6
Dateizugriff des Admin AD Account unter Windows überwachen
Nachtrag - zuerst natürlich ein HALLO an euch...
Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten. Dies vor allem, da die Integrität der Userdaten, die auf den Fileserver zugreifen, gewahrt bleiben soll. Denn jeder User erhält durch die Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden können. Denn die Dateiwiederherstellung braucht ja Adminrechte.
Konkret suchen wir nach einem Programm, dass die Dateizugriffe des Adminaccounts registriert und wenn möglich automatisiert an die verschiedenen Nutzer des Adminaccounts gesandt werden. Dadruch findet eine gegenseitige Kontrolle statt, wodurch wir uns einen Sicherheitsgewinn versprechen.
Danke - einmal mehr - für Ratschläge...
c3r3br0
Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten. Dies vor allem, da die Integrität der Userdaten, die auf den Fileserver zugreifen, gewahrt bleiben soll. Denn jeder User erhält durch die Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden können. Denn die Dateiwiederherstellung braucht ja Adminrechte.
Konkret suchen wir nach einem Programm, dass die Dateizugriffe des Adminaccounts registriert und wenn möglich automatisiert an die verschiedenen Nutzer des Adminaccounts gesandt werden. Dadruch findet eine gegenseitige Kontrolle statt, wodurch wir uns einen Sicherheitsgewinn versprechen.
Danke - einmal mehr - für Ratschläge...
c3r3br0
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 234603
Url: https://administrator.de/contentid/234603
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Hi.
Du kannst Auditing für bestimmte Benutzer aktivieren und als Resultat Mails schicken lassen.
Du kannst Auditing für bestimmte Benutzer aktivieren und als Resultat Mails schicken lassen.
1
Auch kein Hallo,
verständnisfrage: Warum arbeiten mehrere Nutzer mit dem Domänenadmin-Account? Da hat abgesehen vom Admin eigentlich niemand was dran verloren.
Wenn ihr zu eurem Admin kein Vertrauen habt, dann solltet ihr euch einen neuen suchen und/oder ggf. eine Verschwiegenheitserklärung unterschreiben lassen.
Um einen etwaigen Crash sollte sich auch der Admin kümmern ggf. auch zwei.
Gruß
verständnisfrage: Warum arbeiten mehrere Nutzer mit dem Domänenadmin-Account? Da hat abgesehen vom Admin eigentlich niemand was dran verloren.
Wenn ihr zu eurem Admin kein Vertrauen habt, dann solltet ihr euch einen neuen suchen und/oder ggf. eine Verschwiegenheitserklärung unterschreiben lassen.
Um einen etwaigen Crash sollte sich auch der Admin kümmern ggf. auch zwei.
Gruß
N'Abend.
Mal von den oben genannten Punkten abgesehen:
Wenn ich Domain-Admin bin, kann ich mir jederzeit sämtliche Rechte verschaffen, die ich brauche. Und selbst wenn etwas protokolliert wird, kann ich jederzeit das Passwort des entsprechenden Users zurücksetzen und mich in seinem Namen anmelden und Daten ausspähen. Vorbei an allen Protokollen. Wenn der User am nächsten morgen beim HelpDesk anruft, weil sein Account gesperrt ist und beteuert, er habe unter Garantie sein Passwort _nicht_ falsch eingegeben - was glaubst du, was passieren wird?
Technisch besteht natürlich die Möglichkeit, so ziemlich alles zu loggen und zu protokollieren, aber mehr Sicherheit bietet das nicht - im Gegenteil, es bindet viel mehr Arbeitszeit der Admins, die diese Logs sichten müssen. Und da nichts mehr nach Strafarbeit schreit, wie Logs wälzen zu müssen, ist die Gefahr, unberechtigte Zugriffe schlicht zu übersehen, sehr hoch.
Cheers,
jsysde
Zitat von @c3r3br0:
Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten.
Grob fahrlässig - wenn es mehrere Admins gibt, muss es auch mehrere Admin-Accounts geben. Welchen Sinn macht die Überwachung eines Accounts, wenn sich dahinter mehrere Leute verbergen?Wir würden im Geschäft gerne den Admin-Account überwachen, mit dem mehrere Personen arbeiten.
Dies vor allem, da die Integrität der Userdaten, die auf den Fileserver zugreifen, gewahrt bleiben soll. Denn jeder User erhält durch die
Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die
Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden
können. Denn die Dateiwiederherstellung braucht ja Adminrechte.
Ähh, sorry, das ist eher ein konzeptioneller Fehler - ein Backup-System, über das Daten auch wiederhergestellt werden können, läuft mit einem Service-Account und nur dieser Service-Account hat Zugriff auf die Homedrives der User. Die Admins (sämtliche, alle, inkl. der Domain-Admins) haben keinen Zugriff auf diese Ordner.Registration in der AD ein persönliches Laufwerk. Leider ist uns unter Windows keine Möglichkeit bekannt, dem Admin die
Zugriffsrechte zu verweigern, ohne dass dann die persönlichen Laufwerke bei einem Crash nicht mehr wiederhergestellt werden
können. Denn die Dateiwiederherstellung braucht ja Adminrechte.
Mal von den oben genannten Punkten abgesehen:
Wenn ich Domain-Admin bin, kann ich mir jederzeit sämtliche Rechte verschaffen, die ich brauche. Und selbst wenn etwas protokolliert wird, kann ich jederzeit das Passwort des entsprechenden Users zurücksetzen und mich in seinem Namen anmelden und Daten ausspähen. Vorbei an allen Protokollen. Wenn der User am nächsten morgen beim HelpDesk anruft, weil sein Account gesperrt ist und beteuert, er habe unter Garantie sein Passwort _nicht_ falsch eingegeben - was glaubst du, was passieren wird?
Technisch besteht natürlich die Möglichkeit, so ziemlich alles zu loggen und zu protokollieren, aber mehr Sicherheit bietet das nicht - im Gegenteil, es bindet viel mehr Arbeitszeit der Admins, die diese Logs sichten müssen. Und da nichts mehr nach Strafarbeit schreit, wie Logs wälzen zu müssen, ist die Gefahr, unberechtigte Zugriffe schlicht zu übersehen, sehr hoch.
Cheers,
jsysde
1
Danke für eure Hinweise. Werde die Inputs gerne am kommenden Dienstag in die Wochensitzung mitnehmen und da Änderungen beantragen.
Grüsse
c3r3br0
Grüsse
c3r3br0
Zitat von @c3r3br0:
... und nur dieser Service-Account hat Zugriff auf die Homedrives der User. Die
Admins (sämtliche, alle, inkl. der Domain-Admins) haben keinen Zugriff auf diese Ordner.
... und nur dieser Service-Account hat Zugriff auf die Homedrives der User. Die
Admins (sämtliche, alle, inkl. der Domain-Admins) haben keinen Zugriff auf diese Ordner.
und wie soll das gehen? Der Admin kann sich ja jederzeit wieder die entsprechenden Rechte zu den Homedrives geben?
Danke für eine Antwort.
Das Problem hat er direkt im Absatz danach angesprochen. ...
