NAS geeignet für Datenhaltung, Backup und Verschlüsselung
Eine Abteilung, knapp 30 MA benötigen ein IT-Separaten Ablageort
Hallo Freunde,
es geht um eine an sich einfache Frage, die ich mir aber aufgrund meiner Recherche nicht vollständig selber beantworten konnte. Und bevor ich das gesamte Internet durchgelesen habe (gefühlt bin ich schon mit 30% durch), frage ich mal hier.
Worum geht es:
- Fachabteilung mit ca. 30 Beschäftigten (keine IT-Berechtigungen außer standard Nutzerrechte)
- benötigen ein vollständig eigenstehendes Laufwerk
- auf das nur und ausschließlich diese ca. 30 Beschäftigten Zugriff haben (kein Admin und co)
- das jedoch nach Möglichkeit verschlüsselt ins Backup läuft
- und wo nur durch die Abteilung entsprechende Zugriffsrechte vergeben werden
(- Optional Unterstützung von PKI)
Ist für diese Anforderungen ein NAS verwendbar? Wie gesagt, wichtig ist, dass die Rechtevergabe ausschließlich durch die Abteilung vergeben wird. Weiter wäre noch gut, wenn man dann schon dafür Sorge tragen könnte, wenn die Daten des NAS in das regelmäßige Backup der IT einfließen könnte, jedoch verschlüsselt oder ähnliches (nur für den Notfall).
Gut wäre natürlich auch, wenn das NAS eine entsprechende Verfügbarkeit sicherstellt, z.B. durch ein entsprechendes RAID-System oder ähnliches.
Ach so, die Beschäftigten der Abteilung, die für die Rechtevergabe sorgen (werden wohl 2-3 sein), werden im unternehmenszusammenhang keine Adminrechte erhalten, sprich Verwaltung der AD oder ähnlichem ist nicht drin.
Habt ihr da eine Idee, mit welchem System das ohne weitere Probleme möglich ist? Das NAS würde ich übrigens regulär in den Serverraum stellen, auf den ich nur Zugriff hätte, wenn mich ein Admin begleitet. Natürlich könnte auch einer der Admins sich direkt an der Kiste zu schaffen machen, aber ich will ja nicht noch paranoider werden, als ich es jetzt schon bin.
Und noch eine kleine Frage:
Laufwerkstrutkuren auf entsprechenden Servern können natürlich per AD berechtigt werden. Aber soweit ich weiß, hat ein Admin immer die Möglichkeit, die Rechte für ein Laufwerk zu übernehmen, weshalb dann ein Zugriff erfolgen könnte. Kann man dies umgehen? Dann könnte man sich das NAS sparen, und z.B. 2-3 Nutzer der Abteilung als owner eintragen und den Admins gänzlich das Recht entziehen, sowie die Möglichkeit, die owner-Rechte zu übernehmen.
Klingt schwierig, ist es auch, und vielleicht doch ganz einfach.
Was meint ihr?
Vielen Dank im Vorfeld!
Hallo Freunde,
es geht um eine an sich einfache Frage, die ich mir aber aufgrund meiner Recherche nicht vollständig selber beantworten konnte. Und bevor ich das gesamte Internet durchgelesen habe (gefühlt bin ich schon mit 30% durch), frage ich mal hier.
Worum geht es:
- Fachabteilung mit ca. 30 Beschäftigten (keine IT-Berechtigungen außer standard Nutzerrechte)
- benötigen ein vollständig eigenstehendes Laufwerk
- auf das nur und ausschließlich diese ca. 30 Beschäftigten Zugriff haben (kein Admin und co)
- das jedoch nach Möglichkeit verschlüsselt ins Backup läuft
- und wo nur durch die Abteilung entsprechende Zugriffsrechte vergeben werden
(- Optional Unterstützung von PKI)
Ist für diese Anforderungen ein NAS verwendbar? Wie gesagt, wichtig ist, dass die Rechtevergabe ausschließlich durch die Abteilung vergeben wird. Weiter wäre noch gut, wenn man dann schon dafür Sorge tragen könnte, wenn die Daten des NAS in das regelmäßige Backup der IT einfließen könnte, jedoch verschlüsselt oder ähnliches (nur für den Notfall).
Gut wäre natürlich auch, wenn das NAS eine entsprechende Verfügbarkeit sicherstellt, z.B. durch ein entsprechendes RAID-System oder ähnliches.
Ach so, die Beschäftigten der Abteilung, die für die Rechtevergabe sorgen (werden wohl 2-3 sein), werden im unternehmenszusammenhang keine Adminrechte erhalten, sprich Verwaltung der AD oder ähnlichem ist nicht drin.
Habt ihr da eine Idee, mit welchem System das ohne weitere Probleme möglich ist? Das NAS würde ich übrigens regulär in den Serverraum stellen, auf den ich nur Zugriff hätte, wenn mich ein Admin begleitet. Natürlich könnte auch einer der Admins sich direkt an der Kiste zu schaffen machen, aber ich will ja nicht noch paranoider werden, als ich es jetzt schon bin.
Und noch eine kleine Frage:
Laufwerkstrutkuren auf entsprechenden Servern können natürlich per AD berechtigt werden. Aber soweit ich weiß, hat ein Admin immer die Möglichkeit, die Rechte für ein Laufwerk zu übernehmen, weshalb dann ein Zugriff erfolgen könnte. Kann man dies umgehen? Dann könnte man sich das NAS sparen, und z.B. 2-3 Nutzer der Abteilung als owner eintragen und den Admins gänzlich das Recht entziehen, sowie die Möglichkeit, die owner-Rechte zu übernehmen.
Klingt schwierig, ist es auch, und vielleicht doch ganz einfach.
Was meint ihr?
Vielen Dank im Vorfeld!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193521
Url: https://administrator.de/contentid/193521
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Tach auch,
ein NAS mit Raid passt da schon. Die haben eine eigene Benutzerverwaltung. Fragt sich nur, wie sinnvoll das ist die Administratoren "auszuschließen". Wie kommen die denn an die Kiste wenn mal wwas nicht läuft? Um die Daten zum Backup verschlüsselt auf den Server zu holen, gibt es mit Sicherheit eine Lösung.
Für Verzeichnisse gibt es in den Sicherheitseinstellungen den Berechtigungseintrag Besitzrecht übernehmen. Wenn man den auf Verweigern setzt kann man sicher auch die Admins auschließen. Aber auch hier hätte ich Bauchschmerzen. Der Backup User braucht auf jeden Fall Zugriff, sonst kann er ja das Verzeichnis nicht sichern.
Grüße
bleXter
ein NAS mit Raid passt da schon. Die haben eine eigene Benutzerverwaltung. Fragt sich nur, wie sinnvoll das ist die Administratoren "auszuschließen". Wie kommen die denn an die Kiste wenn mal wwas nicht läuft? Um die Daten zum Backup verschlüsselt auf den Server zu holen, gibt es mit Sicherheit eine Lösung.
Für Verzeichnisse gibt es in den Sicherheitseinstellungen den Berechtigungseintrag Besitzrecht übernehmen. Wenn man den auf Verweigern setzt kann man sicher auch die Admins auschließen. Aber auch hier hätte ich Bauchschmerzen. Der Backup User braucht auf jeden Fall Zugriff, sonst kann er ja das Verzeichnis nicht sichern.
Grüße
bleXter
Moin,
ne Lösung gibt es schon - wir haben das mal für 3000 Leute aufgesetzt - Du packst Cryptoboxen davor, auf die nur Securityadmins Zugriff haben, die Domainadmin richten die Shares auf den Cryptolaufwerken ein, die Cryptoadmins schalten die frei (auf den Cryptoboxen) - da liegt alles verschlüsselt - die Domainadmins können den Datenstrom verschlüsselt auch sichern - aber beide Sorten Admins können nicht reinschauen - nur der User, den beide Typen Admins eingerichtet haben...
Aber dafür nimm mal bitte mind. ne 5 bis 6 stellige Summe in die Hand...
gehen tut alles
Gruß
24
P.S. der User greift über die Cryptoboxen auf die Shares zu - die DomainAdmins direkt und verschlüsselt
Dann von ein DFS (VFS haben wir genommen) drüber, klappt einwandfrei...
ne Lösung gibt es schon - wir haben das mal für 3000 Leute aufgesetzt - Du packst Cryptoboxen davor, auf die nur Securityadmins Zugriff haben, die Domainadmin richten die Shares auf den Cryptolaufwerken ein, die Cryptoadmins schalten die frei (auf den Cryptoboxen) - da liegt alles verschlüsselt - die Domainadmins können den Datenstrom verschlüsselt auch sichern - aber beide Sorten Admins können nicht reinschauen - nur der User, den beide Typen Admins eingerichtet haben...
Aber dafür nimm mal bitte mind. ne 5 bis 6 stellige Summe in die Hand...
gehen tut alles
Gruß
24
P.S. der User greift über die Cryptoboxen auf die Shares zu - die DomainAdmins direkt und verschlüsselt
Dann von ein DFS (VFS haben wir genommen) drüber, klappt einwandfrei...