Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Adminrechte für Ordner (sicher!) entziehen unter Server 2008

Frage Microsoft Windows Server

Mitglied: 71988

71988 (Level 1)

17.11.2008, aktualisiert 18.11.2008, 5494 Aufrufe, 15 Kommentare

Hallo,
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.

Danke für die Hilfe
Mitglied: xm-bit
17.11.2008 um 14:30 Uhr
Hi,

dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...

Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.

Warum soll der Admin den Ordner denn nicht sehen können???

Mit freundlichen Grüßen
SasH
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:39 Uhr
es liegt nicht in meiner Entscheidung wieso es so sein soll, den Admin kann ich aus den Ordnerrechten heraus werfen ja, dennoch bekommt der Admin sofort Zugriff wenn er den Ordner öffnen will mit blos eben einer kurzen Warnabfrage, dieses "feature" gibts auch erst seit 2008.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:42 Uhr
Hallo Hector,

den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.

Gruß, Pandora
Bitte warten ..
Mitglied: 71988
17.11.2008 um 14:49 Uhr
irgendwie werd ich hier glaub ich missverstanden. Es geht nicht darum den Admin irgendwelche Rechte aus dem System zu nehmen oder dem Admin die einsicht vollständig zu verbieten in dem Ordner, sondern darum das man nicht einfach mit einem Klick in die Ordner schauen kann sondern der Admin wenigstens in die Rechteliste jenes Ordners hinzugefügt werden muss...
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 14:53 Uhr
Aber die Administratoren sind doch Standardmäßig in der Rechteliste eingetragen, um ihnen also explizit Rechte zu vergeben müssen sie also zunächst mal rausgenommen werden...
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:06 Uhr
ja ok, glaub war mein Fehler eben ;) dacht wär gemeint aus dem Serversystem zu entfernen.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 15:08 Uhr
Ja, du kannst natürlich die Gruppe der Administratoren aus den Sicherheitseinstellungen löschen.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 15:18 Uhr
ich will ja nur das diese Abfrage nicht mehr kommt damit man nicht einfach doch als Admin reinkann ohne das man der Gruppe für den Ordner hinzugefügt ist
Bitte warten ..
Mitglied: dog
17.11.2008 um 15:54 Uhr
Es gibt keine sichere Möglichkeit den Administratoren den Zugriff auf einen Ordner zu verbieten.
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.

Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.

Grüße

Max
Bitte warten ..
Mitglied: 71988
17.11.2008 um 16:36 Uhr
Die Rolle des Admins kann ja ruhig den Ordner übernehmen, damit wäre ja erstmal nachgewiesen das der Admin darauf zugegriffen hat, es soll so sein das der Admin aber dann automatisch der Besitzer dieses Ordner wird, für den beweis eben das er drann war.

Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.

Hector
Bitte warten ..
Mitglied: Pandora
17.11.2008 um 18:03 Uhr
Wie schon gesagt, dann nimm die Rolle der Admins aus den Sicherheitseinstellungen raus. Sauber würde es aber gehen, wenn du auf die kritischen Dateien die Zugriffsüberwachung anwendest.

Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Bitte warten ..
Mitglied: 71988
17.11.2008 um 21:43 Uhr
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass kennen...was meinst du mit Zugriffsüberwachung? is das was neues unter 2008?
Bitte warten ..
Mitglied: Pandora
18.11.2008 um 07:40 Uhr
Nein, das ist nicht neu. Im Groben funktioniert es wie folgt (ich hab hier nur W2K3, aber ich denke, dass es noch halbwegs identisch sein sollte, sonst schau mal in dein Handbuch):

du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.

Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.

Die Ergebnisse findest du anschließend im Ereignisprotokoll.

Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
Bitte warten ..
Mitglied: Logan000
18.11.2008 um 08:33 Uhr
Moin Moin

Zitat von 71988:
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Das ist in der Tat ein Problem.
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.

Gruß L.
Bitte warten ..
Mitglied: 71988
18.11.2008 um 08:59 Uhr
Pandora, danke werds mir mal anschauen.

Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...