5
Datenablage: Zugriffskontrolle und Sicherheit für Personaldaten und Vertrauenspersonen
Hallo zusammen,
wir stehen vor der Herausforderung, eine Datenablage für Personaldaten und Daten von Vertrauenspersonen zu implementieren, auf die nur bestimmte Personen im Unternehmen Zugriff haben sollen. Ein wichtiger Punkt ist, dass es unter keinen Umständen möglich sein darf, dass ein Administrator Zugriff auf die Daten hat, die dort abgelegt werden.
Gleichzeitig soll der Server jedoch aus Verwaltungsgründen in der AD eingebunden sein, damit er vom Administrator aufrufbar bleibt. Derzeit haben wir einen Abgegrenzten Server außerhalb der AD, was ich versuche zu umgehen, damit wir eine einheitliche Struktur haben.
Zusätzlich möchten wir verschiedene, voneinander abgegrenzte Bereiche einrichten, bei denen jeweils nur bestimmte Personen Zugriff erhalten.
Es soll einen Personal Bereich geben, auf dem NUR unsere Personalabteilung Zugriff haben darf. Und dann soll es einen Bereich für unsere Vertrauenspersonen geben auf dem NUR diese Zugriff haben.
Hat jemand von euch Erfahrungen damit, wie man dieses Setup sicher und effektiv umsetzt? Evtl. auch mit einer separaten NAS oder ähnliches. Ich bin für alle Vorschläge offen.
LG
tacobell03
wir stehen vor der Herausforderung, eine Datenablage für Personaldaten und Daten von Vertrauenspersonen zu implementieren, auf die nur bestimmte Personen im Unternehmen Zugriff haben sollen. Ein wichtiger Punkt ist, dass es unter keinen Umständen möglich sein darf, dass ein Administrator Zugriff auf die Daten hat, die dort abgelegt werden.
Gleichzeitig soll der Server jedoch aus Verwaltungsgründen in der AD eingebunden sein, damit er vom Administrator aufrufbar bleibt. Derzeit haben wir einen Abgegrenzten Server außerhalb der AD, was ich versuche zu umgehen, damit wir eine einheitliche Struktur haben.
Zusätzlich möchten wir verschiedene, voneinander abgegrenzte Bereiche einrichten, bei denen jeweils nur bestimmte Personen Zugriff erhalten.
Es soll einen Personal Bereich geben, auf dem NUR unsere Personalabteilung Zugriff haben darf. Und dann soll es einen Bereich für unsere Vertrauenspersonen geben auf dem NUR diese Zugriff haben.
Hat jemand von euch Erfahrungen damit, wie man dieses Setup sicher und effektiv umsetzt? Evtl. auch mit einer separaten NAS oder ähnliches. Ich bin für alle Vorschläge offen.
LG
tacobell03
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671200
Url: https://administrator.de/forum/datenablage-zugriffskontrolle-und-sicherheit-fuer-personaldaten-und-vertrauenspersonen-671200.html
Ausgedruckt am: 07.02.2025 um 13:02 Uhr
5 Kommentare
Neuester Kommentar
Also als AD Admin kannst du nicht vom Server fern gehalten werden. Die AD deswegen aufzuteilen in verschiedene Bereiche ist ein Mamutprojekt mit vielen Problemen, davon würde ich abraten. Eine getrennte Hardware wie z.B. NAS, die aber auch wieder im AD hängt, scheint mir auch eine blöde Idee. Vor allem kommst du am Ende über Backup oder Hardwareebene sowieso an alles dran.
Dir hilft tatsächlich nur eine Verschlüsselung und die würde ich nicht an das AD binden, sondern eher als Veracypt-Container oder so. Eine der wichtigsten Informationen unterschlägst du aber, von wie vielen Personen reden wir überhaupt? Wie groß sind die Abteilungen? Wie oft und wie viele Leute müssen an diese Dokumente ran?
Dir hilft tatsächlich nur eine Verschlüsselung und die würde ich nicht an das AD binden, sondern eher als Veracypt-Container oder so. Eine der wichtigsten Informationen unterschlägst du aber, von wie vielen Personen reden wir überhaupt? Wie groß sind die Abteilungen? Wie oft und wie viele Leute müssen an diese Dokumente ran?
Moin,
Berechtigungen auf nem Filer in einer Windows Domain setzt man nach dem AGDLP Prinzip.
Als Admin wird und sollte man immer die Möglichkeit haben, irgendwie an diese Daten ran zu kommen (Recovery , Fehlerbehebung, ...).
Macht man dies nicht zweckgebunden und schaut da mal einfach so rein, war's das natürlich mit dem Job.
Für mich hört sich das eher nach einem organisatorischen, als einem technischen Problem an.
Gruß
Berechtigungen auf nem Filer in einer Windows Domain setzt man nach dem AGDLP Prinzip.
Als Admin wird und sollte man immer die Möglichkeit haben, irgendwie an diese Daten ran zu kommen (Recovery , Fehlerbehebung, ...).
Macht man dies nicht zweckgebunden und schaut da mal einfach so rein, war's das natürlich mit dem Job.
Für mich hört sich das eher nach einem organisatorischen, als einem technischen Problem an.
Gruß
Moin,
eine ähnliche Aufgabenstellung (da war es die Geschäftsführung, die ihre Daten vor den Admins schützen wollte) wurde bereits in diesem Beitrag diskutiert. Vielleicht findest du auch dort pro und contra-Argumente und Ansätze für dein Problem.
Gruß
TA
eine ähnliche Aufgabenstellung (da war es die Geschäftsführung, die ihre Daten vor den Admins schützen wollte) wurde bereits in diesem Beitrag diskutiert. Vielleicht findest du auch dort pro und contra-Argumente und Ansätze für dein Problem.
Gruß
TA
1
PS: Ich hasse es zu sagen, aber in den Fällen kann eine SaaS-Lösung nützlich sein.
Hi
So lange der Rechner/Server vom Admin Verwaltet werden soll (Backup, Recover ect) hat dieser immer irgendwie Möglichkeiten aber da sollte des Vertrauen halt da sein.
Da bliebe halt nur eher ein eigenen Rechner worüber auf den Speziellen Server zugegriffen wird der nicht vom Admin verwaltet wird und ihr diesen selber Zuständig seit (Updates, Probleme ect) neben Verschlüsselung, 2FA......
Aber Grundsätzlich zeigt es eher Vertrauensprobleme da gewisse Bereiche dennoch Zugriff haben wenn diese es wollen....
Dazu wird auch gerne vergessen das zb Admins, Elektriker, Putzleute, Hausmeister quasi einen Generalschlüssel haben für die Türen und so Physisch Zugang zu vielen Bereichen haben für die Tägliche Arbeit aber dennoch die Möglichkeit hätten Einblicke in Unterlagen zu nehmen die so Rumliegen die nicht für diese Bestimmt sind.....
So lange der Rechner/Server vom Admin Verwaltet werden soll (Backup, Recover ect) hat dieser immer irgendwie Möglichkeiten aber da sollte des Vertrauen halt da sein.
Da bliebe halt nur eher ein eigenen Rechner worüber auf den Speziellen Server zugegriffen wird der nicht vom Admin verwaltet wird und ihr diesen selber Zuständig seit (Updates, Probleme ect) neben Verschlüsselung, 2FA......
Aber Grundsätzlich zeigt es eher Vertrauensprobleme da gewisse Bereiche dennoch Zugriff haben wenn diese es wollen....
Dazu wird auch gerne vergessen das zb Admins, Elektriker, Putzleute, Hausmeister quasi einen Generalschlüssel haben für die Türen und so Physisch Zugang zu vielen Bereichen haben für die Tägliche Arbeit aber dennoch die Möglichkeit hätten Einblicke in Unterlagen zu nehmen die so Rumliegen die nicht für diese Bestimmt sind.....
