stende
Goto Top

Besitzübernahme durch Admin verbieten

Hey,

kennt ihr eine Möglichkeit, wie ich einem Domain-Admin verbieten kann, den Besitz eines Ordners oder einer Datei zu übernehmen?

Mit Hilfe der NTFS-Berechtigung "Besitz übernehmen verbieten" scheint es nicht zu gehen. Ein Admin kann weiterhin den Besitz übernehmen.


Grüße

Stende

Content-ID: 194971

Url: https://administrator.de/forum/besitzuebernahme-durch-admin-verbieten-194971.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

106543
106543 27.11.2012 um 15:03:23 Uhr
Goto Top
Hallo,

warum willst du einem Admin verbieten den Besitz über einen Ordner bzw. eine Datei zu übernehmen ? Sowas wird zwar nur in sonderfällen gemacht, kann aber durchaus wichtig sein.
Oder bist du vll ein User, der den Dom-Admin austricksen will ? face-wink Alles ist möglich ...

Grüße
Exze
GuentherH
GuentherH 27.11.2012 um 15:10:48 Uhr
Goto Top
Hallo.

Es gibt einen bekannten Satz - ein Admin ist ein Admin ist ein Admin

Genauso wie du keiner Ehefrau widersprechen kannst, kannst du einem Admin auf Dauer keine Rechte nehmen.

LG Günther
Stende
Stende 27.11.2012 um 15:12:13 Uhr
Goto Top
Ich bin Admin, aber auf Anordnung von oben ist dies bei einigen Ordnern so gewünscht.
Geht das denn überhaupt?
106543
106543 27.11.2012 aktualisiert um 15:18:59 Uhr
Goto Top
Hi,

nicht dass ich wüsste, wurde aber von mir bisher auch nicht verlangt face-smile
es gibt natürlich die üblichen Optionen á la Admin-Konto bzw. Gruppe von den Berechtigungen des Ordners entfernen etc. allerding kann man einen Admin wie GuentherH schon geschrieben hat, nicht dauerhaft aussperren.

Grüße
Exze

[EDIT]
evt. hier: Besitzübernahme per Gruppenrichtlinie verhindern oder Admin automatisch einfügen
[/EDIT]
Hitman4021
Hitman4021 27.11.2012 um 15:17:12 Uhr
Goto Top
Hallo,

vertraut die Firma dem Admin nicht?
Dann haben die sowieso ein Problem.

Und das zweite wenn dan einer der Benutzer an den Rechten was ändert und sich aussperrt, kannst du dies auch nicht mehr so einfach Rückgängig machen.

Also ich würde das nicht freiwillig umsetzen.

Gruß
tonyscooby
tonyscooby 27.11.2012 um 15:18:41 Uhr
Goto Top
Lokale oder AD Gruppenrichtlinie (AD auf OU wo Rechner ist verlinken)

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuseisen von Benutzerrechten

auf den Punkt "Übernehmen des Besitzes von Dateien und Objekten und trag die Nutzer ein, die dazu berechtigt sein sollen.

Oder die Gruppe Administratoren mit FULL Access Deny berechtigen und vererben.
Dann ist aber jeglicher Support dahin, würde in so einem Fall einen User anlegen der Rechte hat und den Eigentümer das Passwort dafür vergeben bzw. versiegelt hinterlegen lassen....

Gruss
Stende
Stende 27.11.2012 um 15:37:40 Uhr
Goto Top
Genau so soll es aussehen, es wird einen User geben, welcher es weiterhin darf, mittels 4 -Augen Prinzip.
Über NTFS-Rechte scheint dies jedoch nicht zu gehen, der Admin darf es immer wieder
Stende
Stende 27.11.2012 um 15:41:20 Uhr
Goto Top
Gruppenrichtlinie wäre eine Idee, nur da könnte der Admin ja z.B. die Vererbung deaktivieren und so würde diese auch nicht mehr greifen.

Mit Boardmitteln wird dies so wie ich das sehe wohl nix face-smile
tonyscooby
tonyscooby 27.11.2012 um 15:50:31 Uhr
Goto Top
Full Access Deny für die Gruppe Administratoren

Sperrt euch selbst aus face-smile
Hubert.N
Hubert.N 27.11.2012 um 15:52:26 Uhr
Goto Top
Gruppenrichtlinie wäre eine Idee, nur da könnte der Admin ja z.B. die Vererbung deaktivieren und so würde diese
auch nicht mehr greifen.

Und da kann man dann wieder Günther zitieren:

ein Admin ist ein Admin ist ein Admin

Untermm strich kannst du es doch drehen und wenden wie du willst: Der Admin wird immer in der Lage sein eine Software zu deinstallieren, Gruppenrichtlinien anzupassen etc.

Wenn du da irgendetwas erreichn willst, dann solltest du dir mal Gedanken um Verschlüsselung der Dateien machen - aber das dann ohne EFS, denn auch dort hat der Admin - naja - du weißt schon...

Gruß

Hubert
Stende
Stende 27.11.2012 um 16:09:27 Uhr
Goto Top
Ja, so sieht es aus face-smile

Hatte mir SafeGuard LanCrypt hierfür angeschaut
2hard4you
2hard4you 27.11.2012 aktualisiert um 16:34:25 Uhr
Goto Top
Moin,

Du kannst Cryptoadmins definieren, die die Verschlüsselung kontrollieren, mit Hilfe von Cryptoboxen - da kann der Admin trotzdem alles machen, inklusive Backup / Restore - er sieht nur Datenmuell - Kosten höher 5stelliger Bereich....

Gruß

24
Stende
Stende 28.11.2012 um 10:39:27 Uhr
Goto Top
Ich denke ich werde es über eine Verschlüsselungssoftware lösen. Danke euch für die Antworten.

Ein Admin bleibt ein Admin bleibt ein Admin --> so sollte es sein face-smile