Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ordner auf 2003 Server vor Admin verstecken

Mitglied: Titel-Ohne-Mittel

Titel-Ohne-Mittel (Level 1) - Jetzt verbinden

01.02.2011 um 14:24 Uhr, 5819 Aufrufe, 18 Kommentare

Hallo,

wie ist es unter Windows 2003 Server Standard zu bewerkstelligen, dass ein Ordner so geschützt ist, dass nur ein Benutzer auf den Ordner Zugriff hat. Selbst der Admin soll auf diesen Ordner keinen Zugriff haben.

Der Einsatz von externer Software sollte das letzte Mittel sein, um zum gewünschten Ergebnis zu kommen.

Danke im Voraus.

Titel-Ohne-Mittel
Mitglied: mrtux
01.02.2011 um 14:50 Uhr
Hi !

Ähmmm war Montag nicht gestern? Kopfkratz...

Glaubst Du ernsthaft, Du kannst einen (guten) Admin hinters Licht führen? Bespreche das mit ihm, dann wird er dir im Rahmen seiner von der Geschäftsführung vorgegebenen Grenzen auch helfen können...Hinterrücks wird das nüx... Edit: Wenn Du nix Illegales tust, wird er dir eine Möglichkeit einräumen, siehe DWW..

mrtux
Bitte warten ..
Mitglied: DerWoWusste
01.02.2011 um 14:50 Uhr
Verschlüsseln oder zippen mit Kennwort. Letzteres ist mit 2003-Bordmitteln möglich.
Bedenke: wer Admin ist, kann auch Keylogger installieren, die Kennwörter für Verschlüsselungen abfangen.
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
01.02.2011 um 15:06 Uhr
Hallo,

häh ???

Ziel ist es, einem Benutzer Adminrechte zu geben (Einsicht in Prozesse der anderen Beutzer über den Taskmanager, Benutzer wieder freischalten, ...) ohne dass der NEUE ADMIN aber Zugriff auf den persönlichen Ordner (Eigene Dateien) der Geschäftsleitung hat.

Nicht hinter jeder Frage stecken böse Gedanken.

Titel-Ohne-Mittel
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
01.02.2011 um 15:15 Uhr
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu können.
Bitte warten ..
Mitglied: Logan000
01.02.2011 um 15:23 Uhr
Moin Moin

Das Problem ist nicht einem Admin die Rechte auf ein Verzeichnis zu nehmen.
Das Problem dürfte vielmehr sein das er sich diesen Zugriff jederzeit wieder erteilen kann.
Einziger Lösungsansatz, wie bereits geschrieben, ist Verschlüsselung.

Gruß L.
Bitte warten ..
Mitglied: daadaa
01.02.2011 um 15:31 Uhr
hallo mittelloser Titel,

setzt ihr Active Directory ein? Wenn ja, kannst du der Lösung so nah wie möglich kommen. Ein Systemadministrator kann per Definition auf alle Daten im System zugreifen, das ist nicht auszuschalten, nur zu erschweren.
Unter den Usereigenschaften einen Basisordner anlegen und gut is. (z.B. Verbinden von H: mit \\server\anwender$\%username%).

Und wenn der Admin will, kann er jederzeit den Besitz übernehmen und was auch immer mit den Dateien anstellen.

Hier ist definitiv VERTRAUEN angesagt. Wer dem Admin nicht vertraut, sollte sich einen anderen suchen.
Bitte warten ..
Mitglied: 96937
01.02.2011 um 15:32 Uhr
lokales Admin-Konto/entsprechenden Domänenbenutzer in die Gruppe der lokalen Administratoren oder der Person vertrauen können...
Bitte warten ..
Mitglied: Skyemugen
01.02.2011 um 16:58 Uhr
Aloha!

Die Datensicherung der Geschäftsleitung geschieht dann auch Admin-unabhängig (und abgegrenzt von der sonstigen normalen Datensicherung ...)?

Sonst wäre es sinnbefreit (dein Vorhaben) =)

greetz André
Bitte warten ..
Mitglied: Simone20100
01.02.2011 um 18:49 Uhr
Ich würde eine WebDav anlegen und den Schlüssel mit den Kollegen der Geschäftsleitung teilen.
Bitte warten ..
Mitglied: crashzero2000
02.02.2011 um 07:07 Uhr
Zitat von Titel-Ohne-Mittel:
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu
können.

Moin, ähhh, dann läuft da aber was richtig schief.
Die/der Admin sollte schon das Vertrauen der GF haben.Ansonsten ist eine Zusammenarbeit echt schwer.
Bei uns wurde das durch eine Verschwiegenheitserklärung [und ein Verstoß hat richtige gesetzliche Konsequenzen] gelöst.
In einem Unternehmen mit nur einem oder 2 Admin ist das recht schnell gelöst, in eine Unternehmen mit vielen Admins [Wie bei uns] gibt es ja auch verschiedene Administrations-Rules [Domänen-Admin,Sicherungsadmin,usw.].
Wenn diese Admin den jeweiligen Rollen angehören, können diese auch aus den Verzeichnissen der GF "ausgegliedert" werden - Achtung,aber vorsichtig, wenn du den Sicherungsadmin ausspeerst kann es sein das der Sicherungsjob über dein Verzeichnis nicht laufen kann.
Also vorher Rücksprache mit den Admins - Allerdings werden die sicher nicht erfreut sein,was ich verstehen könnte.
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
02.02.2011 um 12:14 Uhr
Hallo,

Active Directory setzen wir leider nicht ein. Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Bitte warten ..
Mitglied: DerWoWusste
02.02.2011 um 12:48 Uhr
Akzeptier bitte meine Meinung, dass dies nur Augenwischerei ist. Der Admin kann wie gesagt mit Keyloggern arbeiten. Ihm muss vertraut werden. Wir haben die selbe Geschichte bei uns durch für unseren Betriebsrat. Meine Hinweise wurden ignoriert und wir haben uns einen schönen Aufwand gemacht. Jederzeit könnte ich, wenn ich wollte, die Truecrypt-Kennwörter abfangen und an die BR-Daten ran.
Bitte warten ..
Mitglied: Logan000
02.02.2011 um 12:48 Uhr
Moin

Zitat von Titel-Ohne-Mittel:
.. oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Ich frag mich gerade wer den wohl "administriert".

Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk
Besser, aber immer schön DaSi und Restore im Auge behalten.

Gruß L.
Bitte warten ..
Mitglied: mrtux
02.02.2011 um 15:50 Uhr
Hi !

Zitat von Titel-Ohne-Mittel:
Nicht hinter jeder Frage stecken böse Gedanken.

Du hast mich nicht richtig verstanden, so war das nicht gemeint!

Ich wollte damit nur zum Ausdruck bringen, dass ihr in eurer Firma ein echtes Problem habt und das ist definitiv nicht mit technischen Mitteln zu lösen, daher kann ich dir da keine sinnvolle Hilfestellung geben. Ausserdem ist es doch ein ausgemachter Blödsinn, jemanden aussperren zu wollen, der (üblicherweise) firmenweit die meiste Ahnung/Erfahrung und auch alle Zugriffsrechte in der IT hat. Daran alleine sieht man doch schon die Sinnlosigkeit deines Vorhabens...

Wenn jemand in der FIrma Vertrauen geniest dann ist es der Admin. Und mal angenommen er hätte es nicht mehr, dann hat er in der Firma auch nichts mehr verloren...Was glaubst Du wohl, wie viele Firmeninterna (Konten, Lohnabrechnungen usw.) ich in mehr als 20 Jahren Tätigkeit schon gesehen habe, ja sogar sehen musste, um meine Arbeit durchführen zu können. Wäre das Vertrauen in meine Person weg, wäre die Basis für meine gesamte Arbeit dahin....Wenn eure Geschäftsleitung kein Vertrauen mehr in euren Admin hat (aus welchem Grund auch immer), dann ist doch das Arbeitsverhältnis eigentlich schon beendet, ihr habt es blos noch nicht gemerkt...

Nee, sorry! Ihr habt ein Vertauensproblem und das hat nichts aber auch gar nichts mit der IT an sich zu tun, daher sehe ich in deiner Frage auch kein technisches Problem!

mrtux
Bitte warten ..
Mitglied: Ioan
07.02.2011 um 18:24 Uhr
Hallo T-O-M,

Dem Admin das Vertrauen zu entziehen ist das kraseste was passieren kann. Wofür braucht man den Admin?
Verschlüßelung ist OK. Was passiert wenn das Profil vom GL-User kaputt geht? Da kann nicht eimal der arme, Vertrauenslose Admin mehr helfen.

Gruß Ioan
Bitte warten ..
Mitglied: DerWoWusste
07.02.2011 um 20:32 Uhr
Was passiert wenn das Profil vom GL-User kaputt geht?
Gar nichts passiert dann - ein Profil hat mit der Verschlüsselung nichts zu tun. Solange der Nutzer darüber Sorge trägt, das PW auch zu behalten und ein Recovery-Medium zu haben, ist alles gut von der Seite her. Nur gegenüber dem Admin schützen tut es leider nahe null.
Bitte warten ..
Mitglied: chillum
07.02.2011 um 22:41 Uhr
Moin,

ich finde die Idee mit Truecrypt (von mir auch auch Steganos) gar nicht so schlecht. Klar, 100% Sicherheit gibt auch das nicht ( -> Keylogger), aber professionelle Autodiebe klauen auch 200.000€ Autos mit der neusten Sicherheitstechnik. Truecryptcontainer auf einem USB-Stick am besten per geheimer Keyfile verschlüsselt (das hilft auch gegen Keylogger) und gut.
Schwierig wird es nur, wenn der USB-Stick kaputt geht. Die Geschäftsleitung muss sich natürlich selber und ohne fremde Hilfe um Backups / Erstellen des Containers / Wahl der Keyfile(s) kümmern.
Sicher finden hier einige noch (theoretische) Sicherheitslücken, aber mal im Ernst: Wenn der Admin Keylogger und ähnliche Tricks benutzt um gezielt Daten der Geschäftsleitung zu stehlen, liegt das Problem woanders.
Letztendlich bleibt, wie von den Vorpostern schon geschrieben: Ein Minimum an Vertrauen sollte man seinem Admin schon entgegenbringen.

Gruß
Tobi

P.S. Der Chef der Buchhaltung hat meistens auch Zugriff auf die Firmenkonten und der Personalchef auf die Personaldaten. Denen muss man auch vertrauen, also warum nicht dem Admin?
Bitte warten ..
Mitglied: 2hard4you
08.02.2011 um 08:05 Uhr
Moin,


solch eine Konstellation kann man durch eine Rollentrennung erreichen - aber da mußt Du richtig Geld in die Hand nehmen.

Wir habens damals gelöst, indem wir Verschlüsselungsboxen an die NetApp-Filer gehangen haben und wir eine PKI aufgebaut haben, die card- und rolebasiert war.

Die Domainadmins konnten alles erreichen, backuppen und restoren (aber nur per Filesystem, nicht über die Verschlüsselungsboxen) - aber für sie war es nur sinnloser Datenmüll. Die Security-Admins konnten nix, hatten keine Rechte im Filesystem, konnten aber jedem anderen (AD-Mitglied) die Zugriffsrechte einräumen, der damit über die Verschlüssungsboxen ging und mit den dort steckenden Cards Zugriff auf die Cryptshares bekam.

Wie gesagt, sauteuer.

Die billige Lösung ist, dem Admin zu vertrauen.

Gruß

24
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
User verstecken Server 2012
Frage von achim222Windows Userverwaltung18 Kommentare

Hallo, gibt es eine Möglichkeit gewisse User mit Adminrechten zu verstecken ? Es handelt sich um Windows 2012 Server. ...

Windows Server
Berechtigungen verstecken
Frage von imacerWindows Server5 Kommentare

Hallo zusammen, ist es möglich, das Anzeigen der Berechtigungen den Benutzern auf einem Windows Server 2008 R2 zu verweigern? ...

Netzwerke
IP-Adresse Verbergen oder Verstecken
Frage von Daoudi1973Netzwerke15 Kommentare

Hallo alle, meine Frage heute: was für Vorteile hat man, wenn man die IP-Adresse verbergt oder versteckt? Gruß Daoudi1973

Lizenzierung
Verboten, Nag-Screens zu verstecken?
gelöst Frage von Snowman25Lizenzierung9 Kommentare

Hallo Gemeinde, Ich habe da eine Lizenzrechtliche Frage in der Grauzone: Gilt es als Lizenzbruch, Nag-screens zu verstecken, wenn ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Humor (lol)
Nerd Zeitschrift gesucht
Frage von 2SeitenHumor (lol)6 Kommentare

Hey Zusammen, Ich suche eine Zeitschrift bei der es ums technische Basteln geht. Pc zusammenschrauben, Arduino Projekte, Server Tipps ...