Korrekte Berechtigung für die Homelaufwerke
Server OS: Windows Server 2012R2
Client OS: Windows 8.1
Hallo,
eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/
ALSO...
Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.
Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt
Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.
Die Anforderung an die Berechtigungen ist:
Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt
Gruß
Client OS: Windows 8.1
Hallo,
eine bisschen peinliche Frage... aber es ist wohl zu viel Zeit seit dem letzten Mal vergangen :/
ALSO...
Ich möchte testweise eine Domäne anlegen, welche natürlich über das AD auch Benutzer bekommen soll.
Auf der zweiten Partition will ich den Ordner für die Homelaufwerke erstellen - in diesem sollen dann die jeweiligen "Homelaufwerke" der Benutzer erstellt werden.
Über das AD werden die Benutzerordner unter \\srv\home$\%username% angelegt
Es soll natürlich möglich sein, dass der Admin, weitere User anlegt.
Die Anforderung an die Berechtigungen ist:
Alle User / Administratoren, sollen NUR auf ihre eigenen Homeverzeichnisse zugreifen können
Die Admins dürfen NICHT auf die Homeverzeichnisse der user zugreifen oder deren Inhalt auflisten
Soa... eig. nicht schwer, wie sich das anhört.... aber wie setzt ich nun die NTFS Berechtigungen, so das sich diese Szenario so abbilden lässt
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 256840
Url: https://administrator.de/forum/korrekte-berechtigung-fuer-die-homelaufwerke-256840.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
11 Kommentare
Neuester Kommentar
Hi,
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.
Um Deine Frage zu beantworten:
{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.
Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.
Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.
Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.
E.
ich kenne das. Wie haben hier auch viele Fileserver, wo die Kunden wünschen, dass die Admins keinen Zuigriff "normalen" haben.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach. Und außerdem arbeitet bei und eh keiner mit vollen Rechten sondern immer nur mit explizit erteilten, teilweisen Admin-Rechten.
Um Deine Frage zu beantworten:
- auf der Freigabe gib "Jeder" - Vollzugriff - Zulassen
- auf dem Ordner, der da freigegeben ist, gibst Du
- "authentifizierte Benutzer" - Ordnerinhalt anzeigen - zulassen (mehr nicht!)
- nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
- {Gruppe der Benutzerverwalter} - Vollzugriff - zulassen
- nachträglich bearbeiten und unter "Erweitert" auf "nur diesen Ordner" einschränken !
- Wenn jetzt in der MMC AD User & Computer einem Benutzer ein Home Drirectory erteilt wird, dann
- wird dieses erstellt und
- dem Benutzer dort explizit Vollzugriff erteilt
- keine weiteren Rechte von oben geerbt, also auch kein Zugriff für Admins oder {Gruppe der Benutzerverwalter}
{Gruppe der Benutzerverwalter} - hiermit meine ich die Gruppe, in der die Benutzer sind, welche Benutzer verwalten können. Das können die Konten-Operatoren sein, die Domänen-Admins oder, wie wir bei uns praktizieren, eine explizite Gruppe.
Beachte: Falls Ihr die Eigenen Dateien per GPO auf das Home Directory umleitet, dann dürft Ihr dort nicht aktivieren "Administratoren Vollzugriff erteilen"! Das wäre dann konraproduktiv zur Anforderung.
Empfehlung: Wenn dann mal ein Benutzer Probleme mit seinen Dateien hat, dann solltet Ihr darauf achten, dass Ihr dann immer über die Benutzersitzung arbeitet (vor Ort oder Fernwartung), nicht "hintenrum". Weil sonst heißt es nachher, Ihr hättet Euch nicht an die Vorgaben gehalten. Oder Ihr lasst Euch jedesmal schriftlich bestätigen (Aufrag erteilen), dass Ihr Euch vorrübergehend Zurgriff verschaffen dürft.
Beachte: Die Datensicherung muss dann mit einem Benutzerkonto erfolgen, welches auf dem Server Backup Operator ist.
E.
Moin emeriks.
Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
DerWoWusste hat zwar Recht, das DIE Administratoren sich standardmäßig jederzeit irgendwie doch Zugriff auf alle Dateien verschaffen können, aber eben nicht so einfach
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?Der einzige Weg, es zu erschweren, ist NTFS-Überwachung, bei der ein Externer (z.B. Betriebsrat) auch Zugriff auf die Logs hat. Selbst das ist kaum vertrauenswürdig umsetzbar.
Zitat von @DerWoWusste:
Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
Na ja,Nicht so einfach? Bitte erkläre, was daran "nicht so einfach" ist. Die genannten Backup Operatoren - was ist denn damit - ist es "nicht so einfach", sich da mal eben einzufügen?
- Ein "Backup Operator" zu sein allein reicht nicht aus, um sich selbst der ACL hinzufügen zu können. Man muss da schon Know-How haben, um zu wissen, wei man ein Programm mit entsprechend aktiviertem Privileg ausführen kann.
- Wenn man nicht min. Lese-Rechte für die ACL hat, dann kann man zwar den Besitz übernehmen, zerstört dabei aber die ACL. Es wird eine neue aufgebaut entsprechend den Verebungsregeln. Das kann u.U. zum Verlust der Zugriffsrechte der Anwedner führen.
- Es soll Leute geben, die sich an Dienstanweisungen halten und dann u.U. Hemmschwellen zu überwinden haben. (Das ist nicht persönlich gemeint, reine Polemik, ok?)
E.
Behaupte doch nicht einfach sowas!
E.
Ein BA kann alles jederzeit lesen.
Stimmt nicht.Für BAs gelten keine ACLs.
Stimmt so auch nicht.Somit schreib ich ein Backup und schau mir dann das Backup gemütlich an, ohne ACLs des Originals modifizieren zu müssen.
DAS stimmt. Hier manipuliert man aber an einer Kopie rum. Und das wäre dann schon nah am Diebstahl, wenn man keine Erlaubnis zum Zugriff hat.E.