11
Korrekte Berechtigung für die Homelaufwerke
Server OS: Windows Server 2012R2
Client OS: Windows 8.1
Hallo,
eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/
ALSO...
Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.
Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt
Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.
Die Anforderung an die Berechtigungen ist:
Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt
Gruß
Client OS: Windows 8.1
Hallo,
eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/
ALSO...
Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.
Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt
Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.
Die Anforderung an die Berechtigungen ist:
Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 256840
Url: https://administrator.de/contentid/256840
Printed on: April 25, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hi.
Die Forderung
Die Forderung
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Ist Blödsinn, da Admins sich den Zugriff selbst bei Verweigerung jederzeit selbst wieder erteilen können.
Hallo,
ich verstehe das auch nicht so ganz. Ich würde den einzelnen User Verzeichnissen dem jeweiligen User und den Admins Vollzugriff erteilen und gut.
Gruß Sven
ich verstehe das auch nicht so ganz. Ich würde den einzelnen User Verzeichnissen dem jeweiligen User und den Admins Vollzugriff erteilen und gut.
Gruß Sven
Schließlich schreien alle nach dem Admin, wenn mal versehentlich Daten gelöscht wurden und es darum geht die dann wiederherzustellen. Blöd, wenn der Admin das dann nicht könnte.
Just my 2 Cents.
Just my 2 Cents.
Hi,
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.
Um Deine Frage zu beantworten:
{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.
Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.
Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.
Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.
E.
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.
Um Deine Frage zu beantworten:
- auf der Freigabe gib "Jeder" - Vollzugriff - Zulassen
- auf dem Ordner, der da freigegeben ist, gibst Du
- "authentifizierte Benutzer" - Ordnerinhalt anzeigen - zulassen (mehr nicht!)
- nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
- {Gruppe der Benutzerverwalter} - Vollzugriff - zulassen
- nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
- Wenn jetzt in der MMC AD User & Computer einem Benutzer ein Home Drirectory erteilt wird, dann
- wird dieses erstellt und
- dem Benutzer dort explizit Vollzugriff erteilt
- keine weiteren Rechte von oben geerbt, also auch kein Zugriff für Admins oder {Gruppe der Benutzerverwalter}
{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.
Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.
Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.
Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.
E.
Moin emeriks.
Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
Zitat von @DerWoWusste:
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
Na ja,Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
- Ein "Backup Operator" zu sein allein reicht nicht aus, um sich selbst der ACL hinzufügen zu können. Man muss da schon Know-How haben, um zu wissen, wei man ein Programm mit entsprechend aktiviertem Privileg ausführen kann.
- Wenn man nicht min. Lese-Rechte für die ACL hat, dann kann man zwar den Besitz übernehmen, zerstört dabei aber die ACL. Es wird eine neue aufgebaut entsprechend den Verebungsregeln. Das kann u.U. zum Verlust der Zugriffsrechte der Anwedner führen.
- Es soll Leute geben, die sich an Dienstanweisungen halten und dann u.U. Hemmschwellen zu überwinden haben.
(Das ist nicht persönlich gemeint, reine Polemik, ok?)
E.
Ein BA kann alles jederzeit lesen. Für BAs gelten keine ACLs. Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
Behaupte doch nicht einfach sowas!
E.
Ein BA kann alles jederzeit lesen.
Stimmt nicht.Für BAs gelten keine ACLs.
Stimmt so auch nicht.Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
DAS stimmt. Hier manipuliert man aber an einer Kopie rum. Und das wäre dann schon nah am Diebstahl, wenn man keine Erlaubnis zum Zugriff hat.E.
Dass ich erst ein Backup anfertigen muss, um alles zu lesen, sollte klar sein, das ist doch schon die Definition und der Zweck der Gruppe.
rony-x2 sollte sich selbst entscheiden, unsere Entscheidung steht fest. rony-x2, sag mal piep.
rony-x2 sollte sich selbst entscheiden, unsere Entscheidung steht fest. rony-x2, sag mal piep.
Ich war leider ein paar Tage krank - klingt aber so ganz brauchbar was ich gelesen habe 
Was beabsichtigst Du nun zu tun?
