rony-x2
Goto Top

Korrekte Berechtigung für die Homelaufwerke

Server OS: Windows Server 2012R2
Client OS: Windows 8.1


Hallo,

eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/


ALSO...

Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.

Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt

Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.


Die Anforderung an die Berechtigungen ist:

Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten


Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt


Gruß

Content-ID: 256840

Url: https://administrator.de/forum/korrekte-berechtigung-fuer-die-homelaufwerke-256840.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

DerWoWusste
DerWoWusste 05.12.2014 um 14:12:33 Uhr
Goto Top
Hi.

Die Forderung
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Ist Blödsinn, da Admins sich den Zugriff selbst bei Verweigerung jederzeit selbst wieder erteilen können.
Sveny79
Sveny79 05.12.2014 um 15:09:49 Uhr
Goto Top
Hallo,

ich verstehe das auch nicht so ganz. Ich würde den einzelnen User Verzeichnissen dem jeweiligen User und den Admins Vollzugriff erteilen und gut.

Gruß Sven
Looser27
Looser27 05.12.2014 um 15:15:30 Uhr
Goto Top
Schließlich schreien alle nach dem Admin, wenn mal versehentlich Daten gelöscht wurden und es darum geht die dann wiederherzustellen. Blöd, wenn der Admin das dann nicht könnte.

Just my 2 Cents.
emeriks
Lösung emeriks 06.12.2014, aktualisiert am 11.12.2014 um 09:35:41 Uhr
Goto Top
Hi,
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.

Um Deine Frage zu beantworten:
  • auf der Freigabe gib "Jeder" - Vollzugriff - Zulassen
  • auf dem Ordner, der da freigegeben ist, gibst Du
    • "authentifizierte Benutzer" - Ordnerinhalt anzeigen - zulassen (mehr nicht!)
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
    • {Gruppe der Benutzerverwalter} - Vollzugriff - zulassen
      • nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
  • Wenn jetzt in der MMC AD User & Computer einem Benutzer ein Home Drirectory erteilt wird, dann
    • wird dieses erstellt und
    • dem Benutzer dort explizit Vollzugriff erteilt
    • keine weiteren Rechte von oben geerbt, also auch kein Zugriff für Admins oder {Gruppe der Benutzerverwalter}

{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.

Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.

Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.

Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.

E.
DerWoWusste
DerWoWusste 08.12.2014 um 09:28:57 Uhr
Goto Top
Moin emeriks.

DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?

Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
emeriks
emeriks 08.12.2014 um 10:52:38 Uhr
Goto Top
Zitat von @DerWoWusste:
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
Na ja,
  1. Ein "Backup Operator" zu sein allein reicht nicht aus, um sich selbst der ACL hinzufügen zu können. Man muss da schon Know-How haben, um zu wissen, wei man ein Programm mit entsprechend aktiviertem Privileg ausführen kann.
  2. Wenn man nicht min. Lese-Rechte für die ACL hat, dann kann man zwar den Besitz übernehmen, zerstört dabei aber die ACL. Es wird eine neue aufgebaut entsprechend den Verebungsregeln. Das kann u.U. zum Verlust der Zugriffsrechte der Anwedner führen.
  3. Es soll Leute geben, die sich an Dienstanweisungen halten und dann u.U. Hemmschwellen zu überwinden haben. face-wink (Das ist nicht persönlich gemeint, reine Polemik, ok?)

E.
DerWoWusste
DerWoWusste 08.12.2014 aktualisiert um 11:22:11 Uhr
Goto Top
Ein BA kann alles jederzeit lesen. Für BAs gelten keine ACLs. Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
emeriks
emeriks 08.12.2014 um 11:29:34 Uhr
Goto Top
Behaupte doch nicht einfach sowas!
Ein BA kann alles jederzeit lesen.
Stimmt nicht.
Für BAs gelten keine ACLs.
Stimmt so auch nicht.
Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
DAS stimmt. Hier manipuliert man aber an einer Kopie rum. Und das wäre dann schon nah am Diebstahl, wenn man keine Erlaubnis zum Zugriff hat.

E.
DerWoWusste
DerWoWusste 08.12.2014 um 11:43:11 Uhr
Goto Top
Dass ich erst ein Backup anfertigen muss, um alles zu lesen, sollte klar sein, das ist doch schon die Definition und der Zweck der Gruppe.
rony-x2 sollte sich selbst entscheiden, unsere Entscheidung steht fest. rony-x2, sag mal piep.
rony-x2
rony-x2 11.12.2014 um 09:36:51 Uhr
Goto Top
Ich war leider ein paar Tage krank - klingt aber so ganz brauchbar was ich gelesen habe face-smile
DerWoWusste
DerWoWusste 11.12.2014 um 14:29:22 Uhr
Goto Top
Was beabsichtigst Du nun zu tun?