Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ordner auf 2003 Server vor Admin verstecken

Frage Microsoft Windows Server

Mitglied: Titel-Ohne-Mittel

Titel-Ohne-Mittel (Level 1) - Jetzt verbinden

01.02.2011 um 14:24 Uhr, 5731 Aufrufe, 18 Kommentare

Hallo,

wie ist es unter Windows 2003 Server Standard zu bewerkstelligen, dass ein Ordner so geschützt ist, dass nur ein Benutzer auf den Ordner Zugriff hat. Selbst der Admin soll auf diesen Ordner keinen Zugriff haben.

Der Einsatz von externer Software sollte das letzte Mittel sein, um zum gewünschten Ergebnis zu kommen.

Danke im Voraus.

Titel-Ohne-Mittel
Mitglied: mrtux
01.02.2011 um 14:50 Uhr
Hi !

Ähmmm war Montag nicht gestern? Kopfkratz...

Glaubst Du ernsthaft, Du kannst einen (guten) Admin hinters Licht führen? Bespreche das mit ihm, dann wird er dir im Rahmen seiner von der Geschäftsführung vorgegebenen Grenzen auch helfen können...Hinterrücks wird das nüx... Edit: Wenn Du nix Illegales tust, wird er dir eine Möglichkeit einräumen, siehe DWW..

mrtux
Bitte warten ..
Mitglied: DerWoWusste
01.02.2011 um 14:50 Uhr
Verschlüsseln oder zippen mit Kennwort. Letzteres ist mit 2003-Bordmitteln möglich.
Bedenke: wer Admin ist, kann auch Keylogger installieren, die Kennwörter für Verschlüsselungen abfangen.
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
01.02.2011 um 15:06 Uhr
Hallo,

häh ???

Ziel ist es, einem Benutzer Adminrechte zu geben (Einsicht in Prozesse der anderen Beutzer über den Taskmanager, Benutzer wieder freischalten, ...) ohne dass der NEUE ADMIN aber Zugriff auf den persönlichen Ordner (Eigene Dateien) der Geschäftsleitung hat.

Nicht hinter jeder Frage stecken böse Gedanken.

Titel-Ohne-Mittel
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
01.02.2011 um 15:15 Uhr
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu können.
Bitte warten ..
Mitglied: Logan000
01.02.2011 um 15:23 Uhr
Moin Moin

Das Problem ist nicht einem Admin die Rechte auf ein Verzeichnis zu nehmen.
Das Problem dürfte vielmehr sein das er sich diesen Zugriff jederzeit wieder erteilen kann.
Einziger Lösungsansatz, wie bereits geschrieben, ist Verschlüsselung.

Gruß L.
Bitte warten ..
Mitglied: daadaa
01.02.2011 um 15:31 Uhr
hallo mittelloser Titel,

setzt ihr Active Directory ein? Wenn ja, kannst du der Lösung so nah wie möglich kommen. Ein Systemadministrator kann per Definition auf alle Daten im System zugreifen, das ist nicht auszuschalten, nur zu erschweren.
Unter den Usereigenschaften einen Basisordner anlegen und gut is. (z.B. Verbinden von H: mit \\server\anwender$\%username%).

Und wenn der Admin will, kann er jederzeit den Besitz übernehmen und was auch immer mit den Dateien anstellen.

Hier ist definitiv VERTRAUEN angesagt. Wer dem Admin nicht vertraut, sollte sich einen anderen suchen.
Bitte warten ..
Mitglied: 96937
01.02.2011 um 15:32 Uhr
lokales Admin-Konto/entsprechenden Domänenbenutzer in die Gruppe der lokalen Administratoren oder der Person vertrauen können...
Bitte warten ..
Mitglied: Skyemugen
01.02.2011 um 16:58 Uhr
Aloha!

Die Datensicherung der Geschäftsleitung geschieht dann auch Admin-unabhängig (und abgegrenzt von der sonstigen normalen Datensicherung ...)?

Sonst wäre es sinnbefreit (dein Vorhaben) =)

greetz André
Bitte warten ..
Mitglied: Simone20100
01.02.2011 um 18:49 Uhr
Ich würde eine WebDav anlegen und den Schlüssel mit den Kollegen der Geschäftsleitung teilen.
Bitte warten ..
Mitglied: crashzero2000
02.02.2011 um 07:07 Uhr
Zitat von Titel-Ohne-Mittel:
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu
können.

Moin, ähhh, dann läuft da aber was richtig schief.
Die/der Admin sollte schon das Vertrauen der GF haben.Ansonsten ist eine Zusammenarbeit echt schwer.
Bei uns wurde das durch eine Verschwiegenheitserklärung [und ein Verstoß hat richtige gesetzliche Konsequenzen] gelöst.
In einem Unternehmen mit nur einem oder 2 Admin ist das recht schnell gelöst, in eine Unternehmen mit vielen Admins [Wie bei uns] gibt es ja auch verschiedene Administrations-Rules [Domänen-Admin,Sicherungsadmin,usw.].
Wenn diese Admin den jeweiligen Rollen angehören, können diese auch aus den Verzeichnissen der GF "ausgegliedert" werden - Achtung,aber vorsichtig, wenn du den Sicherungsadmin ausspeerst kann es sein das der Sicherungsjob über dein Verzeichnis nicht laufen kann.
Also vorher Rücksprache mit den Admins - Allerdings werden die sicher nicht erfreut sein,was ich verstehen könnte.
Bitte warten ..
Mitglied: Titel-Ohne-Mittel
02.02.2011 um 12:14 Uhr
Hallo,

Active Directory setzen wir leider nicht ein. Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Bitte warten ..
Mitglied: DerWoWusste
02.02.2011 um 12:48 Uhr
Akzeptier bitte meine Meinung, dass dies nur Augenwischerei ist. Der Admin kann wie gesagt mit Keyloggern arbeiten. Ihm muss vertraut werden. Wir haben die selbe Geschichte bei uns durch für unseren Betriebsrat. Meine Hinweise wurden ignoriert und wir haben uns einen schönen Aufwand gemacht. Jederzeit könnte ich, wenn ich wollte, die Truecrypt-Kennwörter abfangen und an die BR-Daten ran.
Bitte warten ..
Mitglied: Logan000
02.02.2011 um 12:48 Uhr
Moin

Zitat von Titel-Ohne-Mittel:
.. oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Ich frag mich gerade wer den wohl "administriert".

Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk
Besser, aber immer schön DaSi und Restore im Auge behalten.

Gruß L.
Bitte warten ..
Mitglied: mrtux
02.02.2011 um 15:50 Uhr
Hi !

Zitat von Titel-Ohne-Mittel:
Nicht hinter jeder Frage stecken böse Gedanken.

Du hast mich nicht richtig verstanden, so war das nicht gemeint!

Ich wollte damit nur zum Ausdruck bringen, dass ihr in eurer Firma ein echtes Problem habt und das ist definitiv nicht mit technischen Mitteln zu lösen, daher kann ich dir da keine sinnvolle Hilfestellung geben. Ausserdem ist es doch ein ausgemachter Blödsinn, jemanden aussperren zu wollen, der (üblicherweise) firmenweit die meiste Ahnung/Erfahrung und auch alle Zugriffsrechte in der IT hat. Daran alleine sieht man doch schon die Sinnlosigkeit deines Vorhabens...

Wenn jemand in der FIrma Vertrauen geniest dann ist es der Admin. Und mal angenommen er hätte es nicht mehr, dann hat er in der Firma auch nichts mehr verloren...Was glaubst Du wohl, wie viele Firmeninterna (Konten, Lohnabrechnungen usw.) ich in mehr als 20 Jahren Tätigkeit schon gesehen habe, ja sogar sehen musste, um meine Arbeit durchführen zu können. Wäre das Vertrauen in meine Person weg, wäre die Basis für meine gesamte Arbeit dahin....Wenn eure Geschäftsleitung kein Vertrauen mehr in euren Admin hat (aus welchem Grund auch immer), dann ist doch das Arbeitsverhältnis eigentlich schon beendet, ihr habt es blos noch nicht gemerkt...

Nee, sorry! Ihr habt ein Vertauensproblem und das hat nichts aber auch gar nichts mit der IT an sich zu tun, daher sehe ich in deiner Frage auch kein technisches Problem!

mrtux
Bitte warten ..
Mitglied: Ioan
07.02.2011 um 18:24 Uhr
Hallo T-O-M,

Dem Admin das Vertrauen zu entziehen ist das kraseste was passieren kann. Wofür braucht man den Admin?
Verschlüßelung ist OK. Was passiert wenn das Profil vom GL-User kaputt geht? Da kann nicht eimal der arme, Vertrauenslose Admin mehr helfen.

Gruß Ioan
Bitte warten ..
Mitglied: DerWoWusste
07.02.2011 um 20:32 Uhr
Was passiert wenn das Profil vom GL-User kaputt geht?
Gar nichts passiert dann - ein Profil hat mit der Verschlüsselung nichts zu tun. Solange der Nutzer darüber Sorge trägt, das PW auch zu behalten und ein Recovery-Medium zu haben, ist alles gut von der Seite her. Nur gegenüber dem Admin schützen tut es leider nahe null.
Bitte warten ..
Mitglied: chillum
07.02.2011 um 22:41 Uhr
Moin,

ich finde die Idee mit Truecrypt (von mir auch auch Steganos) gar nicht so schlecht. Klar, 100% Sicherheit gibt auch das nicht ( -> Keylogger), aber professionelle Autodiebe klauen auch 200.000€ Autos mit der neusten Sicherheitstechnik. Truecryptcontainer auf einem USB-Stick am besten per geheimer Keyfile verschlüsselt (das hilft auch gegen Keylogger) und gut.
Schwierig wird es nur, wenn der USB-Stick kaputt geht. Die Geschäftsleitung muss sich natürlich selber und ohne fremde Hilfe um Backups / Erstellen des Containers / Wahl der Keyfile(s) kümmern.
Sicher finden hier einige noch (theoretische) Sicherheitslücken, aber mal im Ernst: Wenn der Admin Keylogger und ähnliche Tricks benutzt um gezielt Daten der Geschäftsleitung zu stehlen, liegt das Problem woanders.
Letztendlich bleibt, wie von den Vorpostern schon geschrieben: Ein Minimum an Vertrauen sollte man seinem Admin schon entgegenbringen.

Gruß
Tobi

P.S. Der Chef der Buchhaltung hat meistens auch Zugriff auf die Firmenkonten und der Personalchef auf die Personaldaten. Denen muss man auch vertrauen, also warum nicht dem Admin?
Bitte warten ..
Mitglied: 2hard4you
08.02.2011 um 08:05 Uhr
Moin,


solch eine Konstellation kann man durch eine Rollentrennung erreichen - aber da mußt Du richtig Geld in die Hand nehmen.

Wir habens damals gelöst, indem wir Verschlüsselungsboxen an die NetApp-Filer gehangen haben und wir eine PKI aufgebaut haben, die card- und rolebasiert war.

Die Domainadmins konnten alles erreichen, backuppen und restoren (aber nur per Filesystem, nicht über die Verschlüsselungsboxen) - aber für sie war es nur sinnloser Datenmüll. Die Security-Admins konnten nix, hatten keine Rechte im Filesystem, konnten aber jedem anderen (AD-Mitglied) die Zugriffsrechte einräumen, der damit über die Verschlüssungsboxen ging und mit den dort steckenden Cards Zugriff auf die Cryptshares bekam.

Wie gesagt, sauteuer.

Die billige Lösung ist, dem Admin zu vertrauen.

Gruß

24
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...