Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Dateizugriff des Admin AD Account unter Windows überwachen

Mitglied: c3r3br0

c3r3br0 (Level 1) - Jetzt verbinden

04.04.2014, aktualisiert 19:30 Uhr, 2364 Aufrufe, 6 Kommentare, 2 Danke

Nachtrag - zuerst natürlich ein HALLO an euch...

Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten. Dies vor allem, da die Integrität der Userdaten, die auf den Fileserver zugreifen, gewahrt bleiben soll. Denn jeder User erhält durch die Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden können. Denn die Dateiwiederherstellung braucht ja Adminrechte.

Konkret suchen wir nach einem Programm, dass die Dateizugriffe des Adminaccounts registriert und wenn möglich automatisiert an die verschiedenen Nutzer des Adminaccounts gesandt werden. Dadruch findet eine gegenseitige Kontrolle statt, wodurch wir uns einen Sicherheitsgewinn versprechen.

Danke - einmal mehr - für Ratschläge...

c3r3br0
Mitglied: DerWoWusste
04.04.2014 um 18:48 Uhr
Hi.

Du kannst Auditing für bestimmte Benutzer aktivieren und als Resultat Mails schicken lassen.
Bitte warten ..
Mitglied: Xaero1982
04.04.2014 um 19:13 Uhr
Auch kein Hallo,

verständnisfrage: Warum arbeiten mehrere Nutzer mit dem Domänenadmin-Account? Da hat abgesehen vom Admin eigentlich niemand was dran verloren.
Wenn ihr zu eurem Admin kein Vertrauen habt, dann solltet ihr euch einen neuen suchen und/oder ggf. eine Verschwiegenheitserklärung unterschreiben lassen.
Um einen etwaigen Crash sollte sich auch der Admin kümmern ggf. auch zwei.

Gruß
Bitte warten ..
Mitglied: jsysde
04.04.2014, aktualisiert um 20:05 Uhr
N'Abend.
Zitat von c3r3br0:
Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten.
Grob fahrlässig - wenn es mehrere Admins gibt, muss es auch mehrere Admin-Accounts geben. Welchen Sinn macht die Überwachung eines Accounts, wenn sich dahinter mehrere Leute verbergen?


Dies vor allem, da die Integrität der Userdaten, die auf den Fileserver zugreifen, gewahrt bleiben soll. Denn jeder User erhält durch die
Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die
Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden
können. Denn die Dateiwiederherstellung braucht ja Adminrechte.
Ähh, sorry, das ist eher ein konzeptioneller Fehler - ein Backup-System, über das Daten auch wiederhergestellt werden können, läuft mit einem Service-Account und nur dieser Service-Account hat Zugriff auf die Homedrives der User. Die Admins (sämtliche, alle, inkl. der Domain-Admins) haben keinen Zugriff auf diese Ordner.

Mal von den oben genannten Punkten abgesehen:
Wenn ich Domain-Admin bin, kann ich mir jederzeit sämtliche Rechte verschaffen, die ich brauche. Und selbst wenn etwas protokolliert wird, kann ich jederzeit das Passwort des entsprechenden Users zurücksetzen und mich in seinem Namen anmelden und Daten ausspähen. Vorbei an allen Protokollen. Wenn der User am nächsten morgen beim HelpDesk anruft, weil sein Account gesperrt ist und beteuert, er habe unter Garantie sein Passwort _nicht_ falsch eingegeben - was glaubst du, was passieren wird?

Technisch besteht natürlich die Möglichkeit, so ziemlich alles zu loggen und zu protokollieren, aber mehr Sicherheit bietet das nicht - im Gegenteil, es bindet viel mehr Arbeitszeit der Admins, die diese Logs sichten müssen. Und da nichts mehr nach Strafarbeit schreit, wie Logs wälzen zu müssen, ist die Gefahr, unberechtigte Zugriffe schlicht zu übersehen, sehr hoch.

Cheers,
jsysde
Bitte warten ..
Mitglied: c3r3br0
05.04.2014 um 16:12 Uhr
Danke für eure Hinweise. Werde die Inputs gerne am kommenden Dienstag in die Wochensitzung mitnehmen und da Änderungen beantragen.

Grüsse

c3r3br0
Bitte warten ..
Mitglied: c3r3br0
05.04.2014 um 17:16 Uhr
Zitat von c3r3br0:
... und nur dieser Service-Account hat Zugriff auf die Homedrives der User. Die
Admins (sämtliche, alle, inkl. der Domain-Admins) haben keinen Zugriff auf diese Ordner.

und wie soll das gehen? Der Admin kann sich ja jederzeit wieder die entsprechenden Rechte zu den Homedrives geben?

Danke für eine Antwort.
Bitte warten ..
Mitglied: Xaero1982
05.04.2014 um 17:22 Uhr
Das Problem hat er direkt im Absatz danach angesprochen. ...
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

AD Gruppe der Domänen-Admins überwachen

Frage von ThorstenRayWindows Userverwaltung5 Kommentare

Hallo zusammen, ich stehe gerade in meiner Firma vor einer Herkules-Aufgabe. Unser derzeitges AD ist ein Kuddelmuddel vor dem ...

Windows Server

AD Windows Profil mit Admin Account offline verfügbar machen

Frage von AndiStroebiWindows Server3 Kommentare

Hallo, wir haben sehr viele Mitarbeiter die nur 2x im Jahr in ein Büro unserer Firma kommen. Daher haben ...

Windows Userverwaltung

Admin Account wird gesperrt

gelöst Frage von badkillaWindows Userverwaltung12 Kommentare

Hallo, ich hatte jetzt 2 Wochen Urlaub und musste daraufhin heute mein Kennwort ändern. Seit dem sperrt es meinen ...

Sicherheitsgrundlagen

Admin Account ohne Passwort Sicherheit

gelöst Frage von garackSicherheitsgrundlagen14 Kommentare

Wenn ich auf einem Windows 7 Rechner einen Standardnutzer und einen Admin als Konten nutze und der Admin kein ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 14 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 18 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...