kilobyte
Goto Top

Ordner-Rechte für Dom.Admin einschränken?

Hallo,
wir haben einen Win 2012er fileserver und die Anforderung der Geschäftsleitung lautet: Ordner und Dateien der Geschäftsleitung für niemanden lesend und schreibend erlauben, auch nicht der IT. Soweit kein Problem, aber er will es kontrollieren können.
Theoretisch hab ich als Admin ja die Möglichkeit mich kurzerhand zum Besitzer zu machen und dadurch kurzweilig die Rechte zu ändern. Welche Möglichkeit seht ihr hier kontrollierend einzuwirken zu Gunsten der Geschäftsleitung?
Eine Überwachung einrichten und von den entstehenden Event-Logs Mails schicken lassen? Oder gibts da was schöneres?
DANKE für Euer feedback.

Content-Key: 349597

Url: https://administrator.de/contentid/349597

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Penny.Cilin
Penny.Cilin 20.09.2017 um 17:23:28 Uhr
Goto Top
Zitat von @kilobyte:

Hallo,
Hallo

wir haben einen Win 2012er fileserver und die Anforderung der Geschäftsleitung lautet: Ordner und Dateien der Geschäftsleitung für niemanden lesend und schreibend erlauben, auch nicht der IT. Soweit kein Problem, aber er will es kontrollieren können.
Dann richte die Protokollierung ein. Gegebenenfalls nutze die Rolle FSRM (File Service Ressource Management).

Theoretisch hab ich als Admin ja die Möglichkeit mich kurzerhand zum Besitzer zu machen und dadurch kurzweilig die Rechte zu ändern. Welche Möglichkeit seht ihr hier kontrollierend einzuwirken zu Gunsten der Geschäftsleitung?
Habe ich oben geschrieben, richte die Protokollierung ein. Eine andere Möglichkeit sehe ich jetzt nicht.
Und wenn sich ein Administrator Berechtigungen auf die angegebenen Daten verschafft, dann wird es protokolliert.

Eine Überwachung einrichten und von den entstehenden Event-Logs Mails schicken lassen? Oder gibts da was schöneres?
passt sho'

DANKE für Euer feedback.


Gruss Penny
Mitglied: em-pie
em-pie 20.09.2017 aktualisiert um 17:47:09 Uhr
Goto Top
Moin,

Wenn auch Umständlich/ Aufwendig und womöglich etwas "Oldschool":

Es bestünde ja noch die Möglichkeit, einen dedizierten, nicht der Domain angehörigen Server zu erstellen, dort die Gruppenverzeichnisse der GF zu platzieren und nach dessen Inbetriebnahme der GL das Kennwort des Administrator auszuhändigen/ versiegelt in einem Safe aufzubewahren. Allerdings muss dann für jeden Benutzer ein Konto auf dem Server angelegt werden, welcher das identische Passwort zu dem Domänen-Account hat. Anschließend via LogIn-Script das Laufwerk mappen und gut.

Bedeutet dann aber auch, dass ein Zugriff auf den Server nur in Zusammenarbeit mit der GL möglich ist, auch bei Updates & Co.
Hinzu kommt noch, wenn das AD-Kennwort abgelaufen ist, müssen die sich auf dem Server anmelden, und dort das Kenwort ebenfalls ändern. Kann man aber mit einer kurzen Screenshsot-Anleitung auf einer DIN-A4-Seite lösen...

Bei meinem früheren Arbeitgeber hatten wir das für das Personalwesen so realisiert....


Wenn die GL mitspielt, würde ich jedoch Penny.Cilins Variante bevorzugen, ist für alle am wengisten stressig...

Gruß
em-pie
Mitglied: AndreasHoster
AndreasHoster 20.09.2017 um 18:03:54 Uhr
Goto Top
Prinzipiell helfen hier nur Verschlüsselungslösungen, ansonsten lese ich als Admin es halt aus dem Backup aus.
Dagegen hilft keinerlei Logging auf den Originaldateien.
(ich gehe stillschweigend davon aus, das Backups gemacht werden).
Mitglied: canlot
canlot 20.09.2017 um 21:06:46 Uhr
Goto Top
Hi,

man kann keinem Admin was entziehen, man kann protokollieren usw. Aber ich könnte mich auch als Systembenutzer anmelden und dann auf die Daten zugreifen und ich denke nicht dass Systemzugriffe protokolliert werden, oder ich lese direkt von der Platte am Dateisystem vorbei.

Ich denke da muss man der IT vertrauen , wenn man es natürlich ganz sicher haben will muss die GL die Daten verschlüsseln und das Passwort niemanden verraten.

Gruß
Mitglied: kaiand1
kaiand1 20.09.2017 um 21:41:49 Uhr
Goto Top
Und Notfalls macht man ein Programm das auf dem Rechner der GF läuft im Hintergrund und mit dem Benutzeraccount dann auf die SicherheitsDaten zugreift/Kopiert auf einen anderen Netzwerkpfad.
Oder Ändert das PWD von der GF und Loggt sich damit ein um daran zu kommen und sagt denen durch eine Umstellung/Fehler gabs ein Problem ect...
Möglichkeiten gibts als Admin ohne Ende zudem ja auch Backups gemacht werden müssen und diese Sicherlich auch Revisionssicher sein sollen....
Mitglied: em-pie
em-pie 20.09.2017 aktualisiert um 21:57:20 Uhr
Goto Top
Zitat von @kaiand1:
[...]
Möglichkeiten gibts als Admin ohne Ende zudem ja auch Backups gemacht werden müssen und diese Sicherlich auch Revisionssicher sein sollen....
Aber auch in verschlüsselten Containern abgelegt werden können, die nur durch die GF entschlüsselt werden können..
Und die Container werden wiederum auf das Band geschrieben und das dafür erforderliche TapeDrive (Verkabelt) Im Schrank der GF aufbewahrt wird. Das Tape wird dann täglich mit nach Hause genommen....

Aber ihr habt Recht, aushebeln kann man jedes System
Das sicherste ist vermutlich, er schließt sich für die kritischen Daten in einen Raum ein, schreibt alles auf einen Zettel und packt diese Zettel/ Ordner dann in einen Safe, zu dem nur er den Zugang (Schlüssel, PinCode, Fingerabrduck, Iris-Scan UND DNA) hat...
Anschließend erschießt er sich, nachdem er den in Benzin getränkten Stuhl angezündet hat...

Sicherer sind die Infos dann vermutlich nicht aufbewahrt ...


Offenbar scheint euer Chef kein Vertrauen in die IT zu haben!?
Er müsste doch Wissen, dass neben den Putzfrauen und Azubis die IT die jenige ist, die die meiste Macht meisten Berechtigungen hat...
Mitglied: kaiand1
kaiand1 20.09.2017 um 22:08:22 Uhr
Goto Top
Wobei das mit dem Verschlüsseln durch die GF so eine Sache ist.
Was ist in 6 Jahren wenn man ans Backup muss zb und keiner kennt das Passwort von damals noch?

Sicherlich hat die GF da etwas "Schiss" das ein Admin mal die Daten mitnimmt und wo Puplic macht oder in der Firma Erzählt das Herr X dieses und jenes in der Akte stehen hat ect..
Zumal ja auch einige Ex Admins gerne mal in der Firma danach Schaden angerichtet haben..
Gibt dazu ja einige Berichte wo es zu Ausfällen gekommen ist...

Aber vielen ist ja auch nur des Offensichtliche bekannt wer an die Daten kommen könnte, vielen ist ja so nicht bekannt das zb die Putzkolonne quasi ein Generalschlüssel hat um in jeden Raum/Büro zu kommen um nach Feierabend dort zu Wischen was nicht mal die ITler oder Elektriker haben.
Kenne da Firmen da muss der zb der Elektriker Begleitet werden wenn der in der Buchführung eine Reparatur/Erweiterung machen soll aber die Putzkolonne nach Feierabend ungehindert Zugang hat.
Auch der Wachdienst mit den Rundgängen kann sich meist ungehindert Bewegen..

Aber wenn der Örtlichen IT nicht zu "Trauen" ist, könnte des ganze dafür ja auch in die "Hochsicherheits "Cloud gehen ;)

Bild ist zwar was Älter aber sagt ja schon alles dazu *g*

msfirewall
Mitglied: 117471
117471 20.09.2017 um 23:46:01 Uhr
Goto Top
Hallo,

kauf ihm einen USB-Stick.

Spätestens beim Backup musst Du an die Dateien ran. Zumindest, wenn Du Inkrementell oder Differentiell sichern willst.

Gruß,
Jörg
Mitglied: rzlbrnft
rzlbrnft 21.09.2017 um 00:16:43 Uhr
Goto Top
Zitat von @kaiand1:
Wobei das mit dem Verschlüsseln durch die GF so eine Sache ist.
Was ist in 6 Jahren wenn man ans Backup muss zb und keiner kennt das Passwort von damals noch?

Man könnte evtl. eine Dongle-basierte Verschlüsselungslösung einsetzen.
Aber auch die können kaputt gehen. 100% Sicherheit ist schwer zu realisieren.
Mitglied: departure69
departure69 21.09.2017 aktualisiert um 09:00:51 Uhr
Goto Top
@kilobyte:

Hallo.

die Anforderung der Geschäftsleitung lautet: Ordner und Dateien der Geschäftsleitung für niemanden lesend und schreibend erlauben, auch nicht der IT

Weltfremd und unrealistisch, diese Anforderung, finde ich. Wie andere hier auch schon schrieben: Der IT muß man auch auf sehr vielen anderen Ebenen der Datenbestände vertrauen können, warum nicht auch hier?

Selbst dann, wenn Du es schaffst, eine einigermaßen passable und praktikable Lösung für diese Anforderung zu finden:

Ist den Damen und Herren denn nicht klar, daß sie durchaus auch mal die Hilfe der IT bei diesen ach so geheimen Daten benötigen könnten, auch dann, wenn sie als einzig Passwortmächtige mal nicht anwesend sind (z. B. fette Störung am Wochenende, Fileserver spinnt, Domänen-Admin allein in der Firma)?

Und:

An Exchange/E-Mail wurde hier offenbar überhaupt nicht gedacht. Ich finde es nicht gewagt zu behaupten, daß in den Mails der Geschäftsleitung mehr oder zumindest genausoviele "Geheimnisse", also Dinge, von denen außer der GF niemand Kenntnis erlangen soll, enthalten sind wie in den Datenverzeichnissen auf dem Fileserver. Und diese Mails dann auch noch wirksam abzukoppeln, halte ich für fast unmöglich.

Wie andere hier schon geschrieben haben:

Kompletter Rechteentzug für den die Domänen-Admin(s) ist Blödsinn, ich würde das denen versuchen auszureden oder höchstens noch eine Protokollierung anbieten (es gibt wunderbare Syslog-Server mit einer hübschen und auch für die GF verständlichen GUI in einem Webinterface, mal als Beispiel).


Viele Grüße

von

departure69
Mitglied: emeriks
emeriks 21.09.2017 um 09:41:59 Uhr
Goto Top
Hi,
Es bestünde ja noch die Möglichkeit, einen dedizierten, nicht der Domain angehörigen Server zu erstellen, dort die Gruppenverzeichnisse der GF zu platzieren und nach dessen Inbetriebnahme der GL das Kennwort des Administrator auszuhändigen/ versiegelt in einem Safe aufzubewahren. Allerdings muss dann für jeden Benutzer ein Konto auf dem Server angelegt werden, welcher das identische Passwort zu dem Domänen-Account hat. Anschließend via LogIn-Script das Laufwerk mappen und gut.
Das kann man optimieren, indem man diesen Server zu einen DC eines neuen Forest macht. Die Forest dann miteinander vertrauen. Dann kann man den Konten der "normalen" Domäne direkt Zugriff auf den Daten der "GF"-Domäne erteilen. Allerdings muss auch diese Domäne dann von jemanden verwaltet werden, welcher a) nicht aus der eigenen IT kommt und b) sich minimal mit der Berechtigungsverwaltung auskennt. Hier würde dann wohl nur ein unabhängiger, externer Dienstleister wirklich Sinn machen.

E.
Mitglied: 117471
117471 21.09.2017 um 11:04:54 Uhr
Goto Top
Hallo,

alternativ kann er die Daten ja "in die Cloud" packen face-smile

Da ist alles sicher!^^

Gruß,
Jörg
Mitglied: departure69
departure69 21.09.2017 aktualisiert um 11:12:58 Uhr
Goto Top
Notfalls ein eigenes NAS, das der Herr GF allein administrieren muß, und auch die net-use-Befehle darf er selber eintippen, damit er Dir/Euch Admin(s) niemals das PWD verraten muß. Und natürlich noch 'ne USB-Backupplatte zusätzlich an das NAS, auch um das Backup muß sich die GL dann selber kümmern.

Und dann funktioniert etwas nicht, und sie kommen doch bei Euch angekrochen ...

Nochmal:

Das ist Irrsinn. Wenn man Euch hierbei nicht vertraut, wobei ebenfalls nicht? Gäbe mir zu denken. Weiß nicht, ob ich in so 'nem Laden als IT-Mann arbeiten wollte.


Viele Grüße

von

departure69