Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Möglichkeiten dem Benutzer Administrator Zugriff auf bestimmte Ordner zu verweigern

Frage Microsoft Windows Server

Mitglied: Excaliburx

Excaliburx (Level 2) - Jetzt verbinden

07.04.2009, aktualisiert 15:00 Uhr, 5229 Aufrufe, 5 Kommentare

Hallo,

der Benutzer "Administrator" soll auf manche Ordner keinen Zugriff haben, da in diesen Ordnern Daten gespeichert sind, die spreng vertraulich nur z.B. von der Personalabteilung eingesehen werden dürfen/sollen.

Mir ist bekannt, dass sich der Benutzer Administrator wieder den Besitz eines Ordners an sich reißen und danach sich die Rechte des Ordners wieder zuweisen kann.
Auch ist mir bekannt, dass der Administrator zuständig für Datensicherung ist und allein aus diesem Grund Zugriff auf alle Daten benötigt.

Bei Verwendung von EFS hätte der Benutzer Administrator auch als Wiederherstellungsagent Zugriff.

Gibt es somit nur die Möglichkeit ein extra Verschlüsselungstool wie z.B. Truecrypt zu verwenden?

Oder kennt jemand noch andere Möglichkeiten?

Vielen Dank!
Mitglied: maretz
07.04.2009 um 15:24 Uhr
Also - du kannst natürlich die Daten per Truecrypt verschlüsseln. Problem daran: Wenn dein Container (TC-Container) mal beschädigt ist kannst du alle enthaltenden Daten auch gleich so in den Abfluss werfen...

Und wenn dein Admin es wirklich drauf anlegt in Daten zu sehen die ihn nichts angehen - dann kann er auch einfach im Hintergrund auf deinen Rechner gehen und die Daten sich von dort ziehen während der TC-Container gemountet ist... (oder per Keylogger das Passwort ziehen).

Da müsst ihr wohl dem Admin schon vertrauen wenn ihr die Daten sicher haben wollt. Denn wenn er wirklich rankommen will sind die möglichkeiten praktisch unbegrenzt (wenn man legal/illegal mal ausser acht lässt). Ansonsten kannst du natürlich den Admin auch bitten dir einen Brenner einzubauen - und die Daten dann auf eine CD-RW packen (Backup der Disk bitte nicht vergessen!). Diese Daten sind dann vor jedem Admin-Zugriff sicher -> wenn die CD im Safe liegt kann auch der Admin die nicht auslesen...
Bitte warten ..
Mitglied: Excaliburx
07.04.2009 um 16:33 Uhr
Hallo,

danke für die Antwort.

Gibt es eine Möglichkeit im Windows z.B. für einen Ordner eine Passwortabfrage einzurichten?

Vielen Dank!
Bitte warten ..
Mitglied: ichbindernikolaus
07.04.2009 um 16:34 Uhr
Zitat von Excaliburx:
Mir ist bekannt, dass sich der Benutzer Administrator wieder den
Besitz eines Ordners an sich reißen und danach sich die Rechte
des Ordners wieder zuweisen kann.
Auch ist mir bekannt, dass der Administrator zuständig für
Datensicherung ist und allein aus diesem Grund Zugriff auf alle Daten
benötigt.
Nicht zwangsläufig.
Ist bei mir in der Firma ähnlich.
Unser Chef hat auch einen Ordner, an den niemand anderer ran darf.
Was das Backup angeht, existiert bei uns ein eigener User mit Admin-Rechten im AD (nennen wir ihn mal backup-user), der zwar Zugriff auf jeden Ordner hat (also auch auf den "Chef-Ordner"), sich aber an keinem PC oder Server anmelden darf.
Mit diesem User arbeitet bei uns dann Backup Exec, um die Daten auf's Band zu holen.

Grundsätzlich ist es allerdings so wie maretz bereits sagte, nämlich dass ein gewisses Grundvertrauen dem Admin gegenüber existieren muss.
Denn mit Admin-Rechten kann man sich natürlich jedes Recht wiederholen, dass man möchte.

TrueCrypt und Konsorten wären natürlich eine Idee, denn den Container selbst kann das Backup-Programm ja fleißig mitsichern (so dass auch das Datensicherheits-Problem gelöst wäre)... das Passwort hat halt nur die berechtigte Person.
Den Container dann per AutoMount beim jeweiligen Anwender fest einrichten und gut ist es.
Bitte warten ..
Mitglied: maretz
07.04.2009 um 17:31 Uhr
Moin,

naja - nur was hindert euren Admin daran dem Backup-User das lokale Login-Recht wieder zu geben? Er kann das relativ schnell machen oder sich die entsprechenden Rechte zusätzlich setzen...

Gegen die Container hab ich etwas bei wichtigen Daten... Sicher kann man die mit ins Backup hauen -> und irgendwann kommt der User und sagt das der Container leider seid 3 Monaten nicht geöffnet wurde (weil z.B. darin die Personal-Verträge waren und die keiner benötigt hat) - und der jetzt defekt ist... Leider ist das Backup nur 2,5 Monate zurück ;). Ebenfalls löst es nicht das Problem das der Admin einfach im Hintergrund die Daten fröhlich-munter spiegeln könnte...

Also - wenn ich dem Admin nicht vertraue sollte ich die Daten aus dem Netz nehmen... Dann muss sich der User halt selbst ums Backup kümmern...
Bitte warten ..
Mitglied: ichbindernikolaus
07.04.2009 um 17:58 Uhr
Zitat von maretz:
naja - nur was hindert euren Admin daran dem Backup-User das lokale
Login-Recht wieder zu geben? Er kann das relativ schnell machen oder
sich die entsprechenden Rechte zusätzlich setzen...
Hast natürlich recht, niemand könnte uns daran hindern.
Das ist ja genau das, was Deiner- und Meinereiner zwecks Vertrauen dem Admin gegenüber schrieben.
Dieser User existiert ja auch nur, damit niemand "einfach so" an besagten Ordner kommt, das Backup aber vernünftig funktioniert.

Gegen die Container hab ich etwas bei wichtigen Daten... Sicher kann
man die mit ins Backup hauen -> und irgendwann kommt der User und
sagt das der Container leider seid 3 Monaten nicht geöffnet wurde
(weil z.B. darin die Personal-Verträge waren und die keiner
benötigt hat) - und der jetzt defekt ist... Leider ist das Backup
nur 2,5 Monate zurück ;). Ebenfalls löst es nicht das
Problem das der Admin einfach im Hintergrund die Daten
fröhlich-munter spiegeln könnte...
Haste Recht, jupp.

Also - wenn ich dem Admin nicht vertraue sollte ich die Daten aus dem
Netz nehmen... Dann muss sich der User halt selbst ums Backup
kümmern...
Jupps...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Zugriff auf Ordner einer Domäne als nicht Mitglied (1)

Frage von Bloodnighter zum Thema Windows Netzwerk ...

Windows 8
gelöst Benutzer kann plötzlich keine Ordner mehr umbenennen (3)

Frage von IllusionFACTORY zum Thema Windows 8 ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...