13
Serverseitig Ordner mit Passwort versehen
Guten Morgen Admins,
ich hätte mal eine Frage die sich aus folgendem Problem ergibt aber fangen wir erst mal mit den Infos an:
- der Server ist ein Server 2016 und die Clients Win7 und Win10
- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
- jeder der User kriegt einen eigenen Ordner auf dem Server
- jeder Ordner kriegt ein individuelles Passwort vom User
- der Admin braucht weiterhin Zugriff auf die Ordner ohne Passwort bzw mit einem Masterpasswort
Ich habe auf meiner Suche nach der Antwort "Folder Guard" gefunden. Es wäre sogar so ziemlich das was ich suche aaaaaaber da wäre der preisliche Teil. Pro 10 PCs im Netzwerk kostet der Spaß fast 200€. Wenn ich das hochrechne auf 50 Clients wird dem armen Kunden etwas bleich um die Nase.
Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Danke euch und Grüße
DBW
ich hätte mal eine Frage die sich aus folgendem Problem ergibt aber fangen wir erst mal mit den Infos an:
- der Server ist ein Server 2016 und die Clients Win7 und Win10
- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
- jeder der User kriegt einen eigenen Ordner auf dem Server
- jeder Ordner kriegt ein individuelles Passwort vom User
- der Admin braucht weiterhin Zugriff auf die Ordner ohne Passwort bzw mit einem Masterpasswort
Ich habe auf meiner Suche nach der Antwort "Folder Guard" gefunden. Es wäre sogar so ziemlich das was ich suche aaaaaaber da wäre der preisliche Teil. Pro 10 PCs im Netzwerk kostet der Spaß fast 200€. Wenn ich das hochrechne auf 50 Clients wird dem armen Kunden etwas bleich um die Nase.
Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Danke euch und Grüße
DBW
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352803
Url: https://administrator.de/contentid/352803
Printed on: April 18, 2024 at 23:04 o'clock
13 Comments
Latest comment
Moin.
Ordnerverschlüsselung ergibt nur in wenigen Anwendungsfällen einen Sinn - warum willst Du es überhaupt haben? Der Schutz über NTFS-Rechte reicht aus welchem Grunde nicht?
Die Ordnerverschlüsselung sollte nurverwendet werden, wenn
A keine physikalische Sicherheit des Server gewährleistet werden kann und
B Bitlocker und Co. nicht angewendet werden können
Sonst nicht.
Ordnerverschlüsselung ergibt nur in wenigen Anwendungsfällen einen Sinn - warum willst Du es überhaupt haben? Der Schutz über NTFS-Rechte reicht aus welchem Grunde nicht?
Die Ordnerverschlüsselung sollte nurverwendet werden, wenn
A keine physikalische Sicherheit des Server gewährleistet werden kann und
B Bitlocker und Co. nicht angewendet werden können
Sonst nicht.
Moin,
Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Ganz ehrlich? Wenn dein Kunde bei 1000 Euro blass wird, dann sag ihm wer Business haben will muss auch Business bezahlen. 1000 EURO müssen im 21. Jahrhundert bei einem Unternehmen dieser Größenordnung mal für IT drin sein. das sind nicht mal 15 Euro pro Nase. Wie viel kostet es den Chef wenn Daten weg sind, weil gelöscht oder in die falschen Hände geraten?
Wahrscheinlich keine Mehrfach Accounts wegen den Kosten für CALs? Das wäre nämlich die korrekte Lösung, die wird ja aber leider wieder von vorne herein ausgeschlossen.
Danke euch und Grüße
DBW
Gruß
PJM
Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Wahrscheinlich keine Mehrfach Accounts wegen den Kosten für CALs? Das wäre nämlich die korrekte Lösung, die wird ja aber leider wieder von vorne herein ausgeschlossen.
Danke euch und Grüße
DBW
Gruß
PJM
Hallo.
Genau das löst das Problem aus.
Warum gibt man nicht jedem der 70 einen eigenen Account? Dann wär's ganz einfach (NTFS-Rechte). Hat der Kunde Dir auch nur ein einziges logisches Argument für diesen Schwachsinn genannt?
Geht's dabei nur um die Anmeldung? Es sind also 70 Leute. Auch dann, wenn diese sich "nur wenige Domainlogins teilen", würde ich trotzdem jedem einen eigenen Account erstellen. Der Anmeldeblödsinn kann dann trotzdem so bleiben. Durch den dann vorhandenen Account pro Nase kannst Du trotzdem jedem seine Rechte auf seinen Ordner setzen.
Du mußt den Leuten nur beibringen, nach jedem (!) Login am Client, ein Net Use auf Ihr persönliches Verzeichnis durchzuführen, und dabei wird jedermanns eigenes Login/PWD abgefragt. Das anfängliche Login am Rechner ansich kann dann mit den wenigen Anmeldeaccounts so bleiben.
Viele Grüße
von
departure69
...(das ist nicht verhandelbar)...
Genau das löst das Problem aus.
Warum gibt man nicht jedem der 70 einen eigenen Account? Dann wär's ganz einfach (NTFS-Rechte). Hat der Kunde Dir auch nur ein einziges logisches Argument für diesen Schwachsinn genannt?
Geht's dabei nur um die Anmeldung? Es sind also 70 Leute. Auch dann, wenn diese sich "nur wenige Domainlogins teilen", würde ich trotzdem jedem einen eigenen Account erstellen. Der Anmeldeblödsinn kann dann trotzdem so bleiben. Durch den dann vorhandenen Account pro Nase kannst Du trotzdem jedem seine Rechte auf seinen Ordner setzen.
Du mußt den Leuten nur beibringen, nach jedem (!) Login am Client, ein Net Use auf Ihr persönliches Verzeichnis durchzuführen, und dabei wird jedermanns eigenes Login/PWD abgefragt. Das anfängliche Login am Rechner ansich kann dann mit den wenigen Anmeldeaccounts so bleiben.
Viele Grüße
von
departure69
Servus,
ja das wären die einfachsten und effektivsten Lösungen. Nur man möchte es so haben damit man sich "wenig Passwörter merken muss". Ja die Ironie der Aussage ist sehr fein.
Es geht im Endeffekt darum das UserA nur den mit seinem Passwort in den OrdnerA rein sehen kann. Während UserB zwar sieht das es einen OrdnerA gibt aber mit seinem Passwort nicht zugreifen kann sondern nur in seinen OrdnerB.
Grüße
DBW
ja das wären die einfachsten und effektivsten Lösungen. Nur man möchte es so haben damit man sich "wenig Passwörter merken muss". Ja die Ironie der Aussage ist sehr fein.
Es geht im Endeffekt darum das UserA nur den mit seinem Passwort in den OrdnerA rein sehen kann. Während UserB zwar sieht das es einen OrdnerA gibt aber mit seinem Passwort nicht zugreifen kann sondern nur in seinen OrdnerB.
Grüße
DBW
Die 70 User müssen sich also bspw. nur 3 Login-PWDs merken, aber danach soll trotzdem jeder User sich wieder sein eigenes (also dann doch 70 Stück in Summe insgesamt vorhanden) Ordner-PWD merken? Wo ist da die Erleichterung, ob ich mir nun mein Domänen-PWD merke oder mein Ordner-PWD?
Wie gesagt, großer Blödsinn, für den Du allerdings nichts kannst (Kundenwunsch eben).
Ich unterstelle trotzdem einem Firmeninhaber oder GF eine gewisse Intelligenz, sonst wäre er nicht zu dem Posten gekommen (obwohl, manchmal ...). Sprich mit dem Mann/der Frau, daß dadurch nichts einfacher/leichter ist und jedem Best-Practise in hohem Grade widerspricht.
Oder aber, wie auch Forumskollege @fisi-pjm richtig bemerkt, sag' denen, daß ihr Wunsch dann halt doch das kostet, was Du dazu schon recherchiert hast ("Folder Guard").
Aber es ist die ewig gleiche Leier, es soll alles genauso funktionieren, wie es sich irgendwelche Leute in absurdester Weise ausdenken, darf aber nicht viel kosten. Meine Güte (wie gesagt, Du kannst nichts dazu, aber: Sprich nochmal mit denen!).
Ansonsten wüßte ich keine Lösung, sorry.
Viele Grüße
von
departure69
Wie gesagt, großer Blödsinn, für den Du allerdings nichts kannst (Kundenwunsch eben).
Ich unterstelle trotzdem einem Firmeninhaber oder GF eine gewisse Intelligenz, sonst wäre er nicht zu dem Posten gekommen (obwohl, manchmal ...). Sprich mit dem Mann/der Frau, daß dadurch nichts einfacher/leichter ist und jedem Best-Practise in hohem Grade widerspricht.
Oder aber, wie auch Forumskollege @fisi-pjm richtig bemerkt, sag' denen, daß ihr Wunsch dann halt doch das kostet, was Du dazu schon recherchiert hast ("Folder Guard").
Aber es ist die ewig gleiche Leier, es soll alles genauso funktionieren, wie es sich irgendwelche Leute in absurdester Weise ausdenken, darf aber nicht viel kosten. Meine Güte (wie gesagt, Du kannst nichts dazu, aber: Sprich nochmal mit denen!).
Ansonsten wüßte ich keine Lösung, sorry.
Viele Grüße
von
departure69
1
Dann macht es doch nur noch mehr Sinn das die entsprechenden CALs gekauft werden und jeder User seinen eigenen Acc. bekommt.
NTFS Berechtigungen drauf und fertig.
Ist wahrscheinlich ein paar Euronen teurer als dieses "Folder Guard" aber definitiv die sichere Variante.
Grüße
Yai
NTFS Berechtigungen drauf und fertig.
Ist wahrscheinlich ein paar Euronen teurer als dieses "Folder Guard" aber definitiv die sichere Variante.
Grüße
Yai
Hallo,
Handelt es sich hier um sogenannte Gruppenkonten, welche von mehreren Benutzern zu unterschiedlichen Zeiten genutzt werden?
Und warum Verschlüsselung? Stattdessen lieber vernünftig lizenzieren.
1.000 bis 1.400 € Euro für Software ist zu teuer. Und dann will man gewissen Wert an Business Lösungen haben.
Gruss Penny
ich hätte mal eine Frage die sich aus folgendem Problem ergibt aber fangen wir erst mal mit den Infos an:
OK.- der Server ist ein Server 2016 und die Clients Win7 und Win10
OK.- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
Hm, ich weisen darauf hin, daß dies bzgl. Lizenzen und Datenschutz suboptimal gelöst ist.Handelt es sich hier um sogenannte Gruppenkonten, welche von mehreren Benutzern zu unterschiedlichen Zeiten genutzt werden?
- jeder der User kriegt einen eigenen Ordner auf dem Server
Hm, wie soll das gehen, wenn wenige Domain-Logins auf mehrere Benutzer verteilt sind?Und warum Verschlüsselung? Stattdessen lieber vernünftig lizenzieren.
- jeder Ordner kriegt ein individuelles Passwort vom User
So frei Bauch, das wird nichts. So jedenfalls nicht.- der Admin braucht weiterhin Zugriff auf die Ordner ohne Passwort bzw mit einem Masterpasswort
Das sollte kein Problem darstellen. Wenn für jeden Benutzer eine Lizenz und ein Benutzerkonto vorhanden ist, dann kann das mit Boardmitteln (NTFS-Berechtigungen) erledigt werden. Wurde bereits empfohlen.Ich habe auf meiner Suche nach der Antwort "Folder Guard" gefunden. Es wäre sogar so ziemlich das was ich suche aaaaaaber da wäre der preisliche Teil. Pro 10 PCs im Netzwerk kostet der Spaß fast 200€. Wenn ich das hochrechne auf 50 Clients wird dem armen Kunden etwas bleich um die Nase.
Naja, ca. 1.400 € sind zu teuer? Ich würde erstmal über die LizenzHabt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Das sind zuviele Widersprüche. Auf der einen Seite wenige Lizenzen (Domänenlogins) für 70 Anwender.1.000 bis 1.400 € Euro für Software ist zu teuer. Und dann will man gewissen Wert an Business Lösungen haben.
Danke euch und Grüße
DBW
DBW
Gruss Penny
2
Ich sehe gerade, dass ich etwas überlesen habe:
- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
also liegt die Krux in geteilten Useraccounts. Damit gebt Ihr leider jegliche Sicherheit auf und könnt sie auch nicht mit folderguard, EFS oder Konsorten wiederherstellen. Szenario: "Böser" Mitarbeiter legt einen Keylogger an in seinem eigenen Account - "guter" MA meldet sich mit eben diesem Account an, gibt sein Folderguard-Kennwort ein - es wird leider mitgeloggt und der "Böse" hat es nun. Nimm das bitte ernst.2
Servus,
danke für eure Kritik und ich ja da habt ihr so ziemlich alle in allen Punkten Recht (sovielen Leuten auf einmal Recht geben ohne Widerspruch lässt einen irgendwie schmutzig fühlen).
Trotzdem nenn ich das jetzt einfach mal "Leben in der Lage" und dafür eine möglichst optimale Lösung finden. Würde ich das nicht wollen wäre ich nicht hier und würde mich sofort mit "FolderGuard" abgeben.
danke für eure Kritik und ich ja da habt ihr so ziemlich alle in allen Punkten Recht (sovielen Leuten auf einmal Recht geben ohne Widerspruch lässt einen irgendwie schmutzig fühlen).
Trotzdem nenn ich das jetzt einfach mal "Leben in der Lage" und dafür eine möglichst optimale Lösung finden. Würde ich das nicht wollen wäre ich nicht hier und würde mich sofort mit "FolderGuard" abgeben.
Der einzige Ansatz der mir einfällt aber sicher mit Datenverlust einhergeht ist verschlüsselte Archive anzulegen.
Problem ist wenn ein MA das Passwort verlegt ist alles futsch.
ggfs. mal die beiden folgen Produkte anschauen:
HiCrypt
Boxcryptor
Sollte beides mit Netzlaufwerken Funktionieren.
Die dürften aber noch teurer sein als Folder Guard
Problem ist wenn ein MA das Passwort verlegt ist alles futsch.
ggfs. mal die beiden folgen Produkte anschauen:
HiCrypt
Boxcryptor
Sollte beides mit Netzlaufwerken Funktionieren.
Die dürften aber noch teurer sein als Folder Guard
Hallo,
Deine Entschuldigung und Dein Pragmatismus in Ehren. Leider hast Du eine missliche Lage, wofür Du vielleicht sogar noch nicht mal etwas düfr kannst (geerbte / übernommene Umgebung).
Wie wäre es, wenn Du auf diese Missstände hinweist und auch die eventuellen Konsequenzen.
Sprich, aufgrund fehlender Lizenzen kann / wird es bei einem Audit zu Konsequenzen kommen.
Für auf, was man ändern sollte, um auf einen korrekten und auch lizenzierten Stand zu kommen.
Welche Vorteile (Datenschutz, Strikte Trennung jedes Benutzerkontos und seiner Daten, usw.) sich daraus ergeben.
Wie @DerWoWusste wird auch FolderGuard hier nicht helfen, da es auf Benutzerkontenebene greift.
Mit GpgEx (Einem Teil von GPG4WIN) könnte man möglicherweise Deine Konstellation abbilden.
Link zur Homepage
Damit kann ich Ordner verschlüsseln / entschlüsseln / signieren.
Allerdings halte ich Euer Konstrukt für fragwürdig.
Gruss Penny
Deine Entschuldigung und Dein Pragmatismus in Ehren. Leider hast Du eine missliche Lage, wofür Du vielleicht sogar noch nicht mal etwas düfr kannst (geerbte / übernommene Umgebung).
Wie wäre es, wenn Du auf diese Missstände hinweist und auch die eventuellen Konsequenzen.
Sprich, aufgrund fehlender Lizenzen kann / wird es bei einem Audit zu Konsequenzen kommen.
Für auf, was man ändern sollte, um auf einen korrekten und auch lizenzierten Stand zu kommen.
Welche Vorteile (Datenschutz, Strikte Trennung jedes Benutzerkontos und seiner Daten, usw.) sich daraus ergeben.
Wie @DerWoWusste wird auch FolderGuard hier nicht helfen, da es auf Benutzerkontenebene greift.
Mit GpgEx (Einem Teil von GPG4WIN) könnte man möglicherweise Deine Konstellation abbilden.
Link zur Homepage
Damit kann ich Ordner verschlüsseln / entschlüsseln / signieren.
Allerdings halte ich Euer Konstrukt für fragwürdig.
Gruss Penny
Servus,
Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)
Grüße
DBW
Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)
Grüße
DBW
Zitat von @Der.Boese.Wolf:
Servus,
Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)
Einen Versuch ist es wert. Vielleicht erfährst Du auch den Hintergrund, warum man so gehandelt hat.Servus,
Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)
Grüße
DBW
Gruss Penny
