Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Adminrechte für Ordner (sicher!) entziehen unter Server 2008

Frage Microsoft Windows Server

Mitglied: 71988

71988 (Level 1)

17.11.2008, aktualisiert 18.11.2008, 5526 Aufrufe, 15 Kommentare

Hallo,
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.

Danke für die Hilfe
Mitglied: xm-bit
17.11.2008 um 14:30 Uhr
Hi,

dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...

Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.

Warum soll der Admin den Ordner denn nicht sehen können???

mfg
SasH
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:39 Uhr
es liegt nicht in meiner Entscheidung wieso es so sein soll, den Admin kann ich aus den Ordnerrechten heraus werfen ja, dennoch bekommt der Admin sofort Zugriff wenn er den Ordner öffnen will mit blos eben einer kurzen Warnabfrage, dieses "feature" gibts auch erst seit 2008.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:42 Uhr
Hallo Hector,

den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.

Gruß, Pandora
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:49 Uhr
irgendwie werd ich hier glaub ich missverstanden. Es geht nicht darum den Admin irgendwelche Rechte aus dem System zu nehmen oder dem Admin die einsicht vollständig zu verbieten in dem Ordner, sondern darum das man nicht einfach mit einem Klick in die Ordner schauen kann sondern der Admin wenigstens in die Rechteliste jenes Ordners hinzugefügt werden muss...
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:53 Uhr
Aber die Administratoren sind doch Standardmäßig in der Rechteliste eingetragen, um ihnen also explizit Rechte zu vergeben müssen sie also zunächst mal rausgenommen werden...
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:06 Uhr
ja ok, glaub war mein Fehler eben ;) dacht wär gemeint aus dem Serversystem zu entfernen.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 15:08 Uhr
Ja, du kannst natürlich die Gruppe der Administratoren aus den Sicherheitseinstellungen löschen.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:18 Uhr
ich will ja nur das diese Abfrage nicht mehr kommt damit man nicht einfach doch als Admin reinkann ohne das man der Gruppe für den Ordner hinzugefügt ist
Bitte warten ..
Mitglied: dog
17.11.2008 um 15:54 Uhr
Es gibt keine sichere Möglichkeit den Administratoren den Zugriff auf einen Ordner zu verbieten.
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.

Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.

Grüße

Max
Bitte warten ..
Mitglied: 71988
17.11.2008 um 16:36 Uhr
Die Rolle des Admins kann ja ruhig den Ordner übernehmen, damit wäre ja erstmal nachgewiesen das der Admin darauf zugegriffen hat, es soll so sein das der Admin aber dann automatisch der Besitzer dieses Ordner wird, für den beweis eben das er drann war.

Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.

Hector
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 18:03 Uhr
Wie schon gesagt, dann nimm die Rolle der Admins aus den Sicherheitseinstellungen raus. Sauber würde es aber gehen, wenn du auf die kritischen Dateien die Zugriffsüberwachung anwendest.

Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 21:43 Uhr
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass kennen...was meinst du mit Zugriffsüberwachung? is das was neues unter 2008?
Bitte warten ..
Mitglied: Pandora
18.11.2008 um 07:40 Uhr
Nein, das ist nicht neu. Im Groben funktioniert es wie folgt (ich hab hier nur W2K3, aber ich denke, dass es noch halbwegs identisch sein sollte, sonst schau mal in dein Handbuch):

du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.

Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.

Die Ergebnisse findest du anschließend im Ereignisprotokoll.

Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
Bitte warten ..
Mitglied: Logan000
18.11.2008 um 08:33 Uhr
Moin Moin

Zitat von 71988:
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Das ist in der Tat ein Problem.
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.

Gruß L.
Bitte warten ..
Mitglied: 71988
18.11.2008 um 08:59 Uhr
Pandora, danke werds mir mal anschauen.

Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur
Bitte warten ..
Ähnliche Inhalte
Windows 10
Ordner (+ Inhalt) Schreibberechtigungen entziehen trotz Administratorrechten
gelöst Frage von Windows11Windows 104 Kommentare

Hallo zusammen, aktuell sind 3 Administratoren Konten auf diesem Rechner gegeben. Diese Rechte sind notwendig, weil bestimmte Software ohne ...

Windows 10
Ordner als Netzwerklaufwerk freigeben - wie sicher ist das?
Frage von SeeroseWindows 109 Kommentare

Hallo, ein Freund möchte einen Ordner auf meinem PC anlegen und dieser soll sich dann automatisch mit einem Ordner ...

Windows Server
Versteckte Freigaben entziehen alle Berechtigungen
gelöst Frage von StarlordWindows Server8 Kommentare

Hallo Zusammen Auf meinem Fileserver möchte ich mehrere Daten zur Verfügung stellen. Unter anderem die Teamdaten der verschiedenen Abteilungen ...

Windows Server
Sichern einer Domänen Controllers nur die AD bei Server 2008 und 2012
gelöst Frage von zeroblue2005Windows Server24 Kommentare

Hallo Zusammen, hatte heute einen Crash bei meinen beiden VMs DC sowohl beim Master als auch der Repli. hatten ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 2 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 6 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server15 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell10 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Windows Server
Administratoren-Gruppe abfragen?
Frage von 1410640014Windows Server6 Kommentare

Hallo, kennt jemand eine einfache (und schnelle) Möglichkeit, von allen Client-Computern im Active Directorey die Administratoren-Gruppe abzufragen, wer da ...