titel-ohne-mittel
Goto Top

Ordner auf 2003 Server vor Admin verstecken

Hallo,

wie ist es unter Windows 2003 Server Standard zu bewerkstelligen, dass ein Ordner so geschützt ist, dass nur ein Benutzer auf den Ordner Zugriff hat. Selbst der Admin soll auf diesen Ordner keinen Zugriff haben.

Der Einsatz von externer Software sollte das letzte Mittel sein, um zum gewünschten Ergebnis zu kommen.

Danke im Voraus.

Titel-Ohne-Mittel

Content-ID: 159886

Url: https://administrator.de/forum/ordner-auf-2003-server-vor-admin-verstecken-159886.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

mrtux
mrtux 01.02.2011 um 14:50:21 Uhr
Goto Top
Hi !

Ähmmm war Montag nicht gestern? Kopfkratz...

Glaubst Du ernsthaft, Du kannst einen (guten) Admin hinters Licht führen? Bespreche das mit ihm, dann wird er dir im Rahmen seiner von der Geschäftsführung vorgegebenen Grenzen auch helfen können...Hinterrücks wird das nüx... Edit: Wenn Du nix Illegales tust, wird er dir eine Möglichkeit einräumen, siehe DWW..

mrtux
DerWoWusste
DerWoWusste 01.02.2011 um 14:50:41 Uhr
Goto Top
Verschlüsseln oder zippen mit Kennwort. Letzteres ist mit 2003-Bordmitteln möglich.
Bedenke: wer Admin ist, kann auch Keylogger installieren, die Kennwörter für Verschlüsselungen abfangen.
Titel-Ohne-Mittel
Titel-Ohne-Mittel 01.02.2011 um 15:06:33 Uhr
Goto Top
Hallo,

häh ???

Ziel ist es, einem Benutzer Adminrechte zu geben (Einsicht in Prozesse der anderen Beutzer über den Taskmanager, Benutzer wieder freischalten, ...) ohne dass der NEUE ADMIN aber Zugriff auf den persönlichen Ordner (Eigene Dateien) der Geschäftsleitung hat.

Nicht hinter jeder Frage stecken böse Gedanken.

Titel-Ohne-Mittel
Titel-Ohne-Mittel
Titel-Ohne-Mittel 01.02.2011 um 15:15:55 Uhr
Goto Top
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu können.
Logan000
Logan000 01.02.2011 um 15:23:02 Uhr
Goto Top
Moin Moin

Das Problem ist nicht einem Admin die Rechte auf ein Verzeichnis zu nehmen.
Das Problem dürfte vielmehr sein das er sich diesen Zugriff jederzeit wieder erteilen kann.
Einziger Lösungsansatz, wie bereits geschrieben, ist Verschlüsselung.

Gruß L.
daadaa
daadaa 01.02.2011 um 15:31:46 Uhr
Goto Top
hallo mittelloser Titel,

setzt ihr Active Directory ein? Wenn ja, kannst du der Lösung so nah wie möglich kommen. Ein Systemadministrator kann per Definition auf alle Daten im System zugreifen, das ist nicht auszuschalten, nur zu erschweren.
Unter den Usereigenschaften einen Basisordner anlegen und gut is. (z.B. Verbinden von H: mit \\server\anwender$\%username%).

Und wenn der Admin will, kann er jederzeit den Besitz übernehmen und was auch immer mit den Dateien anstellen.

Hier ist definitiv VERTRAUEN angesagt. Wer dem Admin nicht vertraut, sollte sich einen anderen suchen.
96937
96937 01.02.2011 um 15:32:06 Uhr
Goto Top
lokales Admin-Konto/entsprechenden Domänenbenutzer in die Gruppe der lokalen Administratoren oder der Person vertrauen können...
Skyemugen
Skyemugen 01.02.2011 um 16:58:10 Uhr
Goto Top
Aloha!

Die Datensicherung der Geschäftsleitung geschieht dann auch Admin-unabhängig (und abgegrenzt von der sonstigen normalen Datensicherung ...)?

Sonst wäre es sinnbefreit (dein Vorhaben) =)

greetz André
Simone20100
Simone20100 01.02.2011 um 18:49:44 Uhr
Goto Top
Ich würde eine WebDav anlegen und den Schlüssel mit den Kollegen der Geschäftsleitung teilen.
crashzero2000
crashzero2000 02.02.2011 um 07:07:53 Uhr
Goto Top
Zitat von @Titel-Ohne-Mittel:
Konkrete Konstellation:

Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu
können.

Moin, ähhh, dann läuft da aber was richtig schief.
Die/der Admin sollte schon das Vertrauen der GF haben.Ansonsten ist eine Zusammenarbeit echt schwer.
Bei uns wurde das durch eine Verschwiegenheitserklärung [und ein Verstoß hat richtige gesetzliche Konsequenzen] gelöst.
In einem Unternehmen mit nur einem oder 2 Admin ist das recht schnell gelöst, in eine Unternehmen mit vielen Admins [Wie bei uns] gibt es ja auch verschiedene Administrations-Rules [Domänen-Admin,Sicherungsadmin,usw.].
Wenn diese Admin den jeweiligen Rollen angehören, können diese auch aus den Verzeichnissen der GF "ausgegliedert" werden - Achtung,aber vorsichtig, wenn du den Sicherungsadmin ausspeerst kann es sein das der Sicherungsjob über dein Verzeichnis nicht laufen kann.
Also vorher Rücksprache mit den Admins - Allerdings werden die sicher nicht erfreut sein,was ich verstehen könnte.
Titel-Ohne-Mittel
Titel-Ohne-Mittel 02.02.2011 um 12:14:19 Uhr
Goto Top
Hallo,

Active Directory setzen wir leider nicht ein. Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
DerWoWusste
DerWoWusste 02.02.2011 um 12:48:19 Uhr
Goto Top
Akzeptier bitte meine Meinung, dass dies nur Augenwischerei ist. Der Admin kann wie gesagt mit Keyloggern arbeiten. Ihm muss vertraut werden. Wir haben die selbe Geschichte bei uns durch für unseren Betriebsrat. Meine Hinweise wurden ignoriert und wir haben uns einen schönen Aufwand gemacht. Jederzeit könnte ich, wenn ich wollte, die Truecrypt-Kennwörter abfangen und an die BR-Daten ran.
Logan000
Logan000 02.02.2011 um 12:48:41 Uhr
Goto Top
Moin

Zitat von @Titel-Ohne-Mittel:
.. oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Ich frag mich gerade wer den wohl "administriert".

Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk
Besser, aber immer schön DaSi und Restore im Auge behalten.

Gruß L.
mrtux
mrtux 02.02.2011 um 15:50:01 Uhr
Goto Top
Hi !

Zitat von @Titel-Ohne-Mittel:
Nicht hinter jeder Frage stecken böse Gedanken.

Du hast mich nicht richtig verstanden, so war das nicht gemeint!

Ich wollte damit nur zum Ausdruck bringen, dass ihr in eurer Firma ein echtes Problem habt und das ist definitiv nicht mit technischen Mitteln zu lösen, daher kann ich dir da keine sinnvolle Hilfestellung geben. Ausserdem ist es doch ein ausgemachter Blödsinn, jemanden aussperren zu wollen, der (üblicherweise) firmenweit die meiste Ahnung/Erfahrung und auch alle Zugriffsrechte in der IT hat. Daran alleine sieht man doch schon die Sinnlosigkeit deines Vorhabens...

Wenn jemand in der FIrma Vertrauen geniest dann ist es der Admin. Und mal angenommen er hätte es nicht mehr, dann hat er in der Firma auch nichts mehr verloren...Was glaubst Du wohl, wie viele Firmeninterna (Konten, Lohnabrechnungen usw.) ich in mehr als 20 Jahren Tätigkeit schon gesehen habe, ja sogar sehen musste, um meine Arbeit durchführen zu können. Wäre das Vertrauen in meine Person weg, wäre die Basis für meine gesamte Arbeit dahin....Wenn eure Geschäftsleitung kein Vertrauen mehr in euren Admin hat (aus welchem Grund auch immer), dann ist doch das Arbeitsverhältnis eigentlich schon beendet, ihr habt es blos noch nicht gemerkt...

Nee, sorry! Ihr habt ein Vertauensproblem und das hat nichts aber auch gar nichts mit der IT an sich zu tun, daher sehe ich in deiner Frage auch kein technisches Problem!

mrtux
Ioan
Ioan 07.02.2011 um 18:24:06 Uhr
Goto Top
Hallo T-O-M,

Dem Admin das Vertrauen zu entziehen ist das kraseste was passieren kann. Wofür braucht man den Admin?
Verschlüßelung ist OK. Was passiert wenn das Profil vom GL-User kaputt geht? Da kann nicht eimal der arme, Vertrauenslose Admin mehr helfen.

Gruß Ioan
DerWoWusste
DerWoWusste 07.02.2011 um 20:32:56 Uhr
Goto Top
Was passiert wenn das Profil vom GL-User kaputt geht?
Gar nichts passiert dann - ein Profil hat mit der Verschlüsselung nichts zu tun. Solange der Nutzer darüber Sorge trägt, das PW auch zu behalten und ein Recovery-Medium zu haben, ist alles gut von der Seite her. Nur gegenüber dem Admin schützen tut es leider nahe null.
chillum
chillum 07.02.2011 um 22:41:51 Uhr
Goto Top
Moin,

ich finde die Idee mit Truecrypt (von mir auch auch Steganos) gar nicht so schlecht. Klar, 100% Sicherheit gibt auch das nicht ( -> Keylogger), aber professionelle Autodiebe klauen auch 200.000€ Autos mit der neusten Sicherheitstechnik. Truecryptcontainer auf einem USB-Stick am besten per geheimer Keyfile verschlüsselt (das hilft auch gegen Keylogger) und gut.
Schwierig wird es nur, wenn der USB-Stick kaputt geht. Die Geschäftsleitung muss sich natürlich selber und ohne fremde Hilfe um Backups / Erstellen des Containers / Wahl der Keyfile(s) kümmern.
Sicher finden hier einige noch (theoretische) Sicherheitslücken, aber mal im Ernst: Wenn der Admin Keylogger und ähnliche Tricks benutzt um gezielt Daten der Geschäftsleitung zu stehlen, liegt das Problem woanders.
Letztendlich bleibt, wie von den Vorpostern schon geschrieben: Ein Minimum an Vertrauen sollte man seinem Admin schon entgegenbringen.

Gruß
Tobi

P.S. Der Chef der Buchhaltung hat meistens auch Zugriff auf die Firmenkonten und der Personalchef auf die Personaldaten. Denen muss man auch vertrauen, also warum nicht dem Admin?
2hard4you
2hard4you 08.02.2011 um 08:05:46 Uhr
Goto Top
Moin,


solch eine Konstellation kann man durch eine Rollentrennung erreichen - aber da mußt Du richtig Geld in die Hand nehmen.

Wir habens damals gelöst, indem wir Verschlüsselungsboxen an die NetApp-Filer gehangen haben und wir eine PKI aufgebaut haben, die card- und rolebasiert war.

Die Domainadmins konnten alles erreichen, backuppen und restoren (aber nur per Filesystem, nicht über die Verschlüsselungsboxen) - aber für sie war es nur sinnloser Datenmüll. Die Security-Admins konnten nix, hatten keine Rechte im Filesystem, konnten aber jedem anderen (AD-Mitglied) die Zugriffsrechte einräumen, der damit über die Verschlüssungsboxen ging und mit den dort steckenden Cards Zugriff auf die Cryptshares bekam.

Wie gesagt, sauteuer.

Die billige Lösung ist, dem Admin zu vertrauen.

Gruß

24