherheit" in der Liste eingetragen ist? Der Besitzer steht dann aber auch in der Liste des Reiters drin, wo man den Besitz übernehmen kann. Oder sieht man andere Besitzer da auch nicht?


Wozu genau ist die Überwachung da? Was überwacht es, wie benachrichtigt es und wie in etwa müßte ich das konfigurieren?


EFS hatte ich bei einem Bekannten auf seinem Vista Rechner im Einsatz gesehen. War eher enttäuschend. Ist glaube ich nicht so das Wahre :/


Bitte sieh mir meine Fragen nach. NTFS Berechtigungen ist so eine Sache, bei der ich noch dabei bin diese komplett zu verstehen face-smile
Mitglied: gnarff
gnarff 27.11.2007 um 14:45:31 Uhr
Goto Top
Da jeder User zugleich auch Adminrechte hat, kannst Du soviel aussperren und Berechtigungen setzen wie Du willst; mit ein paar Handgriffen macht der Nächste alles wieder rückgängig.

Verschlüsseln macht auch nur Sinn, wenn der Schlüssel nicht auf dem Rechner abgelegt ist, sondern z.B. auf Diskette oder USB-Stick.

Bitte sieh mir meine Fragen nach. NTFS
Berechtigungen ist so eine Sache, bei der ich
noch dabei bin diese komplett zu verstehen face-smile

Dabei hilft Dir der Artikel Grundlegendes zu NTFS-Berechtigungen und deren Funktionen

saludos
gnarff
Mitglied: DerSchorsch
DerSchorsch 27.11.2007 um 19:21:51 Uhr
Goto Top
Halo,

also um es nochmal klar zu sagen:
einen Administrator kann man nicht aussperren. Da kannst es ihm lediglich etwas mühsamer machen.

Was die Rechte betrifft, kann er den Besitz übernehmen, die Daten kopieren, den Besitz wieder an dich übergeben, und sich selbst die Rechte entziehen. Wenn du dann nachsiehst, merkst du keinen Unterschied.
Du kannst mit Objektüberwachung versuchen, zu prüfen, ob ein solcher Zugriff stattgefunden hat. Natürlich nur in der Hoffnung, das er die Protokollierung übersieht, denn als Administrator kann er sie einfach wieder ausschalten.
Du kannst mit Verschlüsselung versuchen den Inhalt deiner Dateien zu verstecken. Das ist schon einiges schwieriger als das zuvor genannte, aber als Administrator kann er auch das eventuell schaffen. Er muss dazu an den Schlüssel kommen. Ist nur eine Frage seiner Fähigkeiten und seinem Willen, an deine Daten zu kommen. Oder er löscht sie einfach...

Du siehst, einem Administrator kann man lediglich Hürden in den Weg legen, mehr nicht.

Gruß,
Schorsch