Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Adminrechte für Ordner (sicher!) entziehen unter Server 2008

Mitglied: 71988
Hallo,
folgendes Problem, auf dem Server gibt es Ordner für Geschäftsinhalte und diese sollen nur von einem Benutzer lesbar sein, selbst wenn man unter Server2008 den Admin für den Ordner heraus wirft, hat er die Möglichkeit beim Versuch des öffnens zu sagen "ich will aber trotzdem in den Ordner gucken", gibt es keine Möglichkeit dies zu verhindern über die Richtlinien oder ähnliches? Das der Admin selber sich der Gruppe des ORdners hinzufügen kann, ist vermutlich nicht möglich zu unterbinden, aber dennoch wäre es gut wenn er es nicht einfach mit einem Klick überspringen könnte.

Danke für die Hilfe

Content-Key: 101997

Url: https://administrator.de/contentid/101997

Ausgedruckt am: 30.07.2021 um 21:07 Uhr

Mitglied: xm-bit
xm-bit 17.11.2008 um 14:30:30 Uhr
Goto Top
Hi,

dann lass doch nur den einen Zugriff für einen bestimmten User zu, und lösch alle anderen Einträge...

Den Zugriff für den Admin würde ich notfalls immer lassen, falls doch einmal etwas mit dem Ordner sein sollte, ist der Admin der letzte der dann den Besitz des Ordners übernehmen kann, und diesen für die User wieder freigibt.

Warum soll der Admin den Ordner denn nicht sehen können???

mfg
SasH
Mitglied: 71988
71988 17.11.2008 um 14:39:21 Uhr
Goto Top
es liegt nicht in meiner Entscheidung wieso es so sein soll, den Admin kann ich aus den Ordnerrechten heraus werfen ja, dennoch bekommt der Admin sofort Zugriff wenn er den Ordner öffnen will mit blos eben einer kurzen Warnabfrage, dieses "feature" gibts auch erst seit 2008.
Mitglied: Pandora
Pandora 17.11.2008 um 14:42:22 Uhr
Goto Top
Hallo Hector,

den Admin aus der Berechtigungsstruktur zu werfen ist nicht sinnvoll, diese Berechtigungen werden ja z.B. für Sicherungen oder zum Anpassen der Berechtigungsstruktur benötigt.
Du kannst auch nicht verhindern, dass sich ein Administrator Zugang zu den Daten verschafft. Sinnvoller wäre es hier bei sensiblen Daten alle Benutzer (nicht nur den Admin) eine Datenschutzerklärung unterschreiben zu lassen und dann die Dateiüberwachung für die sensiblen Daten zu aktivieren. Dann kannst du anhand der Protokolle sehen, ob sich wirklich jemand unbefugt an den Daten vergriffen hat.

Gruß, Pandora
Mitglied: 71988
71988 17.11.2008 um 14:49:12 Uhr
Goto Top
irgendwie werd ich hier glaub ich missverstanden. Es geht nicht darum den Admin irgendwelche Rechte aus dem System zu nehmen oder dem Admin die einsicht vollständig zu verbieten in dem Ordner, sondern darum das man nicht einfach mit einem Klick in die Ordner schauen kann sondern der Admin wenigstens in die Rechteliste jenes Ordners hinzugefügt werden muss...
Mitglied: Pandora
Pandora 17.11.2008 um 14:53:08 Uhr
Goto Top
Aber die Administratoren sind doch Standardmäßig in der Rechteliste eingetragen, um ihnen also explizit Rechte zu vergeben müssen sie also zunächst mal rausgenommen werden...
Mitglied: 71988
71988 17.11.2008 um 15:06:01 Uhr
Goto Top
ja ok, glaub war mein Fehler eben ;) dacht wär gemeint aus dem Serversystem zu entfernen.
Aber gibt es denn diese Möglichkeit nun? Ob es gut oder schlecht ist, sei da hingestellt.
Mitglied: Pandora
Pandora 17.11.2008 um 15:08:47 Uhr
Goto Top
Ja, du kannst natürlich die Gruppe der Administratoren aus den Sicherheitseinstellungen löschen.
Mitglied: 71988
71988 17.11.2008 um 15:18:38 Uhr
Goto Top
ich will ja nur das diese Abfrage nicht mehr kommt damit man nicht einfach doch als Admin reinkann ohne das man der Gruppe für den Ordner hinzugefügt ist
Mitglied: dog
dog 17.11.2008 um 15:54:48 Uhr
Goto Top
Es gibt keine sichere Möglichkeit den Administratoren den Zugriff auf einen Ordner zu verbieten.
Das ist ein Sicherheitsfeature von Windows, damit nicht anarchieartige Zonen entstehen können.
Ein Benutzer der Administratoren-Gruppe kann immer den Besitz eines Ordners übernehmen und sich dann in die Zugriffsliste eintragen.

Vielleicht solltest du mal darüber nachdenken, den Windows-Begriff "Administrator" und den Jobbegriff "Administrator" zu trennen und mit delegierten Konten zu arbeiten.

Grüße

Max
Mitglied: 71988
71988 17.11.2008 um 16:36:37 Uhr
Goto Top
Die Rolle des Admins kann ja ruhig den Ordner übernehmen, damit wäre ja erstmal nachgewiesen das der Admin darauf zugegriffen hat, es soll so sein das der Admin aber dann automatisch der Besitzer dieses Ordner wird, für den beweis eben das er drann war.

Das ist leider das Problem Max, die Benutzer sollen einerseits Adminrechte haben und dennoch nicht alles dürfen, darüber zu Diskutieren ist auch nicht mein Wille, sondern eine Lösung zu finden wie es geht.

Hector
Mitglied: Pandora
Pandora 17.11.2008 um 18:03:19 Uhr
Goto Top
Wie schon gesagt, dann nimm die Rolle der Admins aus den Sicherheitseinstellungen raus. Sauber würde es aber gehen, wenn du auf die kritischen Dateien die Zugriffsüberwachung anwendest.

Außerdem musst du dann natürlich noch sicherstellen, dass keiner das lokale Admin-Kennwort kennt, du musst ja schließlich zuordnen können, wer welchen Admin-Account benutzt, sonst ist die ganze Überwachung für die Katz.
Mitglied: 71988
71988 17.11.2008 um 21:43:15 Uhr
Goto Top
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass kennen...was meinst du mit Zugriffsüberwachung? is das was neues unter 2008?
Mitglied: Pandora
Pandora 18.11.2008 um 07:40:07 Uhr
Goto Top
Nein, das ist nicht neu. Im Groben funktioniert es wie folgt (ich hab hier nur W2K3, aber ich denke, dass es noch halbwegs identisch sein sollte, sonst schau mal in dein Handbuch):

du musst zunächst in den Gruppenrichtlinien unter
"Windows-Einstellungen --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien" den Punkt
"Objektzugriffsversuche überwachen" aktivieren.

Anschließen kannst du für den entsprechenden Ordner unter "Eigenschaften --> Sicherheit --> Erweitert --> Überwachung" die Überwachungsrichtlinien einstellen.

Die Ergebnisse findest du anschließend im Ereignisprotokoll.

Aber pass auf, dass du wirklich nur die notwendigen Dateien und Ordner überwachst, sonst läuft dein Ereignisprotokoll schnell voll.
Mitglied: Logan000
Logan000 18.11.2008 um 08:33:09 Uhr
Goto Top
Moin Moin

Zitat von @71988:
Das is ja leider das Problem, die Mitarbeiter sollen das Adminpass
kennen...
Das ist in der Tat ein Problem.
Scheinbar auch noch das Domänen-Admin Passwort.
Das soltest du Dir nochmal wirklich überlegen.

Gruß L.
Mitglied: 71988
71988 18.11.2008 um 08:59:26 Uhr
Goto Top
Pandora, danke werds mir mal anschauen.

Logan: wie bereits gesagt das liegt nicht in meiner Entscheidung, ich Recherchiere nur :) face-smile
Heiß diskutierte Beiträge
general
Telekom hat größere Störung gelöst anteNopeVor 1 TagAllgemeinInformationsdienste30 Kommentare

Moin, es scheint als hätte die Telekom gerade eine größere Störung. Bei vielen Kunden mit Telekom-Internetanschluss funktionieren Office 365 und auch IMAP-Mails nicht. Wartezeit in ...

question
Windows 365SarekHLVor 1 TagFrageWindows 1113 Kommentare

Hallo zusammen, nun ist es also soweit - Microsoft stellt mit "Windows 365" die Weichen in Richtung Windows as a Service: Wenn Microsoft da schreibt ...

question
Massive Probleme mit Windows Suche, Taskbar, Windows Standard Apps auf jedem Windows 10-PC im Firmennetzwerkrznr666Vor 1 TagFrageWindows 1027 Kommentare

Hallo liebe Community, die PCs in unserem Unternehmen weisen folgende Probleme auf. Die Fehler treten nach einiger Zeit auf JEDEM Windows 10-PC auf, der genaue ...

question
Absicherung Exchange ServerLKleemannVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen, wir sind bei uns in der Firma nun endlich vom Exchange POP3 Connector weggekommen und empfangen nun unsere E-Mail direkt über MX-Einträge. Nun ...

question
Anmeldeprobleme w10 auf server2012fisch56Vor 1 TagFrageWindows Server16 Kommentare

Hallo allerseits, mich bringt es fast um. Server 2012R, 7 Arbeitsstationen, alle haben einen Zugriff auf den Server, dort sind 2 Programme, alles läuft easy. ...

report
Erfahrungsbericht Vodafone - All your Verträge belong to us!anteNopeVor 1 TagErfahrungsberichtFlatrates12 Kommentare

Hallo zusammen, da the-buccaneer so nett gebeten hat, hier eine weitere Erfahrung mit und von Voodoofone. Es begab sich zur Zeit zu Weihnachten vor 3 ...

info
Happy System Administrator Appreciation Day0xFFFFVor 15 StundenInformationHumor (lol)7 Kommentare

Guten Morgen Byteschubser, ihr seid die superhelden der Wirtschaft! _Danke dass es euch (uns #eigenlob) gibt. Mögen Eure Systeme stets Viren- und Hackerfrei bleiben, eure ...

question
Robocopy - FEHLER 0 (0x00000000)emeriksVor 1 TagFrageBatch & Shell10 Kommentare

Hi, habe ich hier einen täglichen Copy Job, wo Robocopy plötzlich "Fehler 0" meldet, dass es erfolgreich sei, aber nichts kopiert. Festplatte des NAS ist ...