Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Admin Berechtigungen entziehen

Mitglied: ingi70
Hallo,

im Rahmen der BSI Zertifizierung wird ein File Intigritäts Check gefordert, d.h, ein Programm checkt gegen eine vorhandene XML Datei.

Diese XML Datei darf NUR von einem Auditor Account verändert werden.

So, hier also die Frage:

Wie kann ich verhindern, das ein Administrator Account Schreibrecht auf ein Verzeichnis hat ?
Natürlich kann ich die Dateirechte für die Administratoren entziehen. Leider kann ich aber jederzeit als Admin die Berechtigungen wieder neu setzen.... ?

Idealerweise wäre eine kleine Anleitung, wie hier das "Doing" ausschaut.

Also so z.B:

vererbte Rechte blocken, Admin Account löschen uw.

Vielen Dank für Ideen und Lösungvorschläge

Gruß Ingo

Ingo v. Itter
Ratingen/Germany

Content-Key: 32767

Url: https://administrator.de/contentid/32767

Ausgedruckt am: 04.12.2021 um 09:12 Uhr

Mitglied: ratzla
ratzla 18.05.2006 um 12:17:00 Uhr
Goto Top
Das ist in allen Betriebssystem ziemlich schlecht gelöst (Auch Linux ist da nicht viel besser).

Ich würde in diesem Fall eine Verschlüsselung der Datei (ggf. mit einem Externen Tool) in Betracht ziehen. Du solltest außerdem klären ob das System Zugriff auf die Datei benötigt (z.B. für Backup)!

Ansonsten kannst Du es wie folgt machen (aber eben nicht ganz sauber):
1. Überwachungsrichtlinien für den Ordner hinterlegen (Damit werden Berechtigungsänderungen im Sicherheitslog protokolliert)
2. Auditor Besitz und volle Berechtigung erteilen
3. Dem Administrator zunächst den Besitz, anschließend die restlichen Zugriffrechte entziehen.

Du kannst Dir zwar die Berechtigungen wieder zurückholen, dieses würde aber im Sicherheitsprotokoll vermerkt werden.
Wie gesagt, die bessere Methode ist die Verschlüsselung mit eine passwort das der Admin nicht hat.
Mitglied: superboh
superboh 18.05.2006 um 13:35:01 Uhr
Goto Top
Hi,

dem Administrator irgendwo die Berechtigungen zu verweigern halte ich für ein sehr heisses Eisen.
Ein Admin hat ja theoretisch auch Zugriff auf die geheimen Daten der Geschäftsleitung und er wird diese trotzdem nicht anfassen.

Verschlüsselung von Daten ist in so einem Falle die einzig praktikable Lösung. Denn auch ein Logfile lässt sich manipulieren. Und wenn ein Admin sich nicht an Regeln hält und "schnüffelt", dann wird ihn auch ein Logfile nicht abhalten.

Irgend ein Admin muss alle Rechte haben, denn wer soll sonst in den Bereichen die Möglichkeit haben, etwas zu richten, in denen kein Admin Rechte hat?

Gruß,
Thomas
Heiß diskutierte Beiträge
imho
Wir müssen über Corona und das Impfen redenFrankVor 1 TagIMHOOff Topic59 Kommentare

Ich denke, dass geht uns alle an und daher will ich meinen Beitrag dazu leisten, um über Corona und das Impfen aufzuklären. Ich habe bereits ...

general
Echt jetzt? Es werden kommentarfrei Beiträge gelöscht?VisuciusVor 1 TagAllgemeinOff Topic16 Kommentare

Frank: Das hätte ich so nicht erwartet! Erst eine politische Diskussion vom Zaun brechen und dann mit den Antworten überfordert sein?! Ich hatte lediglich darauf ...

question
Browser Zertifikatswarnung lösen?IT-heilt-NIEVor 1 TagFrageVerschlüsselung & Zertifikate13 Kommentare

Hallo an alle, ich benötige mal eure Hilfe, da ich mich mit dem Thema Zertifikate noch nicht gut auskenne. Ich komme gleich mal zum Punkt. ...

question
Ursache für Auslösung Storm-Control Cisco SG350Xlcer00Vor 1 TagFrageNetzwerke17 Kommentare

Hallo zusammen, heute morgen gab es bei uns einen unplanmäßigen Stomausfall, der zum ungraceful-Shutdown der Server sowie der Switche (2 gestackte SG350) führte. Nach Wiederhochfahren ...

tip
Download AdventskalenderMrCountVor 1 TagTippUtilities2 Kommentare

Servus zusammen, auch dieses Jahr bieten wieder einige Webseiten einen Adventskalender mit kostenloser Software an. Hier eine kleine Liste: Vielleicht ist ja für den ein ...

question
Windows 2016 Laufwerk C erweitern D verkleinernr2d2r3poVor 1 TagFrageWindows Server17 Kommentare

Hallo, wir haben hier einen Windows 2016 Server bei den die C-Platte langsam voll wird, aber die D-Platte fast leer ist. Wir kann ich ohne ...

question
"Treesize" für Ordner in einem Outlook-Postfach gelöst StefanKittelVor 1 TagFrageOutlook & Mail2 Kommentare

Hallo, ich habe hier ein Hosted-Exchange-2016-Postfach welches in einem Outlook 2016 eingebunden ist. Dies enthält ca. 500 Ordner und ist fast 100 GB groß. Kennt ...

question
Hausüberwachung Kameraingo1988Vor 20 StundenFragePeripheriegeräte8 Kommentare

Hallo an alle, ich möchte ab sofort mein Haus mit Kameras überwachen lassen. Es sollen 4 Kameras außen am Haus angebracht werden. Ich möchte die ...