Admins das lesen von Dateien verweigern?

[Notarzt 10]

Hallo Gemeinde,

Ein Administrator kann ja auch bei fehlenden Leseberechtigungen den Besitz des Ordners/der Datei übernehmen, und folglich auch die Lese-Berechtigungen ändern.

 

Wie sperrt man nun einen Administrator (mit W2K3Server-OnBoard-Mitteln!) den Lese-Zugriff auf eine/n Ordner/Datei, ohne dass er es wieder irgendwie schafft die Sperre aufzuheben?

 

Danke und LG

[Daim 12]

Servus,

 

ein Administrator ist ein Administrator, ist ein Administrator... dieser kann sich immer und jederzeit die Rechte erneut geben.

Die Devise lautet, mit delegierten bzw. nicht administariven Rechten zu arbeiten.

[Notarzt 10]

Danke für die Antwort. Über die Rechte/Delegierung/Prinzip der kleinsten Berechtigung habe ich ihn ja aufgeklärt.

Mein Kunde möchte (oder hätte gerne) zwei Admins die den "gleichen" Rechner/Domäne betreuen. Der eine Admin darf aber den einen Ordner, den der andere Admin verwaltet, auf keinen Fall lesen können. (und eventuell umgekehrt).

 

Ich bilde mir ein das man einen Admin das Recht auf "Rechteänderung" wegnehmen kann (hab's vergessen :rolleyes: ). So liese es sich aber nicht einrichten, weil er ja dann von keinen Ordner mehr die Rechte verwalten könnte. Er soll die Rechte von nur einen einzelnen Ordner nicht verwalten können. Unmöglich, oder?

[lefg 276]

Wie Daim schon schrieb, ein Admin ...., gemeint ist jemand, der der Gruppe der Administrotoren angehört.

 

Oftmals erlebe ich, da ist ein Schergenadmin Mitglied der Administratoren oder Domänenadmins, nötig ist es aber nicht. Für den Server reicht eventuell die Mitgliedschaft in der Gruppe der Serveroperatoren. Weiter kann Benutzern Aufgaben delegiert werden.

[Daim 12]

Unmöglich, oder?

 

Genau so ist es. Auch wenn du ihn irgendwie an den Rechten beschneidest, kann er sich das Recht, wenn er möchte, JEDERZEIT wieder geben.

 

Die einzigste Möglichkeit wäre, den Ordner zu verschlüsseln.

[Murf 10]

es gibt das Benutzerrecht "Besitz übernehmen", das du über GPOs bzw. die lokale Sicherheitsrichtlinie best. Benutzern gewähren kannst:

Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Übernehmen des Besitzes von Dateien und Objekten

Standardmäßig sind hier die Administratoren eingetragen. Dies kannst du weiterhin einschränken, gilt aber dann für den gesamten Rechner bzw. gültigkeit der GPO und ist somit nur mit Bedacht anzuwenden...

wie auch schon vorher diskutiert wurde ;-)

[Squire 276]

und auch diese Einschränkung kann ich als Admin wieder zurücknehmen ... wie oben schon geschrieben ... einzige Möglichkeit ist Verschlüsseln

[grizzly999 11]

und auch diese Einschränkung kann ich als Admin wieder zurücknehmen ... wie oben schon geschrieben ...

Ja, Full ACK!

Soll ich auch noch mal........ vielleicht hört dann irgendwann der Widerspruch auf.

 

Ein Administrator ist ein Administrator. Punkt!

Da beisst auch bei Microsoft keine Maus ... usw.

 

 

grizzly999

[Notarzt 10]

Vielen Dank Jungs!

Ich war mir auch zu 99,9% sicher dass das nicht geht. Wollte es eigendlich nur bestätigt bekommen. Wenn es jemand weiß...dann hier ;)

 

LG

[Kraftzwerg 10]

Tach,

 

also ich wäre auch für Verschlüsselung. Danach das Zertifikat für den Notfallwiederherstellungsuser (Administrator der Domäne) exportieren und auf dem lokalen Rechner löschen. Dann kann der andere Admin auch nicht zugreifen.

 

Allerdings ne etwas umständliche Lösung.

 

GL

[Chrigel 10]

Dieses Problem lässt sich vermutlich durch organisatorische Massnahmen lösen.

Bei uns ist ein Administrator eine Vertrauensperson !

Wer einzelne operative Aktivitäten ausführen muss bekommt die dazu notwendigen Rechte (z.Bsp. Poweruser), jedoch nicht den Admin.

;)