2
EFS auf einem Netzwerkordner mit AD-Zugriffsrechten - geht sowas?
AD-Benutzergruppe soll einen Ordner bekommen, der per EFS verschlüsselt wird, so daß nur berechtigte User die enthaltenen und erstellten Dateien lesen/ändern können.
Hallo zusammen,
eine unserer AD-Benutzergruppen in einer Windows2003 - Domäne soll einen Netzwerkordner auf einem Windows2003 Server Standard zugewiesen bekommen. Dieser Ordner soll ausschließlich für Mitglieder dieser Gruppe zugänglich sein.
Soweit ginge alles ja prima mit dem AD einzurichten - aber die Gruppenmitglieder hätten es auch gerne, wenn die Admins ebenfalls draußen blieben und NIEMAND außer ihnen die Dateien in dem Ordner (und Unterordnern) öffnen/ändern kann.
Ich hatte dabei an EFS gedacht, das geht ja auf einem Client lokal recht gut, wenn man das/die Zertifikate gut sichert. Aber das Zertifikat gilt ja immer nur für die Person, die den Ordner auch verschlüsselt hat.
Gibt es auch die Möglichkeit, einen Netzwerkordner mit EFS zu verschlüsseln und das Zertifikat mehreren Usern auf ihren Clients zugänglich zu machen? Wir arbeiten momentan mit lokalen Profilen, keine servergespeicherten - jeder USer sitzt (fast) immer an "seinem" PC. Clients laufen mit WinXP Professional.
Habe mit Verschlüsselung in einer Domänenumgebung noch nicht sehr viele Erfahrungen...
Gruß Guck
eine unserer AD-Benutzergruppen in einer Windows2003 - Domäne soll einen Netzwerkordner auf einem Windows2003 Server Standard zugewiesen bekommen. Dieser Ordner soll ausschließlich für Mitglieder dieser Gruppe zugänglich sein.
Soweit ginge alles ja prima mit dem AD einzurichten - aber die Gruppenmitglieder hätten es auch gerne, wenn die Admins ebenfalls draußen blieben und NIEMAND außer ihnen die Dateien in dem Ordner (und Unterordnern) öffnen/ändern kann.
Ich hatte dabei an EFS gedacht, das geht ja auf einem Client lokal recht gut, wenn man das/die Zertifikate gut sichert. Aber das Zertifikat gilt ja immer nur für die Person, die den Ordner auch verschlüsselt hat.
Gibt es auch die Möglichkeit, einen Netzwerkordner mit EFS zu verschlüsseln und das Zertifikat mehreren Usern auf ihren Clients zugänglich zu machen? Wir arbeiten momentan mit lokalen Profilen, keine servergespeicherten - jeder USer sitzt (fast) immer an "seinem" PC. Clients laufen mit WinXP Professional.
Habe mit Verschlüsselung in einer Domänenumgebung noch nicht sehr viele Erfahrungen...
Gruß Guck
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92937
Url: https://administrator.de/contentid/92937
Printed on: April 18, 2024 at 20:04 o'clock
2 Comments
Latest comment
Ja, das funktioniert. Im groben musst du eine Zertifizierungsstelle eingerichtet haben, Zertifikate für EFS ausgegeben und am AD-Objekt des Fileservers "Computer für deligierungszwecke vertrauen" aktiviert haben. Ließ dich aber bitte vorher in das Thema ein. Gerade bei EFS im Netzwerk sollten keine fehler passieren. Nicht das die Dateien irgendwann nicht mehr lesbar sind.
Wichtig ist auch, du solltest einen Wiederherstellungsagenten konfigurieren. Sollte doch mal ein privater Schlüssel verlohren gehen, kannst du als Admin die Files entschlüsseln. Natürlich sprengt das die Sicherheitsanforderungen. Naja, obwohl, du kannst auch die Wiederherstellung auch an jemanden aus dieser Gruppe übertragen.
Wichtig ist auch, du solltest einen Wiederherstellungsagenten konfigurieren. Sollte doch mal ein privater Schlüssel verlohren gehen, kannst du als Admin die Files entschlüsseln. Natürlich sprengt das die Sicherheitsanforderungen. Naja, obwohl, du kannst auch die Wiederherstellung auch an jemanden aus dieser Gruppe übertragen.
Gibt es hierzu ggf. eine Offizielle beschreibung (für Win2008 R2) von Microsoft dazu, wie hier vorzugehen ist. Nachher ist der Server verschlüsselt und keiner kommt mehr an seine Daten 
