xsnoopy
Goto Top

Berechtigungen für Administrator in einem Verzeichnis

Ich möchte ein Verzeichnis auf meiner Festplatte vor den Augen der Administratoren schützen.

Kann mir jemand sagen, wie ich die Berechtigungen für dieses Verzeichnis setzen muß.
Was passiert, wenn ich den Administrator aus den Berechtigungen lösche?


Ich habe nur die Möglichkeiten eines normalen Users.

Vielen Dank für die Hilfe

Content-ID: 48896

Url: https://administrator.de/contentid/48896

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

Kosh
Kosh 16.01.2007 um 08:31:05 Uhr
Goto Top
also wenn du "nur" die möglichkeiten eines normalen user hast, dann hast du im normalfall nicht die rechte um ordnerrechte zu verändern. (hängt natürlich auch vom ordner ab)

versuch mal: rechte maustaste auf den ordner-> eigenschaften-> sicherheit

vergewissere dich dort dass dein benutzer drinsteht mit vollzugriff, (ansonsten füge ihn mit hinzufügen ein).

sollte alles ausgegraut sein, klicke auf "erweitert" und entferne den haken von "Vererbbare Berechtigungen des Übergeordneten..... blah".
im anschliessenden dialog klicke auf: "Kopieren"

dann einmal mit "OK" zurück zum fenster "Eigenschaften von Ordner" und dort alles ausser deinem benutzer und system (wenn vorhanden) entfernen.

das wars.

eine warnung aber noch vorweg: wenn du hier irgendwas falsch machst, hast du dich schnell aus dem ordner ausgesperrt. dann kann dir nur mehr dein admin weiterhelfen. und was der davon hält kann ich dir nicht sagen ; )

Grüsse

Kosh
MagicM
MagicM 16.01.2007 um 08:35:00 Uhr
Goto Top
Moin,

um es kurz zu machen: Das wird dir nicht gelingen.

Ein Administrator hat das Recht, den Besitz eines Ordners wieder zu übernehmen und somit sämtliche Sicherheitseinstellungen zu überschreiben.

Mal abgesehen davon, wenn es ein Firmenrechner ist und ich dein Admin wäre, könntest Du dich dann warm anziehen...

PS: Weitere Angaben wären übrigends nicht schlecht: Windows 98? Windows XP? Mit/Ohne Domäne?
Metzger-MCP
Metzger-MCP 16.01.2007 um 09:20:40 Uhr
Goto Top
Schliessle mich da MagicM an.

Ein Admin der fähig ist ( gehe davon aus ), macht mit deinem System was er will und innerhalb einer Domain macht er es sogar aus der Ferne. Es ist bei MS nicht möglich dem Admin den Zugriff für immer zu entziehen, und als normaler User machst du das ohne sonder Rechte schon mal garnicht. Admins brauchen nur eine Etage höher in der Berechtigungsherachie zu gehen und vererbt sich nach unten weiter und schon war es das mit dem Aussperren gewesen.

Es gibt dabei natürlich ein Punkt, der nicht zu unterschätzen ist, " Was man nicht weis, macht mich auch nicht heis " Wenn der Admin kein Verdacht hat, sucht er auch nicht, und wenn er nicht aktive sucht, dann kann es sein das es Ihm verborgen bleibt. Aber das war es auch schon.

Aber was mich nun mal Interresieren würde, was zum Geier würdest du denn vor Ihm verstecken wollen...

MFG Metzger
xsnoopy
xsnoopy 16.01.2007 um 09:21:50 Uhr
Goto Top
Danke für die Antwort,

aber wie übernimmt der Admin den Besitz des Ordners?
Kann er denn den Ordner überhaupt sehen?
Was kann ich dagegen tun?


Danke
Diskilla
Diskilla 16.01.2007 um 09:28:47 Uhr
Goto Top
Du kannst gar nichts dagegen tun wenn du im legalen raum der möglichkeiten bleibst. Ehrlich gesagt würde ich dir auch davon abraten aus dem legalen Raum der Möglichkeiten heraus zu treten. Der Admin hat überall vollzugriff und ihn daran zu hindern ist nicht machbar. Da der Admin das gesamte System ständig überwachen muss, wird er sich bei einem Ordner auf den er keinen Zugriff hat einfach den Zugriff selbst erlauben. Wie Metzger-MCP schon sagte macht der Admin in deinem System was er will und was er nicht weiß, macht ihn nicht heiß.
Kein Admin wird einfach so in irgend einen ordner auf deinem System gehen, nur um zu gucken was in dem Ordner drinnen ist. Besteht ein massivers Netzwerk oder Computerproblem, dann kann ich allerdings für nichts garantieren.
ketchup
ketchup 16.01.2007 um 09:31:10 Uhr
Goto Top
Hi!

der administrator unter windows bzw. der root unter linux können immer zugriff auf files und directories erlangen ... alles andere wäre ja wenig zielführend.

klar sieht der admin die directories (auch wenns versteckt ist).


warum willst denn das directory vor ihm verstecken? hast du etwas zu verbergen?

wenn er gewisse dateien nicht lesen sollen darf, dann kannst sie verschlüsseln.
aber die datei selbst sieht er trotzdem.

jürgen
Kosh
Kosh 16.01.2007 um 09:35:52 Uhr
Goto Top
ich muss allen zumindest teilweise zustimmen.

ein admin kann (und soll ja auch können) grundlegen machen was er will.
darum isser auch admin. wenn er keine berechtigungen hat wer dann.

allerdings muss ich sagen dass wir (mal als beispiel) allen 120 usern je einen ordner mit grössenbeschränkung auf einem netzwerkshare zur verfügung stellen auf dem AUSSCHLIESSLICH der user zugriff hat.

weiters haben wir auch noch ordnerumleitung im einsatz, und da hat man per default als admin auch keinen zugriff.
um ehrlich zu sein: ich will auch keinen zugriff drauf.
es geht mich als admin nix an was der user da drin speichert.
und wenns die bilder vom letzten urlaub sind solls mir auch recht sein.
er muss mit dem platz der im zur verfügung steht eh auskommen....

natürlich gibts immer wieder ausnahmen und schwarze schafe die versuchen einen fileserver als ihre persönliche mp3-bibliothek zu missbrauchen, aber sowas fliegt mit quota-manegement eh schnell auf ; )

Grüsse

Kosh
Metzger-MCP
Metzger-MCP 16.01.2007 um 09:39:24 Uhr
Goto Top
Einfach gesagt nichts !

Sehen ja nein kommt auf die Berechtigung an.

Aber wie schon gesagt, etwas nicht sehen, heist nicht sich nicht dazu Berechtigen.

Entweder auf der übergeordneten Ebene re. Maus , Eigen.. , Sicherheit , Erweit.. , Besitzer , User makieren , haken setzen , übernehmen, und im Karteireiter Berechtig... User Vollzugriff mit Hacken erseten ...

Oder per Dos Komandobox Befehl Cacls mit den passenden Parametern.

Wenn ich also ein Verdacht hätte und es drauf an kommt, würde ich mir den Rechner nehmen, Vollzugriff von der Rootebene aus geben, von allem dem Besitz übernehmen und Ordner für Ordner ansehen. Der User bekämme von mir ein Ersatzgerät.

So Radikal bräuchte man aber nicht immer vorgehen. Bei einem sauberen System, kann ein User nur an bestimmten Ecken überhaupt etwas machen, und die ab zu klappern, dazu braucht es nun nicht wirklich lange.

MFG Metzger
Metzger-MCP
Metzger-MCP 16.01.2007 um 09:45:38 Uhr
Goto Top
wenn er gewisse dateien nicht lesen sollen darf, dann kannst sie verschlüsseln. aber die datei selbst sieht er trotzdem.

Geht aber dann auch nur mit Fremdsoftware, ein Admin kann da auch darauf zugreifen und alles wieder entschlüsseln.

MFG Metzger
17243
17243 16.01.2007 um 10:18:58 Uhr
Goto Top
Hi

Ohne grosse Abhandlungen über die rechtlichen Aspekte zu schreiben:
- ein Admin darf den Inhalt des persönlichen Verzeichnisses sowie der Mailbox nur nach Zustimmung des Benutzers oder der Geschäftsleitung nach Rücksprache mit dem Benutzer einsehen.
- bei einer Freistellung darf der Zugriff nach Zustimmung der Geschäftsleitung freigeschaltet werden. Der Benutzer muss aber davon (auch Nachträglich) in Kenntnis gesetzt werden.

Betreffend dem Admin aussperren:
Spätestens nach dem nächsten Backup wird dem Admin der Pfad im Backup-Log angezeigt, da der Backup-User (meist in der Gruppe Domain-Admin und Backup-Operators) keinen Zugriff auf dieses Verzeichnis hatte.

gretz drop
Diskilla
Diskilla 16.01.2007 um 10:51:49 Uhr
Goto Top
allerdings muss ich sagen dass wir (mal als
beispiel) allen 120 usern je einen ordner mit
grössenbeschränkung auf einem
netzwerkshare zur verfügung stellen auf
dem AUSSCHLIESSLICH der user zugriff hat.


Das haben wir auch, aber diese Ordner werden von uns auf dem Server angelegt und der Benutzer kann das nicht selbst. Hinterher werden die Berechtigungen so vergeben, dass nur der Benutzer selbst zugriff hat.

Also ich denke im Fazit kann man sagen:
Man kann einen Ordner schon für gewisse Zeit für den Admin unsichtbar machen, aber irgendwann taucht er auch beim Admin irgendwo aif. Und wenns nur wie von drop_CH gesagt im Backuplog ist.
ketchup
ketchup 16.01.2007 um 19:29:53 Uhr
Goto Top
> wenn er gewisse dateien nicht lesen
sollen darf, dann kannst sie
verschlüsseln. aber die datei selbst
sieht er trotzdem.

Geht aber dann auch nur mit Fremdsoftware,
ein Admin kann da auch darauf zugreifen und
alles wieder entschlüsseln.

MFG Metzger
wenn er im AD is ja und EFS-BackupRecoveryAgent ... kommt halt nun drauf an, WARUM man einen Admin aussperren will.


wenns am client ist ... hat man was zu verbergen.

am server? seh ich keinen grund dazu.

face-wink