4
Adminzugriff einzelner Ordner ausschließen und oder protokollieren
Hallo,
ich habe die Anfrage bekommen ob es möglich ist dem Admin den Zugriff auf einzelne Ordner (Geschäftsführung) zu verbieten bzw. den Zugriffsversuch zu protokollieren... nur die GF soll dort hineingucken können...
Knackpunkt wäre das offizielle Backup da man ja damit zwangsläufig wieder an die Daten rankommt.
da wäre meine Empfehlung evtl ein kleines seperates Backup direkt im Büro der GF ?!
was denkt ihr... hattet ihr die Problematik schonmal?
Gruß & danke für input
ich habe die Anfrage bekommen ob es möglich ist dem Admin den Zugriff auf einzelne Ordner (Geschäftsführung) zu verbieten bzw. den Zugriffsversuch zu protokollieren... nur die GF soll dort hineingucken können...
Knackpunkt wäre das offizielle Backup da man ja damit zwangsläufig wieder an die Daten rankommt.
da wäre meine Empfehlung evtl ein kleines seperates Backup direkt im Büro der GF ?!
was denkt ihr... hattet ihr die Problematik schonmal?
Gruß & danke für input
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228184
Url: https://administrator.de/forum/adminzugriff-einzelner-ordner-ausschliessen-und-oder-protokollieren-228184.html
Ausgedruckt am: 09.04.2025 um 17:04 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Den Administrator komplett aussschliessen ist nicht möglich. Man kann zwar dem Admin die Rechte auf den Ordner nehmen, aber er kann sich jederzeit die Ownership des Ordners übernehmen - das wäre dann allerdings in den Eigenschaften des Ordners sichtbar. Zugriffsüberwachung wäre mit Windows Bordmitteln auch möglich. Denkbar wäre auch eine separate Domäne für die GF, wo der normale Admin kein Admin ist - die Verwaltung müsste dann hier nach dem 4 Augen Prinzip geschehen
Separates Backup im GF Büro ist möglich, erfordert aber das sich die GF entsprechend darum kümmert (Bänder wechseln, Jobs kontrollieren, Bänder ins Schliessfach bringen.etc) und sich uU "hässliche" Hardware auf/unter den Tisch stellen muss.
lg,
Slainte
Den Administrator komplett aussschliessen ist nicht möglich. Man kann zwar dem Admin die Rechte auf den Ordner nehmen, aber er kann sich jederzeit die Ownership des Ordners übernehmen - das wäre dann allerdings in den Eigenschaften des Ordners sichtbar. Zugriffsüberwachung wäre mit Windows Bordmitteln auch möglich. Denkbar wäre auch eine separate Domäne für die GF, wo der normale Admin kein Admin ist - die Verwaltung müsste dann hier nach dem 4 Augen Prinzip geschehen
Separates Backup im GF Büro ist möglich, erfordert aber das sich die GF entsprechend darum kümmert (Bänder wechseln, Jobs kontrollieren, Bänder ins Schliessfach bringen.etc) und sich uU "hässliche" Hardware auf/unter den Tisch stellen muss.
lg,
Slainte
ich denke das 4 augen Prinzip wäre fürs erste schon praktikabel und später ausbaubar...
an welche Windows boardmittel denkst du? kam noch nie in diese Problematik...
wie wäre es z.b. mit einem lumpigen Acronis mit nas und passwortschutz im nas wie auch im Dasi-file was nur der gf hat
die kontrolle müßte er allein machen (mounten) oder halt mit dem admin zusammen der das technische ok gibt nachdem der gf sein Passwort eingetackert hat...
die ordner auf dem Server hätten dann kein Berechtigung für den admin... (die er sich aber nach wie vor geben könnte - doof)
oder alternativ... die gf Daten liegen auf einem eigenständigen nas außerhalb des Servers... mit eigener user Verwaltung und das Passwort hat der gf...
da wüßte ich adhoc nicht wie man da was übernehmen soll...
an welche Windows boardmittel denkst du? kam noch nie in diese Problematik...
wie wäre es z.b. mit einem lumpigen Acronis mit nas und passwortschutz im nas wie auch im Dasi-file was nur der gf hat
die kontrolle müßte er allein machen (mounten) oder halt mit dem admin zusammen der das technische ok gibt nachdem der gf sein Passwort eingetackert hat...
die ordner auf dem Server hätten dann kein Berechtigung für den admin... (die er sich aber nach wie vor geben könnte - doof)
oder alternativ... die gf Daten liegen auf einem eigenständigen nas außerhalb des Servers... mit eigener user Verwaltung und das Passwort hat der gf...
da wüßte ich adhoc nicht wie man da was übernehmen soll...
ich denke das 4 augen Prinzip wäre fürs erste schon praktikabel und später ausbaubar...
Eine separate Domäne bedeutet aber 2 zusätzliche Server + Lizenz und separates Backup (siehe oben).an welche Windows boardmittel denkst du? kam noch nie in diese Problematik...
Die in Windows eingebauten Funktionen zur Dateisystemüberwachung. Sprich: Öffnen, erstellen, löschen von Dateien und Ordnern.
Du sagst nicht welche Sicherungssoftware ihr einsetzt.
Es wäre eventuell auch möglich einen eigenen Job für diese Datensicherung aufzusetzen und die Sicherungsdaten verschlüsselt und mit Kennwort gesichert
abzulegen. Damit wird zur Rücksicherung das Passwort benötigt.
Kommt aber auf die Sicherungssoftware an, ob sie das beherrscht.
So wie SlainteMath vorgeschlagen die Dateiüberwachung einsetzen.
Da es geloggt wird ist ja eine Kontrolle da. Jede Änderung wird dort ja festgehalten.
Denke der Admin sollte wissen was es für Konsequenzen es nach sich zieht, wenn er diese Rechte verändert.
Gruß
Es wäre eventuell auch möglich einen eigenen Job für diese Datensicherung aufzusetzen und die Sicherungsdaten verschlüsselt und mit Kennwort gesichert
abzulegen. Damit wird zur Rücksicherung das Passwort benötigt.
Kommt aber auf die Sicherungssoftware an, ob sie das beherrscht.
So wie SlainteMath vorgeschlagen die Dateiüberwachung einsetzen.
Da es geloggt wird ist ja eine Kontrolle da. Jede Änderung wird dort ja festgehalten.
Denke der Admin sollte wissen was es für Konsequenzen es nach sich zieht, wenn er diese Rechte verändert.
Gruß
