71988
Nov 17, 2008, updated at Nov 18, 2008 (UTC)
6050
15
0
Adminrechte für Ordner (sicher) entziehen unter Server 2008
Hallo,
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.
Danke für die Hilfe
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.
Danke für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101997
Url: https://administrator.de/contentid/101997
Printed on: April 25, 2024 at 10:04 o'clock
15 Comments
Latest comment
Hi,
dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...
Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.
Warum soll der Admin den Ordner denn nicht sehen können???
mfg
SasH
dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...
Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.
Warum soll der Admin den Ordner denn nicht sehen können???
mfg
SasH
es liegt nicht in meiner Entscheidung wieso es so sein soll, den Admin kann ich aus den Ordnerrechten heraus werfen ja, dennoch bekommt der Admin sofort Zugriff wenn er den Ordner öffnen will mit blos eben einer kurzen Warnabfrage, dieses "feature" gibts auch erst seit 2008.
Hallo Hector,
den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.
Gruß, Pandora
den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.
Gruß, Pandora
irgendwie werd ich hier glaub ich missverstanden. Es geht nicht darum den Admin irgendwelche Rechte aus dem System zu nehmen oder dem Admin die einsicht vollständig zu verbieten in dem Ordner, sondern darum das man nicht einfach mit einem Klick in die Ordner schauen kann sondern der Admin wenigstens in die Rechteliste jenes Ordners hinzugefügt werden muss...
Aber die Administratoren sind doch Standardmäßig in der Rechteliste eingetragen, um ihnen also explizit Rechte zu vergeben müssen sie also zunächst mal rausgenommen werden...
ja ok, glaub war mein Fehler eben ;) dacht wär gemeint aus dem Serversystem zu entfernen.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Ja, du kannst natürlich die Gruppe der Administratoren aus den Sicherheitseinstellungen löschen.
ich will ja nur das diese Abfrage nicht mehr kommt damit man nicht einfach doch als Admin reinkann ohne das man der Gruppe für den Ordner hinzugefügt ist
Es gibt keine sichere Möglichkeit den Administratoren den Zugriff auf einen Ordner zu verbieten.
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.
Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.
Grüße
Max
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.
Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.
Grüße
Max
Die Rolle des Admins kann ja ruhig den Ordner übernehmen, damit wäre ja erstmal nachgewiesen das der Admin darauf zugegriffen hat, es soll so sein das der Admin aber dann automatisch der Besitzer dieses Ordner wird, für den beweis eben das er drann war.
Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.
Hector
Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.
Hector
Wie schon gesagt, dann nimm die Rolle der Admins aus den Sicherheitseinstellungen raus. Sauber würde es aber gehen, wenn du auf die kritischen Dateien die Zugriffsüberwachung anwendest.
Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass kennen...was meinst du mit Zugriffsüberwachung? is das was neues unter 2008?
Nein, das ist nicht neu. Im Groben funktioniert es wie folgt (ich hab hier nur W2K3, aber ich denke, dass es noch halbwegs identisch sein sollte, sonst schau mal in dein Handbuch):
du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.
Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.
Die Ergebnisse findest du anschließend im Ereignisprotokoll.
Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.
Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.
Die Ergebnisse findest du anschließend im Ereignisprotokoll.
Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
Moin Moin
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.
Gruß L.
Zitat von @71988:
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Das ist in der Tat ein Problem.Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.
Gruß L.
Pandora, danke werds mir mal anschauen.
Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur
Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur
