Erfahrungsaustausch Verzeichnisrechte Datenverzeichnis
Hallo Kolleginnnen, und Kollegen,
unsere Projektverzeichnisse wurden bisher immer mit Rechten für System / Administratoren und Projektgruppe angelegt. (jeweils Vollzugriff). Die Shares wurden ebenfalls so angelegt.
Der User, unter dem das Backup läuft ist in der Gruppe Administratoren.
Für die Verwaltung der Daten (Verschieben / Kopieren auf neuen Datenspeicher....) ist es überaus hilfreich, wenn entsprechend Rechte vorhanden sind (Administratoren).
Es kamen jetzt Aussagen, dass die Rechtevergabe (System und Administratoren) nicht "üblich" ist, und aus Sicherheitsgründen eingeschränkt werden soll.
Für meine Begriffe macht das keinen großen Unterschied, da ich als Admin den Besitz aller Daten übernehmen kann, und damit immer an die Rechte komme.
Wenn ich die Gruppe Administratoren entferne, und dann für alle notwendigen Aktionen den Besitz an mich reisen muss ist das meiner Meinung nach eher kontraproduktiv. (Das Dateisystem weiss dann nicht mehr, wer die Datei angelegt hat)
Einizge Möglichkeit den Admin auszuschließen sind meiner Meinung nach Safe - Laufwerke (Verschlüsselte Laufwerke, in Form von Containern)
Wie löst Ihr das Problem?
Gruss Rainer
unsere Projektverzeichnisse wurden bisher immer mit Rechten für System / Administratoren und Projektgruppe angelegt. (jeweils Vollzugriff). Die Shares wurden ebenfalls so angelegt.
Der User, unter dem das Backup läuft ist in der Gruppe Administratoren.
Für die Verwaltung der Daten (Verschieben / Kopieren auf neuen Datenspeicher....) ist es überaus hilfreich, wenn entsprechend Rechte vorhanden sind (Administratoren).
Es kamen jetzt Aussagen, dass die Rechtevergabe (System und Administratoren) nicht "üblich" ist, und aus Sicherheitsgründen eingeschränkt werden soll.
Für meine Begriffe macht das keinen großen Unterschied, da ich als Admin den Besitz aller Daten übernehmen kann, und damit immer an die Rechte komme.
Wenn ich die Gruppe Administratoren entferne, und dann für alle notwendigen Aktionen den Besitz an mich reisen muss ist das meiner Meinung nach eher kontraproduktiv. (Das Dateisystem weiss dann nicht mehr, wer die Datei angelegt hat)
Einizge Möglichkeit den Admin auszuschließen sind meiner Meinung nach Safe - Laufwerke (Verschlüsselte Laufwerke, in Form von Containern)
Wie löst Ihr das Problem?
Gruss Rainer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115234
Url: https://administrator.de/forum/erfahrungsaustausch-verzeichnisrechte-datenverzeichnis-115234.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
4 Kommentare
Neuester Kommentar
Ganz ehrlich: Indem ich die Leute auslache... Sorry, aber wenn die mich als Admin aussperren wollen - ok. Dann müssen die ihre Daten bitte selbst auf CDs / whatever sichern. Denn was sollte mich davon abhalten einfach das Sicherungsband von gestern wieder reinzulegen und fröhlich mir die Daten an jeden beliebigen Ort wiederherstellen zu lassen?
Und nen Verschlüsseltes Laufwerk? Ok, sofern das am Arbeitspc gemountet ist kann man sich da per Admin anmelden und sich eine Freigabe drauf erstellen... Thema erledigt...
Von daher: Entweder die Leute wollen das die Daten vernünftig gesichert werden - dann habe ich auch Zugriff darauf. Oder die wollen Vertrauliche Daten - dann geht nur nen CD-Brenner / USB-Stick und nen Safe...
Die andere Frage wäre ja: Warum mißtrauen die dem Admin so das die nicht wollen das er auf die Daten kommt? Denn normal hat nen Admin da durchaus für unterschrieben das er eben nicht an Daten geht die ihn nichts angehen. Und ich persönlich bin gar nicht an Personal-Daten intressiert. Denn nur damit ich weiss was die Kollegen verdienen meinen Job riskieren? Ähm... neee....
Und nen Verschlüsseltes Laufwerk? Ok, sofern das am Arbeitspc gemountet ist kann man sich da per Admin anmelden und sich eine Freigabe drauf erstellen... Thema erledigt...
Von daher: Entweder die Leute wollen das die Daten vernünftig gesichert werden - dann habe ich auch Zugriff darauf. Oder die wollen Vertrauliche Daten - dann geht nur nen CD-Brenner / USB-Stick und nen Safe...
Die andere Frage wäre ja: Warum mißtrauen die dem Admin so das die nicht wollen das er auf die Daten kommt? Denn normal hat nen Admin da durchaus für unterschrieben das er eben nicht an Daten geht die ihn nichts angehen. Und ich persönlich bin gar nicht an Personal-Daten intressiert. Denn nur damit ich weiss was die Kollegen verdienen meinen Job riskieren? Ähm... neee....
Also wir haben es ganz einfach geregelt, was Rechte vergabe angeht nur Vollzugriff haben die Admins für alles und "normale Nutzer" und auch dazu gehören Gruppenleiter dürfen gar keine Rechte verändern,... wenn sie das wollen, sollen sie sich an einen Admin wenden,...
So weit und kurz handhaben wir das,...
aber mal erhlich selbst das kann man sicherlich irgendwie umgehen,... wo ein Wille, da ein Weg!
Matze
So weit und kurz handhaben wir das,...
aber mal erhlich selbst das kann man sicherlich irgendwie umgehen,... wo ein Wille, da ein Weg!
Matze
Hallo Rainer,
das ist Lötzinn. Der Gemeine Admin hat eine Verschwiegenheitserklärung unterschrieben und schläft auch sonst sowieso "mit'm Kopp im Tresor". Wer soll die Shares administrieren, wenn nicht der Admin? Falls man eine ganze IT-Abteilung zur Verfügung hat, kann man die Rechte auf einen Inner Circle beschränken, also auf Admins, die eine besondere Sicherheitsfreigabe haben. Aber das war es auch schon.
Hat die Firma übrigens auch vor den Mitgliedern der Projektgruppe solche Angst, wenn die mit einem USB-Stick durch die Gegend ziehen oder Mails an ihren Privataccount schicken? Frag nur aus Interesse...
Ernsthaft: wenn eine Firma dem Admin nicht mehr vertraut, sollte man sich mal ganz allgemein Gedanken machen, dann läuft sicher auch noch anderes schief.
geTuemII
Es kamen jetzt Aussagen, dass die Rechtevergabe (System und Administratoren) nicht "üblich" ist, und aus Sicherheitsgründen eingeschränkt werden soll.
das ist Lötzinn. Der Gemeine Admin hat eine Verschwiegenheitserklärung unterschrieben und schläft auch sonst sowieso "mit'm Kopp im Tresor". Wer soll die Shares administrieren, wenn nicht der Admin? Falls man eine ganze IT-Abteilung zur Verfügung hat, kann man die Rechte auf einen Inner Circle beschränken, also auf Admins, die eine besondere Sicherheitsfreigabe haben. Aber das war es auch schon.
Hat die Firma übrigens auch vor den Mitgliedern der Projektgruppe solche Angst, wenn die mit einem USB-Stick durch die Gegend ziehen oder Mails an ihren Privataccount schicken? Frag nur aus Interesse...
Ernsthaft: wenn eine Firma dem Admin nicht mehr vertraut, sollte man sich mal ganz allgemein Gedanken machen, dann läuft sicher auch noch anderes schief.
geTuemII
Also, mir sind in der Tat Konstellationen bekannt bei denen die Gruppe der Administratoren keine Berechtigungen auf bestimmte Verzeichnisse hat.
Dies ist dann so gelöst, dass ein Backupuser angelegt wird, der entsprechend die benötigten Rechte bekommt und deren Kennwort dem Administrator nicht bekannt ist.
Ebenso bekommt ein bestimmter Benutzer auf das Verzeichnis die benötigten Rechte um das Verzeichnis und die Freigabe zu verwalten.
In aller Regel sind solche Konstellationen irgendwelchen seltsamen Betriebsvereinbarungen (meinst mit dem Betriebsrat) geschuldet. Wenn man da mal hinterleuchtet stellt sich oft raus, dass das noch Vereinbarungen sind die aus Prä-EDV-Zeiten stammen und die dann irgendwie auf die EDV umgeschrieben wurden. Sinn macht das fast nie.
Es ist dann regelmässig aber so, dass die Umsetzung dieser Vereinbarung einfacher ist und die daraus entstehenden Probleme in Kauf genommen werden, weil sich kein Schwein findet das Lust hat die mit der Abänderung der Betriebsvereinbarung verbundenen Diskussionen durchzukämpfen.
Warum solche Einstelllungen wenig bis keinen Sinn machen wurde ja schon erwähnt. Wirklichen Schutz der (meinst internen) Daten erreicht man meines Erachtens nach nur durch die Verlagerung dieser Daten und Programme aus der betriebsinternen EDV heraus in eine extern gehostete und/oder supportete EDV. Auch da sind mir mehrere Fälle bekannt.
Dies ist dann so gelöst, dass ein Backupuser angelegt wird, der entsprechend die benötigten Rechte bekommt und deren Kennwort dem Administrator nicht bekannt ist.
Ebenso bekommt ein bestimmter Benutzer auf das Verzeichnis die benötigten Rechte um das Verzeichnis und die Freigabe zu verwalten.
In aller Regel sind solche Konstellationen irgendwelchen seltsamen Betriebsvereinbarungen (meinst mit dem Betriebsrat) geschuldet. Wenn man da mal hinterleuchtet stellt sich oft raus, dass das noch Vereinbarungen sind die aus Prä-EDV-Zeiten stammen und die dann irgendwie auf die EDV umgeschrieben wurden. Sinn macht das fast nie.
Es ist dann regelmässig aber so, dass die Umsetzung dieser Vereinbarung einfacher ist und die daraus entstehenden Probleme in Kauf genommen werden, weil sich kein Schwein findet das Lust hat die mit der Abänderung der Betriebsvereinbarung verbundenen Diskussionen durchzukämpfen.
Warum solche Einstelllungen wenig bis keinen Sinn machen wurde ja schon erwähnt. Wirklichen Schutz der (meinst internen) Daten erreicht man meines Erachtens nach nur durch die Verlagerung dieser Daten und Programme aus der betriebsinternen EDV heraus in eine extern gehostete und/oder supportete EDV. Auch da sind mir mehrere Fälle bekannt.