Ordner auf 2003 Server vor Admin verstecken
Hallo,
wie ist es unter Windows 2003 Server Standard zu bewerkstelligen, dass ein Ordner so geschützt ist, dass nur ein Benutzer auf den Ordner Zugriff hat. Selbst der Admin soll auf diesen Ordner keinen Zugriff haben.
Der Einsatz von externer Software sollte das letzte Mittel sein, um zum gewünschten Ergebnis zu kommen.
Danke im Voraus.
Titel-Ohne-Mittel
wie ist es unter Windows 2003 Server Standard zu bewerkstelligen, dass ein Ordner so geschützt ist, dass nur ein Benutzer auf den Ordner Zugriff hat. Selbst der Admin soll auf diesen Ordner keinen Zugriff haben.
Der Einsatz von externer Software sollte das letzte Mittel sein, um zum gewünschten Ergebnis zu kommen.
Danke im Voraus.
Titel-Ohne-Mittel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 159886
Url: https://administrator.de/forum/ordner-auf-2003-server-vor-admin-verstecken-159886.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
18 Kommentare
Neuester Kommentar
Hi !
Ähmmm war Montag nicht gestern? Kopfkratz...
Glaubst Du ernsthaft, Du kannst einen (guten) Admin hinters Licht führen? Bespreche das mit ihm, dann wird er dir im Rahmen seiner von der Geschäftsführung vorgegebenen Grenzen auch helfen können...Hinterrücks wird das nüx... Edit: Wenn Du nix Illegales tust, wird er dir eine Möglichkeit einräumen, siehe DWW..
mrtux
Ähmmm war Montag nicht gestern? Kopfkratz...
Glaubst Du ernsthaft, Du kannst einen (guten) Admin hinters Licht führen? Bespreche das mit ihm, dann wird er dir im Rahmen seiner von der Geschäftsführung vorgegebenen Grenzen auch helfen können...Hinterrücks wird das nüx... Edit: Wenn Du nix Illegales tust, wird er dir eine Möglichkeit einräumen, siehe DWW..
mrtux
hallo mittelloser Titel,
setzt ihr Active Directory ein? Wenn ja, kannst du der Lösung so nah wie möglich kommen. Ein Systemadministrator kann per Definition auf alle Daten im System zugreifen, das ist nicht auszuschalten, nur zu erschweren.
Unter den Usereigenschaften einen Basisordner anlegen und gut is. (z.B. Verbinden von H: mit \\server\anwender$\%username%).
Und wenn der Admin will, kann er jederzeit den Besitz übernehmen und was auch immer mit den Dateien anstellen.
Hier ist definitiv VERTRAUEN angesagt. Wer dem Admin nicht vertraut, sollte sich einen anderen suchen.
setzt ihr Active Directory ein? Wenn ja, kannst du der Lösung so nah wie möglich kommen. Ein Systemadministrator kann per Definition auf alle Daten im System zugreifen, das ist nicht auszuschalten, nur zu erschweren.
Unter den Usereigenschaften einen Basisordner anlegen und gut is. (z.B. Verbinden von H: mit \\server\anwender$\%username%).
Und wenn der Admin will, kann er jederzeit den Besitz übernehmen und was auch immer mit den Dateien anstellen.
Hier ist definitiv VERTRAUEN angesagt. Wer dem Admin nicht vertraut, sollte sich einen anderen suchen.
lokales Admin-Konto/entsprechenden Domänenbenutzer in die Gruppe der lokalen Administratoren oder der Person vertrauen können...
Zitat von @Titel-Ohne-Mittel:
Konkrete Konstellation:
Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu
können.
Konkrete Konstellation:
Geschäftsleitung ist normaler Benutzer, Admin soll Adminrechte bekommen, ohne die Daten der Geschäftsleitung einsehen zu
können.
Moin, ähhh, dann läuft da aber was richtig schief.
Die/der Admin sollte schon das Vertrauen der GF haben.Ansonsten ist eine Zusammenarbeit echt schwer.
Bei uns wurde das durch eine Verschwiegenheitserklärung [und ein Verstoß hat richtige gesetzliche Konsequenzen] gelöst.
In einem Unternehmen mit nur einem oder 2 Admin ist das recht schnell gelöst, in eine Unternehmen mit vielen Admins [Wie bei uns] gibt es ja auch verschiedene Administrations-Rules [Domänen-Admin,Sicherungsadmin,usw.].
Wenn diese Admin den jeweiligen Rollen angehören, können diese auch aus den Verzeichnissen der GF "ausgegliedert" werden - Achtung,aber vorsichtig, wenn du den Sicherungsadmin ausspeerst kann es sein das der Sicherungsjob über dein Verzeichnis nicht laufen kann.
Also vorher Rücksprache mit den Admins - Allerdings werden die sicher nicht erfreut sein,was ich verstehen könnte.
Akzeptier bitte meine Meinung, dass dies nur Augenwischerei ist. Der Admin kann wie gesagt mit Keyloggern arbeiten. Ihm muss vertraut werden. Wir haben die selbe Geschichte bei uns durch für unseren Betriebsrat. Meine Hinweise wurden ignoriert und wir haben uns einen schönen Aufwand gemacht. Jederzeit könnte ich, wenn ich wollte, die Truecrypt-Kennwörter abfangen und an die BR-Daten ran.
Moin
Gruß L.
Zitat von @Titel-Ohne-Mittel:
.. oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Ich frag mich gerade wer den wohl "administriert"... oder packen alles auf einen Samba-Server wo der Admin nicht hin darf.
Entweder lösen wir es dann mit einem Stegano-Verschlüsselten Laufwerk
Besser, aber immer schön DaSi und Restore im Auge behalten.Gruß L.
Hi !
Du hast mich nicht richtig verstanden, so war das nicht gemeint!
Ich wollte damit nur zum Ausdruck bringen, dass ihr in eurer Firma ein echtes Problem habt und das ist definitiv nicht mit technischen Mitteln zu lösen, daher kann ich dir da keine sinnvolle Hilfestellung geben. Ausserdem ist es doch ein ausgemachter Blödsinn, jemanden aussperren zu wollen, der (üblicherweise) firmenweit die meiste Ahnung/Erfahrung und auch alle Zugriffsrechte in der IT hat. Daran alleine sieht man doch schon die Sinnlosigkeit deines Vorhabens...
Wenn jemand in der FIrma Vertrauen geniest dann ist es der Admin. Und mal angenommen er hätte es nicht mehr, dann hat er in der Firma auch nichts mehr verloren...Was glaubst Du wohl, wie viele Firmeninterna (Konten, Lohnabrechnungen usw.) ich in mehr als 20 Jahren Tätigkeit schon gesehen habe, ja sogar sehen musste, um meine Arbeit durchführen zu können. Wäre das Vertrauen in meine Person weg, wäre die Basis für meine gesamte Arbeit dahin....Wenn eure Geschäftsleitung kein Vertrauen mehr in euren Admin hat (aus welchem Grund auch immer), dann ist doch das Arbeitsverhältnis eigentlich schon beendet, ihr habt es blos noch nicht gemerkt...
Nee, sorry! Ihr habt ein Vertauensproblem und das hat nichts aber auch gar nichts mit der IT an sich zu tun, daher sehe ich in deiner Frage auch kein technisches Problem!
mrtux
Du hast mich nicht richtig verstanden, so war das nicht gemeint!
Ich wollte damit nur zum Ausdruck bringen, dass ihr in eurer Firma ein echtes Problem habt und das ist definitiv nicht mit technischen Mitteln zu lösen, daher kann ich dir da keine sinnvolle Hilfestellung geben. Ausserdem ist es doch ein ausgemachter Blödsinn, jemanden aussperren zu wollen, der (üblicherweise) firmenweit die meiste Ahnung/Erfahrung und auch alle Zugriffsrechte in der IT hat. Daran alleine sieht man doch schon die Sinnlosigkeit deines Vorhabens...
Wenn jemand in der FIrma Vertrauen geniest dann ist es der Admin. Und mal angenommen er hätte es nicht mehr, dann hat er in der Firma auch nichts mehr verloren...Was glaubst Du wohl, wie viele Firmeninterna (Konten, Lohnabrechnungen usw.) ich in mehr als 20 Jahren Tätigkeit schon gesehen habe, ja sogar sehen musste, um meine Arbeit durchführen zu können. Wäre das Vertrauen in meine Person weg, wäre die Basis für meine gesamte Arbeit dahin....Wenn eure Geschäftsleitung kein Vertrauen mehr in euren Admin hat (aus welchem Grund auch immer), dann ist doch das Arbeitsverhältnis eigentlich schon beendet, ihr habt es blos noch nicht gemerkt...
Nee, sorry! Ihr habt ein Vertauensproblem und das hat nichts aber auch gar nichts mit der IT an sich zu tun, daher sehe ich in deiner Frage auch kein technisches Problem!
mrtux
Was passiert wenn das Profil vom GL-User kaputt geht?
Gar nichts passiert dann - ein Profil hat mit der Verschlüsselung nichts zu tun. Solange der Nutzer darüber Sorge trägt, das PW auch zu behalten und ein Recovery-Medium zu haben, ist alles gut von der Seite her. Nur gegenüber dem Admin schützen tut es leider nahe null.
Moin,
ich finde die Idee mit Truecrypt (von mir auch auch Steganos) gar nicht so schlecht. Klar, 100% Sicherheit gibt auch das nicht ( -> Keylogger), aber professionelle Autodiebe klauen auch 200.000€ Autos mit der neusten Sicherheitstechnik. Truecryptcontainer auf einem USB-Stick am besten per geheimer Keyfile verschlüsselt (das hilft auch gegen Keylogger) und gut.
Schwierig wird es nur, wenn der USB-Stick kaputt geht. Die Geschäftsleitung muss sich natürlich selber und ohne fremde Hilfe um Backups / Erstellen des Containers / Wahl der Keyfile(s) kümmern.
Sicher finden hier einige noch (theoretische) Sicherheitslücken, aber mal im Ernst: Wenn der Admin Keylogger und ähnliche Tricks benutzt um gezielt Daten der Geschäftsleitung zu stehlen, liegt das Problem woanders.
Letztendlich bleibt, wie von den Vorpostern schon geschrieben: Ein Minimum an Vertrauen sollte man seinem Admin schon entgegenbringen.
Gruß
Tobi
P.S. Der Chef der Buchhaltung hat meistens auch Zugriff auf die Firmenkonten und der Personalchef auf die Personaldaten. Denen muss man auch vertrauen, also warum nicht dem Admin?
ich finde die Idee mit Truecrypt (von mir auch auch Steganos) gar nicht so schlecht. Klar, 100% Sicherheit gibt auch das nicht ( -> Keylogger), aber professionelle Autodiebe klauen auch 200.000€ Autos mit der neusten Sicherheitstechnik. Truecryptcontainer auf einem USB-Stick am besten per geheimer Keyfile verschlüsselt (das hilft auch gegen Keylogger) und gut.
Schwierig wird es nur, wenn der USB-Stick kaputt geht. Die Geschäftsleitung muss sich natürlich selber und ohne fremde Hilfe um Backups / Erstellen des Containers / Wahl der Keyfile(s) kümmern.
Sicher finden hier einige noch (theoretische) Sicherheitslücken, aber mal im Ernst: Wenn der Admin Keylogger und ähnliche Tricks benutzt um gezielt Daten der Geschäftsleitung zu stehlen, liegt das Problem woanders.
Letztendlich bleibt, wie von den Vorpostern schon geschrieben: Ein Minimum an Vertrauen sollte man seinem Admin schon entgegenbringen.
Gruß
Tobi
P.S. Der Chef der Buchhaltung hat meistens auch Zugriff auf die Firmenkonten und der Personalchef auf die Personaldaten. Denen muss man auch vertrauen, also warum nicht dem Admin?
Moin,
solch eine Konstellation kann man durch eine Rollentrennung erreichen - aber da mußt Du richtig Geld in die Hand nehmen.
Wir habens damals gelöst, indem wir Verschlüsselungsboxen an die NetApp-Filer gehangen haben und wir eine PKI aufgebaut haben, die card- und rolebasiert war.
Die Domainadmins konnten alles erreichen, backuppen und restoren (aber nur per Filesystem, nicht über die Verschlüsselungsboxen) - aber für sie war es nur sinnloser Datenmüll. Die Security-Admins konnten nix, hatten keine Rechte im Filesystem, konnten aber jedem anderen (AD-Mitglied) die Zugriffsrechte einräumen, der damit über die Verschlüssungsboxen ging und mit den dort steckenden Cards Zugriff auf die Cryptshares bekam.
Wie gesagt, sauteuer.
Die billige Lösung ist, dem Admin zu vertrauen.
Gruß
24
solch eine Konstellation kann man durch eine Rollentrennung erreichen - aber da mußt Du richtig Geld in die Hand nehmen.
Wir habens damals gelöst, indem wir Verschlüsselungsboxen an die NetApp-Filer gehangen haben und wir eine PKI aufgebaut haben, die card- und rolebasiert war.
Die Domainadmins konnten alles erreichen, backuppen und restoren (aber nur per Filesystem, nicht über die Verschlüsselungsboxen) - aber für sie war es nur sinnloser Datenmüll. Die Security-Admins konnten nix, hatten keine Rechte im Filesystem, konnten aber jedem anderen (AD-Mitglied) die Zugriffsrechte einräumen, der damit über die Verschlüssungsboxen ging und mit den dort steckenden Cards Zugriff auf die Cryptshares bekam.
Wie gesagt, sauteuer.
Die billige Lösung ist, dem Admin zu vertrauen.
Gruß
24