Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Adminrechte für Ordner (sicher!) entziehen unter Server 2008

Mitglied: 71988

71988 (Level 1)

17.11.2008, aktualisiert 18.11.2008, 5534 Aufrufe, 15 Kommentare

Hallo,
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.

Danke für die Hilfe
Mitglied: xm-bit
17.11.2008 um 14:30 Uhr
Hi,

dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...

Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.

Warum soll der Admin den Ordner denn nicht sehen können???

mfg
SasH
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:39 Uhr
es liegt nicht in meiner Entscheidung wieso es so sein soll, den Admin kann ich aus den Ordnerrechten heraus werfen ja, dennoch bekommt der Admin sofort Zugriff wenn er den Ordner öffnen will mit blos eben einer kurzen Warnabfrage, dieses "feature" gibts auch erst seit 2008.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:42 Uhr
Hallo Hector,

den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.

Gruß, Pandora
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:49 Uhr
irgendwie werd ich hier glaub ich missverstanden. Es geht nicht darum den Admin irgendwelche Rechte aus dem System zu nehmen oder dem Admin die einsicht vollständig zu verbieten in dem Ordner, sondern darum das man nicht einfach mit einem Klick in die Ordner schauen kann sondern der Admin wenigstens in die Rechteliste jenes Ordners hinzugefügt werden muss...
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:53 Uhr
Aber die Administratoren sind doch Standardmäßig in der Rechteliste eingetragen, um ihnen also explizit Rechte zu vergeben müssen sie also zunächst mal rausgenommen werden...
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:06 Uhr
ja ok, glaub war mein Fehler eben ;) dacht wär gemeint aus dem Serversystem zu entfernen.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 15:08 Uhr
Ja, du kannst natürlich die Gruppe der Administratoren aus den Sicherheitseinstellungen löschen.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:18 Uhr
ich will ja nur das diese Abfrage nicht mehr kommt damit man nicht einfach doch als Admin reinkann ohne das man der Gruppe für den Ordner hinzugefügt ist
Bitte warten ..
Mitglied: dog
17.11.2008 um 15:54 Uhr
Es gibt keine sichere Möglichkeit den Administratoren den Zugriff auf einen Ordner zu verbieten.
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.

Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.

Grüße

Max
Bitte warten ..
Mitglied: 71988
17.11.2008 um 16:36 Uhr
Die Rolle des Admins kann ja ruhig den Ordner übernehmen, damit wäre ja erstmal nachgewiesen das der Admin darauf zugegriffen hat, es soll so sein das der Admin aber dann automatisch der Besitzer dieses Ordner wird, für den beweis eben das er drann war.

Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.

Hector
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 18:03 Uhr
Wie schon gesagt, dann nimm die Rolle der Admins aus den Sicherheitseinstellungen raus. Sauber würde es aber gehen, wenn du auf die kritischen Dateien die Zugriffsüberwachung anwendest.

Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 21:43 Uhr
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass kennen...was meinst du mit Zugriffsüberwachung? is das was neues unter 2008?
Bitte warten ..
Mitglied: Pandora
18.11.2008 um 07:40 Uhr
Nein, das ist nicht neu. Im Groben funktioniert es wie folgt (ich hab hier nur W2K3, aber ich denke, dass es noch halbwegs identisch sein sollte, sonst schau mal in dein Handbuch):

du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.

Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.

Die Ergebnisse findest du anschließend im Ereignisprotokoll.

Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
Bitte warten ..
Mitglied: Logan000
18.11.2008 um 08:33 Uhr
Moin Moin

Zitat von 71988:
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Das ist in der Tat ein Problem.
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.

Gruß L.
Bitte warten ..
Mitglied: 71988
18.11.2008 um 08:59 Uhr
Pandora, danke werds mir mal anschauen.

Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur
Bitte warten ..
Ähnliche Inhalte
Windows 10

Ordner (+ Inhalt) Schreibberechtigungen entziehen trotz Administratorrechten

gelöst Frage von Windows11Windows 104 Kommentare

Hallo zusammen, aktuell sind 3 Administratoren Konten auf diesem Rechner gegeben. Diese Rechte sind notwendig, weil bestimmte Software ohne ...

Windows 10

Ordner als Netzwerklaufwerk freigeben - wie sicher ist das?

Frage von SeeroseWindows 109 Kommentare

Hallo, ein Freund möchte einen Ordner auf meinem PC anlegen und dieser soll sich dann automatisch mit einem Ordner ...

Windows Server

Versteckte Freigaben entziehen alle Berechtigungen

gelöst Frage von StarlordWindows Server8 Kommentare

Hallo Zusammen Auf meinem Fileserver möchte ich mehrere Daten zur Verfügung stellen. Unter anderem die Teamdaten der verschiedenen Abteilungen ...

Windows Server

Sichern einer Domänen Controllers nur die AD bei Server 2008 und 2012

gelöst Frage von zeroblue2005Windows Server24 Kommentare

Hallo Zusammen, hatte heute einen Crash bei meinen beiden VMs DC sowohl beim Master als auch der Repli. hatten ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 5 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 7 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 7 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...