4
Frage zur Sicherheit eines Fileservers wenn das AD von extern verwaltet wird
Folgede Situation
Das Aktive Directory wird von einer externen Organisation betreut. Wir haben im Haus einen
"abgespeckten Administrator" mit dem ich User anlegen, löschen, deaktivieren usw. kann.
Ich kann für meine Ou Gpo´s einrichten und verwalten.
Der lokale Anmeldeserver wird auch von der externen Organisation (wir sind eine lokale
Genossenschaft) betreut. D.h. Der Server wird überwacht, ServerPacks und Updates werden
von extern erledigt.
Ich habe mir mal das Szenario so skizziert um einen Überblick zu haben.
Mein Problem ist eigentlich "nur" der FileServer.
Gibt es eine machbare und sichere Möglichkeit. NUR den Benutzern die in meiner
OU sind, den Zugriff auf den Datenbestand (Fileserver) zu gewähren.
Ich habe mir überlegt ob es vielleicht mit der Firewall 2 Möglich ist, nur lokale User
zum Fileserver zu lassen und andererseits die Berechtigungen für die Files doch vom
lokalen Anmeldeserver zu bekommen.
\BIch möchte alle anderen, im besonderen auch allen DomänenAdministratoren, den
Zugriff auf meine Daten sperren. (Backup vom Fileserver mache ich selber)\b
Danke für einen Tipp
Gruss
Dani Panna, Italien
Das Aktive Directory wird von einer externen Organisation betreut. Wir haben im Haus einen
"abgespeckten Administrator" mit dem ich User anlegen, löschen, deaktivieren usw. kann.
Ich kann für meine Ou Gpo´s einrichten und verwalten.
Der lokale Anmeldeserver wird auch von der externen Organisation (wir sind eine lokale
Genossenschaft) betreut. D.h. Der Server wird überwacht, ServerPacks und Updates werden
von extern erledigt.
Ich habe mir mal das Szenario so skizziert um einen Überblick zu haben.
Mein Problem ist eigentlich "nur" der FileServer.
Gibt es eine machbare und sichere Möglichkeit. NUR den Benutzern die in meiner
OU sind, den Zugriff auf den Datenbestand (Fileserver) zu gewähren.
Ich habe mir überlegt ob es vielleicht mit der Firewall 2 Möglich ist, nur lokale User
zum Fileserver zu lassen und andererseits die Berechtigungen für die Files doch vom
lokalen Anmeldeserver zu bekommen.
\BIch möchte alle anderen, im besonderen auch allen DomänenAdministratoren, den
Zugriff auf meine Daten sperren. (Backup vom Fileserver mache ich selber)\b
Danke für einen Tipp
Gruss
Dani Panna, Italien
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145038
Url: https://administrator.de/contentid/145038
Ausgedruckt am: 14.11.2024 um 03:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo DaniPanna,
ein Domänen-Adminstrator hat immer die Möglichkeit auf die Daten des File-Servers zu zugreifen. Ob eine oder zwei Firewalls.
Selbst wenn Du ihm alle Rechte nimmst, er kann sich den Besitz an Verzeichnissen und Dateien zurückholen.
Dieses kannst Du sehen, wenn Du dir Rechte an einem Verzeichnis ansiehst -> Erweitere Sicherheit -> Besitzer.
Bei der aufgezeigten Hierachie hat die externe Organisation immer das "letzte" Wort. Du bleibst abhängig.
cu
ein Domänen-Adminstrator hat immer die Möglichkeit auf die Daten des File-Servers zu zugreifen. Ob eine oder zwei Firewalls.
Selbst wenn Du ihm alle Rechte nimmst, er kann sich den Besitz an Verzeichnissen und Dateien zurückholen.
Dieses kannst Du sehen, wenn Du dir Rechte an einem Verzeichnis ansiehst -> Erweitere Sicherheit -> Besitzer.
Bei der aufgezeigten Hierachie hat die externe Organisation immer das "letzte" Wort. Du bleibst abhängig.
cu
Hallo,
Danke erstmal für die Info, ......
auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?
Gib es echt keine Möglichkeit, einen Datenbestand, so zu trennen, dass nur meine User Zugriff haben?
Könnte ich zum Beispiel einen Server installieren, die Workgroup gleich der Domäne benennen und nur
die User mit Password irgendwie übernehmen ? (Wenn man die User und Passwörter nicht übernehmen kann,
dann würde dass eine doppelte User und Password Verwaltung bedeuten, bei über 120 Usern ist dass
eher Umständlich ....
Noch eine Idee?
Danke
DaniPanna
Danke erstmal für die Info, ......
auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?
Gib es echt keine Möglichkeit, einen Datenbestand, so zu trennen, dass nur meine User Zugriff haben?
Könnte ich zum Beispiel einen Server installieren, die Workgroup gleich der Domäne benennen und nur
die User mit Password irgendwie übernehmen ? (Wenn man die User und Passwörter nicht übernehmen kann,
dann würde dass eine doppelte User und Password Verwaltung bedeuten, bei über 120 Usern ist dass
eher Umständlich ....
Noch eine Idee?
Danke
DaniPanna
Zitat von @DaniPanna:
auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?
auch nicht wenn ich den Fileserver als eigenständige Maschine betreiben würde?
Nein
Gib es echt keine Möglichkeit, einen Datenbestand, so zu trennen, dass nur meine User Zugriff haben?
Könnte ich zum Beispiel einen Server installieren, die Workgroup gleich der Domäne benennen und nur
die User mit Password irgendwie übernehmen ? (Wenn man die User und Passwörter nicht übernehmen kann,
dann würde dass eine doppelte User und Password Verwaltung bedeuten, bei über 120 Usern ist dass
eher Umständlich ....
Domäne ist Domäne und Workgroup ist Workgroup und so wie jeder Rechnername im Netzwerk nur einmal existiert darf
gilt dies auch für Domänennamen.
Eventuell gibt es die Möglichkeit der "Vertrauensstellung". Dein AD, sprich deine OU, vertraut dem Fileserver.
Dazu kann ich aber nichts weiteres genaueres sagen, da ich so etwas noch nicht getestet habe.
Danke inzwischen für Deine Infos.
Dann müsste ich die Daten auf dem Fileserver verschlüsseln, ....... ? Dann kann ein Administrator der Domäne zwar Daten kopieren, aber nicht
sehr viel anfangen, .....
Danipanna
Dann müsste ich die Daten auf dem Fileserver verschlüsseln, ....... ? Dann kann ein Administrator der Domäne zwar Daten kopieren, aber nicht
sehr viel anfangen, .....
Danipanna
