gelöst Serverseitig Ordner mit Passwort versehen

Mitglied: Der.Boese.Wolf

Der.Boese.Wolf (Level 1) - Jetzt verbinden

25.10.2017 um 10:19 Uhr, 1781 Aufrufe, 13 Kommentare, 3 Danke

Guten Morgen Admins,

ich hätte mal eine Frage die sich aus folgendem Problem ergibt aber fangen wir erst mal mit den Infos an:

- der Server ist ein Server 2016 und die Clients Win7 und Win10
- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
- jeder der User kriegt einen eigenen Ordner auf dem Server
- jeder Ordner kriegt ein individuelles Passwort vom User
- der Admin braucht weiterhin Zugriff auf die Ordner ohne Passwort bzw mit einem Masterpasswort

Ich habe auf meiner Suche nach der Antwort "Folder Guard" gefunden. Es wäre sogar so ziemlich das was ich suche aaaaaaber da wäre der preisliche Teil. Pro 10 PCs im Netzwerk kostet der Spaß fast 200€. Wenn ich das hochrechne auf 50 Clients wird dem armen Kunden etwas bleich um die Nase.

Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.


Danke euch und Grüße
DBW
Mitglied: DerWoWusste
25.10.2017 um 11:00 Uhr
Moin.

Ordnerverschlüsselung ergibt nur in wenigen Anwendungsfällen einen Sinn - warum willst Du es überhaupt haben? Der Schutz über NTFS-Rechte reicht aus welchem Grunde nicht?

Die Ordnerverschlüsselung sollte nur verwendet werden, wenn
A keine physikalische Sicherheit des Server gewährleistet werden kann und
B Bitlocker und Co. nicht angewendet werden können

Sonst nicht.
Bitte warten ..
Mitglied: fisi-pjm
25.10.2017 um 11:03 Uhr
Zitat von Der.Boese.Wolf:

Guten Morgen Admins,

Moin,

Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.

Ganz ehrlich? Wenn dein Kunde bei 1000 Euro blass wird, dann sag ihm wer Business haben will muss auch Business bezahlen. 1000 EURO müssen im 21. Jahrhundert bei einem Unternehmen dieser Größenordnung mal für IT drin sein. das sind nicht mal 15 Euro pro Nase. Wie viel kostet es den Chef wenn Daten weg sind, weil gelöscht oder in die falschen Hände geraten?

Wahrscheinlich keine Mehrfach Accounts wegen den Kosten für CALs? Das wäre nämlich die korrekte Lösung, die wird ja aber leider wieder von vorne herein ausgeschlossen.


Danke euch und Grüße
DBW

Gruß
PJM
Bitte warten ..
Mitglied: departure69
25.10.2017, aktualisiert um 11:06 Uhr
Hallo.

...(das ist nicht verhandelbar)...

Genau das löst das Problem aus.

Warum gibt man nicht jedem der 70 einen eigenen Account? Dann wär's ganz einfach (NTFS-Rechte). Hat der Kunde Dir auch nur ein einziges logisches Argument für diesen Schwachsinn genannt?

Geht's dabei nur um die Anmeldung? Es sind also 70 Leute. Auch dann, wenn diese sich "nur wenige Domainlogins teilen", würde ich trotzdem jedem einen eigenen Account erstellen. Der Anmeldeblödsinn kann dann trotzdem so bleiben. Durch den dann vorhandenen Account pro Nase kannst Du trotzdem jedem seine Rechte auf seinen Ordner setzen.

Du mußt den Leuten nur beibringen, nach jedem (!) Login am Client, ein Net Use auf Ihr persönliches Verzeichnis durchzuführen, und dabei wird jedermanns eigenes Login/PWD abgefragt. Das anfängliche Login am Rechner ansich kann dann mit den wenigen Anmeldeaccounts so bleiben.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Der.Boese.Wolf
25.10.2017 um 11:13 Uhr
Servus,

ja das wären die einfachsten und effektivsten Lösungen. Nur man möchte es so haben damit man sich "wenig Passwörter merken muss". Ja die Ironie der Aussage ist sehr fein.

Es geht im Endeffekt darum das UserA nur den mit seinem Passwort in den OrdnerA rein sehen kann. Während UserB zwar sieht das es einen OrdnerA gibt aber mit seinem Passwort nicht zugreifen kann sondern nur in seinen OrdnerB.

Grüße
DBW
Bitte warten ..
Mitglied: departure69
25.10.2017, aktualisiert um 11:24 Uhr
Die 70 User müssen sich also bspw. nur 3 Login-PWDs merken, aber danach soll trotzdem jeder User sich wieder sein eigenes (also dann doch 70 Stück in Summe insgesamt vorhanden) Ordner-PWD merken? Wo ist da die Erleichterung, ob ich mir nun mein Domänen-PWD merke oder mein Ordner-PWD?

Wie gesagt, großer Blödsinn, für den Du allerdings nichts kannst (Kundenwunsch eben).

Ich unterstelle trotzdem einem Firmeninhaber oder GF eine gewisse Intelligenz, sonst wäre er nicht zu dem Posten gekommen (obwohl, manchmal ...). Sprich mit dem Mann/der Frau, daß dadurch nichts einfacher/leichter ist und jedem Best-Practise in hohem Grade widerspricht.

Oder aber, wie auch Forumskollege @fisi-pjm richtig bemerkt, sag' denen, daß ihr Wunsch dann halt doch das kostet, was Du dazu schon recherchiert hast ("Folder Guard").

Aber es ist die ewig gleiche Leier, es soll alles genauso funktionieren, wie es sich irgendwelche Leute in absurdester Weise ausdenken, darf aber nicht viel kosten. Meine Güte (wie gesagt, Du kannst nichts dazu, aber: Sprich nochmal mit denen!).

Ansonsten wüßte ich keine Lösung, sorry.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Yaimael
25.10.2017 um 11:24 Uhr
Dann macht es doch nur noch mehr Sinn das die entsprechenden CALs gekauft werden und jeder User seinen eigenen Acc. bekommt.
NTFS Berechtigungen drauf und fertig.
Ist wahrscheinlich ein paar Euronen teurer als dieses "Folder Guard" aber definitiv die sichere Variante.

Grüße
Yai
Bitte warten ..
Mitglied: Penny.Cilin
25.10.2017 um 11:38 Uhr
Zitat von Der.Boese.Wolf:

Guten Morgen Admins,
Hallo,

ich hätte mal eine Frage die sich aus folgendem Problem ergibt aber fangen wir erst mal mit den Infos an:
OK.

- der Server ist ein Server 2016 und die Clients Win7 und Win10
OK.

- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
Hm, ich weisen darauf hin, daß dies bzgl. Lizenzen und Datenschutz suboptimal gelöst ist.
Handelt es sich hier um sogenannte Gruppenkonten, welche von mehreren Benutzern zu unterschiedlichen Zeiten genutzt werden?

- jeder der User kriegt einen eigenen Ordner auf dem Server
Hm, wie soll das gehen, wenn wenige Domain-Logins auf mehrere Benutzer verteilt sind?
Und warum Verschlüsselung? Stattdessen lieber vernünftig lizenzieren.

- jeder Ordner kriegt ein individuelles Passwort vom User
So frei Bauch, das wird nichts. So jedenfalls nicht.

- der Admin braucht weiterhin Zugriff auf die Ordner ohne Passwort bzw mit einem Masterpasswort
Das sollte kein Problem darstellen. Wenn für jeden Benutzer eine Lizenz und ein Benutzerkonto vorhanden ist, dann kann das mit Boardmitteln (NTFS-Berechtigungen) erledigt werden. Wurde bereits empfohlen.

Ich habe auf meiner Suche nach der Antwort "Folder Guard" gefunden. Es wäre sogar so ziemlich das was ich suche aaaaaaber da wäre der preisliche Teil. Pro 10 PCs im Netzwerk kostet der Spaß fast 200€. Wenn ich das hochrechne auf 50 Clients wird dem armen Kunden etwas bleich um die Nase.
Naja, ca. 1.400 € sind zu teuer? Ich würde erstmal über die Lizenz

Habt ihr noch Alternativen? Bzw Ideen wie man es anders umsetzen kann? Kosten darf es natürlich etwas schließlich legt man doch einen gewissen Wert auf Business Lösungen.
Das sind zuviele Widersprüche. Auf der einen Seite wenige Lizenzen (Domänenlogins) für 70 Anwender.
1.000 bis 1.400 € Euro für Software ist zu teuer. Und dann will man gewissen Wert an Business Lösungen haben.

Danke euch und Grüße
DBW

Gruss Penny
Bitte warten ..
Mitglied: DerWoWusste
25.10.2017, aktualisiert um 12:55 Uhr
Ich sehe gerade, dass ich etwas überlesen habe:

- ca 70 User die sich wenige Domainlogins teilen (das ist nicht verhandelbar)
also liegt die Krux in geteilten Useraccounts. Damit gebt Ihr leider jegliche Sicherheit auf und könnt sie auch nicht mit folderguard, EFS oder Konsorten wiederherstellen. Szenario: "Böser" Mitarbeiter legt einen Keylogger an in seinem eigenen Account - "guter" MA meldet sich mit eben diesem Account an, gibt sein Folderguard-Kennwort ein - es wird leider mitgeloggt und der "Böse" hat es nun. Nimm das bitte ernst.
Bitte warten ..
Mitglied: Der.Boese.Wolf
25.10.2017 um 11:58 Uhr
Servus,

danke für eure Kritik und ich ja da habt ihr so ziemlich alle in allen Punkten Recht (sovielen Leuten auf einmal Recht geben ohne Widerspruch lässt einen irgendwie schmutzig fühlen).
Trotzdem nenn ich das jetzt einfach mal "Leben in der Lage" und dafür eine möglichst optimale Lösung finden. Würde ich das nicht wollen wäre ich nicht hier und würde mich sofort mit "FolderGuard" abgeben.
Bitte warten ..
Mitglied: Yaimael
25.10.2017 um 12:09 Uhr
Der einzige Ansatz der mir einfällt aber sicher mit Datenverlust einhergeht ist verschlüsselte Archive anzulegen.
Problem ist wenn ein MA das Passwort verlegt ist alles futsch.

ggfs. mal die beiden folgen Produkte anschauen:
HiCrypt
Boxcryptor
Sollte beides mit Netzlaufwerken Funktionieren.
Die dürften aber noch teurer sein als Folder Guard
Bitte warten ..
Mitglied: Penny.Cilin
25.10.2017 um 12:19 Uhr
Hallo,

Deine Entschuldigung und Dein Pragmatismus in Ehren. Leider hast Du eine missliche Lage, wofür Du vielleicht sogar noch nicht mal etwas düfr kannst (geerbte / übernommene Umgebung).

Wie wäre es, wenn Du auf diese Missstände hinweist und auch die eventuellen Konsequenzen.
Sprich, aufgrund fehlender Lizenzen kann / wird es bei einem Audit zu Konsequenzen kommen.

Für auf, was man ändern sollte, um auf einen korrekten und auch lizenzierten Stand zu kommen.
Welche Vorteile (Datenschutz, Strikte Trennung jedes Benutzerkontos und seiner Daten, usw.) sich daraus ergeben.

Wie @DerWoWusste wird auch FolderGuard hier nicht helfen, da es auf Benutzerkontenebene greift.

Mit GpgEx (Einem Teil von GPG4WIN) könnte man möglicherweise Deine Konstellation abbilden.
Link zur Homepage
Damit kann ich Ordner verschlüsseln / entschlüsseln / signieren.

Allerdings halte ich Euer Konstrukt für fragwürdig.

Gruss Penny
Bitte warten ..
Mitglied: Der.Boese.Wolf
25.10.2017 um 13:04 Uhr
Servus,

Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)

Grüße
DBW
Bitte warten ..
Mitglied: Penny.Cilin
25.10.2017 um 13:09 Uhr
Zitat von Der.Boese.Wolf:

Servus,

Dann sag ich mal Danke für eure Hilfe. Vorhanden Missstände zu beheben bzw Kunden zu überzeugen ist nicht immer einfach.
Und das es leider nicht so erfüllbar sein wird war vom Start her klar trotzdem muss man ein Fünkchen Hoffnung nutzen ;)
Einen Versuch ist es wert. Vielleicht erfährst Du auch den Hintergrund, warum man so gehandelt hat.

Grüße
DBW

Gruss Penny
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
PHP
Serverseitig Kalenderabo löschen?
EverPebblesFragePHP4 Kommentare

Ich habe einen php Webkalender, der die Möglichkeit bietet, das man in Google Calender diesen Kalender aboniert via url ...

Windows Server

Druckerumleitung Serverseitig unterbinden

leon123FrageWindows Server1 Kommentar

Hallo zusammen, wenn wir Remote auf den Druckeserver gehen, werden auch immer die lokal installierten Drucker mit umgeleitet. Ich ...

Webentwicklung

Serverseitig Cache und Cookies löschen

certifiedit.netFrageWebentwicklung3 Kommentare

Schönen Samstag, gibt es einen Trick, wie man von Seiten des Webservers aus Cookies und Cache der besuchenden Clients ...

Linux Userverwaltung

UNIX - WIN7 serverseitig gespeicherte Profile lokal speichern

gelöst NiemeyerFrageLinux Userverwaltung5 Kommentare

Guten Morgen, ich habe 6 Windows 7 Clients in einer Domäne - ein Unix-Server. Die Userprofile werden serverseitig gespeichert. ...

Exchange Server

Export von Exchange-Mailboxen serverseitig vs. clientseitig

gelöst DerWoWussteFrageExchange Server10 Kommentare

Moin Kollegen. Mittels New-MailboxExportRequest kann ich auf Exchange 2016 (on premises, CU 15 + Updates ist installiert) ja Mailboxen ...

Exchange Server

Exchange 2013 Active Sync GPO Synchronisationszeiten serverseitig konfigurieren

thomasreinholdFrageExchange Server1 Kommentar

Hallo liebe Community, ich habe folgendes Problem zu lösen: Ich hab hier iPhones sowie Android Phones die sich mit ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT