Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Korrekte Berechtigung für die Homelaufwerke

Frage Microsoft Windows Server

Mitglied: rony-x2

rony-x2 (Level 1) - Jetzt verbinden

05.12.2014 um 13:28 Uhr, 1307 Aufrufe, 11 Kommentare

Server OS: Windows Server 2012R2
Client OS: Windows 8.1


Hallo,

eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/


ALSO...

Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.

Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt

Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.


Die Anforderung an die Berechtigungen ist:

Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten


Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt




Gruß
Mitglied: DerWoWusste
05.12.2014 um 14:12 Uhr
Hi.

Die Forderung
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Ist Blödsinn, da Admins sich den Zugriff selbst bei Verweigerung jederzeit selbst wieder erteilen können.
Bitte warten ..
Mitglied: Sveny79
05.12.2014 um 15:09 Uhr
Hallo,

ich verstehe das auch nicht so ganz. Ich würde den einzelnen User Verzeichnissen dem jeweiligen User und den Admins Vollzugriff erteilen und gut.

Gruß Sven
Bitte warten ..
Mitglied: Looser27
05.12.2014 um 15:15 Uhr
Schließlich schreien alle nach dem Admin, wenn mal versehentlich Daten gelöscht wurden und es darum geht die dann wiederherzustellen. Blöd, wenn der Admin das dann nicht könnte.

Just my 2 Cents.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 06.12.2014, aktualisiert 11.12.2014
Hi,
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.

Um Deine Frage zu beantworten:
  • auf der Freigabe gib "Jeder" - Vollzugriff - Zulassen
  • auf dem Ordner, der da freigegeben ist, gibst Du
    • "authentifizierte Benutzer" - Ordnerinhalt anzeigen - zulassen (mehr nicht!)
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
    • {Gruppe der Benutzerverwalter} - Vollzugriff - zulassen
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
  • Wenn jetzt in der MMC AD User & Computer einem Benutzer ein Home Drirectory erteilt wird, dann
    • wird dieses erstellt und
    • dem Benutzer dort explizit Vollzugriff erteilt
    • keine weiteren Rechte von oben geerbt, also auch kein Zugriff für Admins oder {Gruppe der Benutzerverwalter}

{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.

Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.

Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.

Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014 um 09:28 Uhr
Moin emeriks.

DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?

Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
Bitte warten ..
Mitglied: emeriks
08.12.2014 um 10:52 Uhr
Zitat von DerWoWusste:
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
Na ja,
  1. Ein "Backup Operator" zu sein allein reicht nicht aus, um sich selbst der ACL hinzufügen zu können. Man muss da schon Know-How haben, um zu wissen, wei man ein Programm mit entsprechend aktiviertem Privileg ausführen kann.
  2. Wenn man nicht min. Lese-Rechte für die ACL hat, dann kann man zwar den Besitz übernehmen, zerstört dabei aber die ACL. Es wird eine neue aufgebaut entsprechend den Verebungsregeln. Das kann u.U. zum Verlust der Zugriffsrechte der Anwedner führen.
  3. Es soll Leute geben, die sich an Dienstanweisungen halten und dann u.U. Hemmschwellen zu überwinden haben. (Das ist nicht persönlich gemeint, reine Polemik, ok?)

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014, aktualisiert um 11:22 Uhr
Ein BA kann alles jederzeit lesen. Für BAs gelten keine ACLs. Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
Bitte warten ..
Mitglied: emeriks
08.12.2014 um 11:29 Uhr
Behaupte doch nicht einfach sowas!
Ein BA kann alles jederzeit lesen.
Stimmt nicht.
Für BAs gelten keine ACLs.
Stimmt so auch nicht.
Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
DAS stimmt. Hier manipuliert man aber an einer Kopie rum. Und das wäre dann schon nah am Diebstahl, wenn man keine Erlaubnis zum Zugriff hat.

E.
Bitte warten ..
Mitglied: DerWoWusste
08.12.2014 um 11:43 Uhr
Dass ich erst ein Backup anfertigen muss, um alles zu lesen, sollte klar sein, das ist doch schon die Definition und der Zweck der Gruppe.
rony-x2 sollte sich selbst entscheiden, unsere Entscheidung steht fest. rony-x2, sag mal piep.
Bitte warten ..
Mitglied: rony-x2
11.12.2014 um 09:36 Uhr
Ich war leider ein paar Tage krank - klingt aber so ganz brauchbar was ich gelesen habe
Bitte warten ..
Mitglied: DerWoWusste
11.12.2014 um 14:29 Uhr
Was beabsichtigst Du nun zu tun?
Bitte warten ..
Ähnliche Inhalte
Windows Server
Homelaufwerk keine Berichtigungen
gelöst Frage von buserverWindows Server3 Kommentare

Hallo, bei meinen Domänen-Konten kann ich das Homelaufwerk nicht benutzen, weil ich angeblich keine Berichtigungen zum Schreiben habe oder ...

Windows Userverwaltung
Ausführbare Dateien werden auf Homelaufwerk geblockt
gelöst Frage von kleinerbubWindows Userverwaltung10 Kommentare

Hallo liebe Admins, ich suche den Ursprung / Abhilfe für folgendes Verhalten: Auf dem Homelaufwerk der Benutzer lassen sich ...

Batch & Shell
Homelaufwerke im Startskript zuweisen
Frage von SirTomBatch & Shell3 Kommentare

Hallo, ich möchte gerne die Homelaufwerke in einem Startskript (vbs, Windowsumgebung) zuweisen. Momentran sieht das so aus (nur Teile ...

Windows Server
Homelaufwerk + weiteren Ordner als Netzlaufwerk?
Frage von maddocWindows Server5 Kommentare

Hi. Stehe gerade auf dem Schlauch. Möchte das jeder User in der Domäne sein Homelaufwerk + noch einen weiteren ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 20 StundenMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 22 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 23 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...