Discussion:
Berechtigung: Ordnerzugriff für Administrator sperren
(zu alt für eine Antwort)
Thomas Leist
2009-03-25 12:57:01 UTC
Permalink
Hallo,
ich stehe vor folgender Aufgabe:
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner auf
dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine Funktion
verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Sämtliche Einstellungen in den NTFS-Berechtigungen (Berechtigung für Admin
entfernen oder sogar sperren) bringen eigentlich nix, weil jemand in der
Admin-Gruppe diesen Ordner wieder in Besitz nehmen kann und sich somit wieder
alle Rechte verschaffen kann.

Eine Möglichkeit wäre in den Sicherheitsrichtlinien dem Administrator das
Recht wegnehmen einen Ordner in Besitzt zu nehmen. Was anderes fällt mir
nicht ein...

Gibt es hier ein sinnvolle Lösung?? Jemand eine Idee???

Ich danke Euch schon mal
Gruß
Thomas
Helmut Schneider
2009-03-25 13:14:32 UTC
Permalink
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber falls
Du uns doch mitteilen möchtest, was Du im Detail erreichen willst, kann man
Dir *sicher* Alternativen aufzeigen.

Gruß, Helmut
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Thomas Leist
2009-03-25 13:34:02 UTC
Permalink
Hallo Helmut,

wie schon gesagt:
Die Geschäftsleitung hat mehrere Ordner auf dem Server (SBS 2003) liegen auf
die nur sie und der Admin Zugriff haben.
Nun soll ein weiterer Mitarbeiter einen administrativen Zugang erhalten (um
Dienste neu zu starten, User anlegen, Berechtigungen und Gruppen zuweisen...)
, darf aber nicht auf diese Ordner zugreifen!

Meiner Meinung nach 2 Möglichkeiten:
Entweder ich geb dem "Hilfsadmin" Administratorenrechte und "entferne" den
Zugriff auf diese Ordner oder ich verpasse dem Hilfsadmin jedes Recht einzeln
(Berechtigung für das was er machen soll) auf dem Server ohne ihn in die
Admingruppe zu nehmen.
Was ist sinnvoll??
In anderen Unternehmen haben doch auch nicht unbedingt die Admins Zugriff
auf GL-Ordner?!?

Gruß
Thomas
Post by Helmut Schneider
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber falls
Du uns doch mitteilen möchtest, was Du im Detail erreichen willst, kann man
Dir *sicher* Alternativen aufzeigen.
Gruß, Helmut
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Helmut Schneider
2009-03-25 14:25:46 UTC
Permalink
Thomas Leist <***@discussions.microsoft.com> wrote:

Bitte kein ToFu!!
Post by Thomas Leist
Post by Helmut Schneider
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber
falls Du uns doch mitteilen möchtest, was Du im Detail erreichen
willst, kann man Dir *sicher* Alternativen aufzeigen.
Die Geschäftsleitung hat mehrere Ordner auf dem Server (SBS 2003) liegen
auf die nur sie und der Admin Zugriff haben.
Nun soll ein weiterer Mitarbeiter einen administrativen Zugang erhalten
(um Dienste neu zu starten, User anlegen, Berechtigungen und Gruppen
zuweisen...) , darf aber nicht auf diese Ordner zugreifen!
Du kannst diese Berechtigungen delegieren, schau mal in ADU&C, rechte
Maustaste auf die Domain, "Delegate Control".
Post by Thomas Leist
Entweder ich geb dem "Hilfsadmin" Administratorenrechte und "entferne"
den Zugriff auf diese Ordner oder ich verpasse dem Hilfsadmin jedes
Recht einzeln (Berechtigung für das was er machen soll) auf dem Server
ohne ihn in die Admingruppe zu nehmen.
Ein Domainadmin ist ein Domainadmin. Er hat alle notwendigen Rechte um Deine
Aktionen wieder rückgängig zu machen.
Post by Thomas Leist
Was ist sinnvoll??
Nichts davon. Siehe oben.
Post by Thomas Leist
In anderen Unternehmen haben doch auch nicht unbedingt die Admins Zugriff
auf GL-Ordner?!?
Wie soll ein Admin dann z.B. die gelöschten Dateien oder Mails der
erlauchten Gesellschaft sichern bzw. wieder herstellen?! Das ist wie Deinem
Steuerberater nicht veraten wollen, wieviel Du verdienst.

Du könntest die Ordner der GF noch verschlüsseln, aber ob *das* den Aufwand
lohnt. Immerhin kann der Admin dann immer noch das Passwort der GF
zurücksetzen und sich als GF an einem Rechner anmelden.

Ihr habt offensichtlich ein Vertrauensproblem, da hilft auch Technik nicht.
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Helmut Schneider
2009-03-25 14:28:48 UTC
Permalink
Thomas Leist <***@discussions.microsoft.com> wrote:

Bitte kein ToFu!!
Post by Thomas Leist
Post by Helmut Schneider
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber
falls Du uns doch mitteilen möchtest, was Du im Detail erreichen
willst, kann man Dir *sicher* Alternativen aufzeigen.
Die Geschäftsleitung hat mehrere Ordner auf dem Server (SBS 2003) liegen
auf die nur sie und der Admin Zugriff haben.
Nun soll ein weiterer Mitarbeiter einen administrativen Zugang erhalten
(um Dienste neu zu starten, User anlegen, Berechtigungen und Gruppen
zuweisen...) , darf aber nicht auf diese Ordner zugreifen!
Du kannst diese Berechtigungen delegieren, schau mal in ADU&C, rechte
Maustaste auf die Domain, "Delegate Control".
Post by Thomas Leist
Entweder ich geb dem "Hilfsadmin" Administratorenrechte und "entferne"
den Zugriff auf diese Ordner oder ich verpasse dem Hilfsadmin jedes
Ein Domainadmin ist ein Domainadmin. Er hat alle notwendigen Rechte um Deine
Aktionen wieder rückgängig zu machen.
Post by Thomas Leist
Recht einzeln (Berechtigung für das was er machen soll) auf dem Server
ohne ihn in die Admingruppe zu nehmen.
Was ist sinnvoll??
Wie geschrieben, siehe oben.
Post by Thomas Leist
In anderen Unternehmen haben doch auch nicht unbedingt die Admins Zugriff
auf GL-Ordner?!?
Wie soll ein Admin dann z.B. die gelöschten Dateien oder Mails der
erlauchten Gesellschaft sichern bzw. wieder herstellen?! Das ist wie Deinem
Steuerberater nicht veraten wollen, wieviel Du verdienst.

Du könntest die Ordner der GF noch verschlüsseln, aber ob *das* den Aufwand
lohnt. Immerhin kann der Admin dann immer noch das Passwort der GF
zurücksetzen und sich als GF an einem Rechner anmelden.

Ihr habt offensichtlich ein Vertrauensproblem, da hilft auch Technik nicht.
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Thomas Leist
2009-03-25 14:42:01 UTC
Permalink
Okay,
aber du willst mir doch nicht erzählen dass in größeren Firmen oder
Konzernen der Admin/die Admins sämtlichen Zugriff auf geschäftliche und
vertrauliche Firmendaten haben?? Auch dort gibt es mit ziemlicher Sicherheit
Dokumente und Unterlagen, die auch auf irgendeinem Server oder Notebook
liegen, die den Admin zu 100% nichts angehen und der keinen Zugriff haben
darf! Ich glaube das hat mit Vertrauensproblem nicht viel zu tun...
Und mit Sicherheit legt der Aufsichtsrat am Server keine Hand an.
Auch arbeiten wohl die meinsten mit nicht weltbewegenderem als mit Active
Directory.
Hier muss es eine Lösung geben....!

Noch jemand eine Idee??

Viele Grüße
Thomas
Post by Helmut Schneider
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber falls
Du uns doch mitteilen möchtest, was Du im Detail erreichen willst, kann man
Dir *sicher* Alternativen aufzeigen.
Gruß, Helmut
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Winfried Sonntag [MVP]
2009-03-25 16:06:29 UTC
Permalink
Post by Thomas Leist
aber du willst mir doch nicht erzählen dass in größeren Firmen oder
Konzernen der Admin/die Admins sämtlichen Zugriff auf geschäftliche und
vertrauliche Firmendaten haben??
Haben Sie, glaub es uns. Admin ist Admin ist Admin.
Post by Thomas Leist
Auch dort gibt es mit ziemlicher Sicherheit
Dokumente und Unterlagen, die auch auf irgendeinem Server oder Notebook
liegen, die den Admin zu 100% nichts angehen und der keinen Zugriff haben
darf! Ich glaube das hat mit Vertrauensproblem nicht viel zu tun...
Evtl. können die User etwas verschlüsseln, wenn es der Admin zulässt.
Post by Thomas Leist
Und mit Sicherheit legt der Aufsichtsrat am Server keine Hand an.
Nö, der weiß doch gar nicht wo und wie. ;)
Post by Thomas Leist
[Fullquote entsorgt von 40tude-Dialog > http://www.40tude.com/dialog/]
Magst Du bitte mal zum Thema TOFU hier lesen:
http://einklich.net/usenet/zitier.htm Danke.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Helmut Schneider
2009-03-25 17:11:19 UTC
Permalink
Post by Winfried Sonntag [MVP]
Post by Thomas Leist
Auch dort gibt es mit ziemlicher Sicherheit
Dokumente und Unterlagen, die auch auf irgendeinem Server oder Notebook
liegen, die den Admin zu 100% nichts angehen und der keinen Zugriff
haben darf! Ich glaube das hat mit Vertrauensproblem nicht viel zu
tun...
Evtl. können die User etwas verschlüsseln, wenn es der Admin zulässt.
So ein (Domain-)Passwort ist schnell geändert, wenngleich der Admin von Welt
eh den passenden Recovery Agent verteilt... :)
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Helmut Schneider
2009-03-25 17:06:25 UTC
Permalink
Thomas Leist <***@discussions.microsoft.com> wrote:

Stell bitte das TOFU ab, das wird alles so unleserlich!
http://de.wikipedia.org/wiki/TOFU
Post by Thomas Leist
Post by Helmut Schneider
Post by Thomas Leist
Ich benötige für einen Mitarbeiter eine Berechtigung wie die des
Domänen-Administrators, aber ich muss den Zugriff auf spezielle Ordner
auf dem Server diesem User verwehren. Sonst soll dem "Hilfsadmin" keine
Funktion verwehrt bleiben.
Wie kann ich einem Administrator den Zugriff auf einen Ordner verweigern??
Gar nicht. Punkt. Aus. Dein Konzept ist schlichtweg fehlerhaft. Aber
falls Du uns doch mitteilen möchtest, was Du im Detail erreichen
willst, kann man Dir *sicher* Alternativen aufzeigen.
aber du willst mir doch nicht erzählen dass in größeren Firmen oder
Konzernen der Admin/die Admins sämtlichen Zugriff auf geschäftliche und
vertrauliche Firmendaten haben?? Auch dort gibt es mit ziemlicher
Nochmal, vertraust Du Deinem Steuerberater? So ist es nunmal auch mit dem
Admin. Er hält eine Sonderrolle im Unternehmen inne. Ebenso, wie das
Controlling, HR, die Assistenz der GF.
Post by Thomas Leist
Sicherheit Dokumente und Unterlagen, die auch auf irgendeinem Server
oder Notebook liegen, die den Admin zu 100% nichts angehen und der
keinen Zugriff haben darf!
Das mag schon sein, aber dann muss man das halt schriftlich festhalten und
dem Admin /vertrauen/. Wer Zugriff auf den Serverraum hat, gewinnt, ganz
einfach.
Post by Thomas Leist
Ich glaube das hat mit Vertrauensproblem nicht viel zu tun...
Glaub, was Du willst, die Hirarchie jedenfalls ist eindeutig (von unten nach
oben): Chef, Gott, Root (Admin).
Post by Thomas Leist
Hier muss es eine Lösung geben....!
Die, die ich Dir genannt hab.

Helmut
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Loading...