Besitzübernahme durch Admin verbieten
Hey,
kennt ihr eine Möglichkeit, wie ich einem Domain-Admin verbieten kann, den Besitz eines Ordners oder einer Datei zu übernehmen?
Mit Hilfe der NTFS-Berechtigung "Besitz übernehmen verbieten" scheint es nicht zu gehen. Ein Admin kann weiterhin den Besitz übernehmen.
Grüße
Stende
kennt ihr eine Möglichkeit, wie ich einem Domain-Admin verbieten kann, den Besitz eines Ordners oder einer Datei zu übernehmen?
Mit Hilfe der NTFS-Berechtigung "Besitz übernehmen verbieten" scheint es nicht zu gehen. Ein Admin kann weiterhin den Besitz übernehmen.
Grüße
Stende
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 194971
Url: https://administrator.de/forum/besitzuebernahme-durch-admin-verbieten-194971.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
warum willst du einem Admin verbieten den Besitz über einen Ordner bzw. eine Datei zu übernehmen ? Sowas wird zwar nur in sonderfällen gemacht, kann aber durchaus wichtig sein.
Oder bist du vll ein User, der den Dom-Admin austricksen will ? Alles ist möglich ...
Grüße
Exze
warum willst du einem Admin verbieten den Besitz über einen Ordner bzw. eine Datei zu übernehmen ? Sowas wird zwar nur in sonderfällen gemacht, kann aber durchaus wichtig sein.
Oder bist du vll ein User, der den Dom-Admin austricksen will ? Alles ist möglich ...
Grüße
Exze
Hi,
nicht dass ich wüsste, wurde aber von mir bisher auch nicht verlangt
es gibt natürlich die üblichen Optionen á la Admin-Konto bzw. Gruppe von den Berechtigungen des Ordners entfernen etc. allerding kann man einen Admin wie GuentherH schon geschrieben hat, nicht dauerhaft aussperren.
Grüße
Exze
[EDIT]
evt. hier: Besitzübernahme per Gruppenrichtlinie verhindern oder Admin automatisch einfügen
[/EDIT]
nicht dass ich wüsste, wurde aber von mir bisher auch nicht verlangt
es gibt natürlich die üblichen Optionen á la Admin-Konto bzw. Gruppe von den Berechtigungen des Ordners entfernen etc. allerding kann man einen Admin wie GuentherH schon geschrieben hat, nicht dauerhaft aussperren.
Grüße
Exze
[EDIT]
evt. hier: Besitzübernahme per Gruppenrichtlinie verhindern oder Admin automatisch einfügen
[/EDIT]
Lokale oder AD Gruppenrichtlinie (AD auf OU wo Rechner ist verlinken)
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuseisen von Benutzerrechten
auf den Punkt "Übernehmen des Besitzes von Dateien und Objekten und trag die Nutzer ein, die dazu berechtigt sein sollen.
Oder die Gruppe Administratoren mit FULL Access Deny berechtigen und vererben.
Dann ist aber jeglicher Support dahin, würde in so einem Fall einen User anlegen der Rechte hat und den Eigentümer das Passwort dafür vergeben bzw. versiegelt hinterlegen lassen....
Gruss
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuseisen von Benutzerrechten
auf den Punkt "Übernehmen des Besitzes von Dateien und Objekten und trag die Nutzer ein, die dazu berechtigt sein sollen.
Oder die Gruppe Administratoren mit FULL Access Deny berechtigen und vererben.
Dann ist aber jeglicher Support dahin, würde in so einem Fall einen User anlegen der Rechte hat und den Eigentümer das Passwort dafür vergeben bzw. versiegelt hinterlegen lassen....
Gruss
Gruppenrichtlinie wäre eine Idee, nur da könnte der Admin ja z.B. die Vererbung deaktivieren und so würde diese
auch nicht mehr greifen.
auch nicht mehr greifen.
Und da kann man dann wieder Günther zitieren:
ein Admin ist ein Admin ist ein Admin
Untermm strich kannst du es doch drehen und wenden wie du willst: Der Admin wird immer in der Lage sein eine Software zu deinstallieren, Gruppenrichtlinien anzupassen etc.
Wenn du da irgendetwas erreichn willst, dann solltest du dir mal Gedanken um Verschlüsselung der Dateien machen - aber das dann ohne EFS, denn auch dort hat der Admin - naja - du weißt schon...
Gruß
Hubert