Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Korrekte Berechtigung für die Homelaufwerke

Frage Microsoft Windows Server

Mitglied: rony-x2

rony-x2 (Level 1) - Jetzt verbinden

05.12.2014 um 13:28 Uhr, 1153 Aufrufe, 11 Kommentare

Server OS: Windows Server 2012R2
Client OS: Windows 8.1


Hallo,

eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/


ALSO...

Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.

Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt

Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.


Die Anforderung an die Berechtigungen ist:

Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten


Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt




Gruß
Mitglied: DerWoWusste
05.12.2014 um 14:12 Uhr
Hi.

Die Forderung
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Ist Blödsinn, da Admins sich den Zugriff selbst bei Verweigerung jederzeit selbst wieder erteilen können.
Bitte warten ..
Mitglied: Sveny79
05.12.2014 um 15:09 Uhr
Hallo,

ich verstehe das auch nicht so ganz. Ich würde den einzelnen User Verzeichnissen dem jeweiligen User und den Admins Vollzugriff erteilen und gut.

Gruß Sven
Bitte warten ..
Mitglied: Looser27
05.12.2014 um 15:15 Uhr
Schließlich schreien alle nach dem Admin, wenn mal versehentlich Daten gelöscht wurden und es darum geht die dann wiederherzustellen. Blöd, wenn der Admin das dann nicht könnte.

Just my 2 Cents.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 06.12.2014, aktualisiert 11.12.2014
Hi,
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.

Um Deine Frage zu beantworten:
  • auf der Freigabe gib "Jeder" - Vollzugriff - Zulassen
  • auf dem Ordner, der da freigegeben ist, gibst Du
    • "authentifizierte Benutzer" - Ordnerinhalt anzeigen - zulassen (mehr nicht!)
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
    • {Gruppe der Benutzerverwalter} - Vollzugriff - zulassen
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
  • Wenn jetzt in der MMC AD User & Computer einem Benutzer ein Home Drirectory erteilt wird, dann
    • wird dieses erstellt und
    • dem Benutzer dort explizit Vollzugriff erteilt
    • keine weiteren Rechte von oben geerbt, also auch kein Zugriff für Admins oder {Gruppe der Benutzerverwalter}

{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.

Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.

Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.

Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014 um 09:28 Uhr
Moin emeriks.

DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?

Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
Bitte warten ..
Mitglied: emeriks
08.12.2014 um 10:52 Uhr
Zitat von DerWoWusste:
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
Na ja,
  1. Ein "Backup Operator" zu sein allein reicht nicht aus, um sich selbst der ACL hinzufügen zu können. Man muss da schon Know-How haben, um zu wissen, wei man ein Programm mit entsprechend aktiviertem Privileg ausführen kann.
  2. Wenn man nicht min. Lese-Rechte für die ACL hat, dann kann man zwar den Besitz übernehmen, zerstört dabei aber die ACL. Es wird eine neue aufgebaut entsprechend den Verebungsregeln. Das kann u.U. zum Verlust der Zugriffsrechte der Anwedner führen.
  3. Es soll Leute geben, die sich an Dienstanweisungen halten und dann u.U. Hemmschwellen zu überwinden haben. (Das ist nicht persönlich gemeint, reine Polemik, ok?)

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014, aktualisiert um 11:22 Uhr
Ein BA kann alles jederzeit lesen. Für BAs gelten keine ACLs. Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
Bitte warten ..
Mitglied: emeriks
08.12.2014 um 11:29 Uhr
Behaupte doch nicht einfach sowas!
Ein BA kann alles jederzeit lesen.
Stimmt nicht.
Für BAs gelten keine ACLs.
Stimmt so auch nicht.
Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
DAS stimmt. Hier manipuliert man aber an einer Kopie rum. Und das wäre dann schon nah am Diebstahl, wenn man keine Erlaubnis zum Zugriff hat.

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014 um 11:43 Uhr
Dass ich erst ein Backup anfertigen muss, um alles zu lesen, sollte klar sein, das ist doch schon die Definition und der Zweck der Gruppe.
rony-x2 sollte sich selbst entscheiden, unsere Entscheidung steht fest. rony-x2, sag mal piep.
Bitte warten ..
Mitglied: rony-x2
11.12.2014 um 09:36 Uhr
Ich war leider ein paar Tage krank - klingt aber so ganz brauchbar was ich gelesen habe
Bitte warten ..
Mitglied: DerWoWusste
11.12.2014 um 14:29 Uhr
Was beabsichtigst Du nun zu tun?
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (2)

Frage von M.Marz zum Thema Windows Systemdateien ...

Netzwerkmanagement
gelöst Mehrere Switche per Trunk verbinden - korrekte VLAN-Config (8)

Frage von Stadtaffe84 zum Thema Netzwerkmanagement ...

Windows Server
gelöst Freigabe führt nicht zur Schreib-Berechtigung (11)

Frage von ElmaCx zum Thema Windows Server ...

Netzwerkgrundlagen
gelöst VLAN Tagging -Korrekte Ausducksweise (3)

Frage von systechadm zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...