Zugriff auf Sicherheitseinstellungen verbieten

[Nobby 10]

ich habe einen Datenordner, in dem die User eigene Dateien

und Ordner erstellen können. Nunmehr ist es aber

vorgekommen, dass einige User den Haken für die Vererbung

von Berechtigungen entfernt hatten und somit überhaupt

keine Berechtigungen, auch nicht für den Administrator

vergeben wurden. Das ist eigentlich kein Problem, weil ich

ja als Admin den Besitz wieder übernehmen kann. Probleme

bereiten mir diese Dateien und Ordner aber dann, wenn ich

über den Streamer eine Datensicherung fahre. Sobald

während des Backup-Verfahrens auf solche Dateine

zugegriffen wird, erfolgt ein Fehler des notewendigen

Zugriffs. Das Ergebnis ist, dass die Datensicherung

abgebrochen wird unnd somit keine gesicherten Daten

vorhanden sind.

 

Deshalb meine Frage, kann ich dem User das Entfernen des

Hakens und Veränderung der Berechtigungen per

Gruppenrichtline untersagen? Der übergeordnete Datenordner

ist für den User gesperrt, da funktioniert das.

 

Ich hoffe, ich habe mich einigermaßen verständlich

ausgedrückt.

 

Gruss Norbert

[grizzly999 11]

Machst du die Sicherung nicht mit einem Konto, das den Sicherungsoperatoren oder Administratoren auf dem Rechner angehört? Dann ist nämlich die Berechtigungssache obsolet. Bzw. mit welcher Software sicherst du?

 

grizzly999

[Nobby 10]

ich sichere mit NT-Backup, aber genau das Berechtigungsproblem ist es ja. Manche Dateien haben absolut keine Berechtigung mehr, also auch nicht für Admins und dann hab ich den Salat, deshalb will ich den Useren nicht die Möglichkeit geben, an den Sicherheitseinstellungen rumzufummeln.

 

Gruss Nobby

[grizzly999 11]

Sicherung mit ntbackup. Da darf es keine probleme geben, hunderte male damit Sachen gesichert, wo ich nicht mal als Admin Berechtigungen habe. Wenn du das lokale Benutzerrecht hast, Dateien und Verzeichnisse zu sichern (haben Administratoren und Sicherungsopratoren), dann sichert ntbackup auch sämtliche Dateien, von denen du nicht mal weißt, dass es sie gibt, geschweige denn, dass du eine Berechtigung drauf hast.

 

Die Änderung der Berechtigung kann man den Benutzern nur bedingt nehmen. Man könnte dies auf allen Ebenen über die NTFS-Berechtigungen tun, spätestens nachdem der Admin den Besitz an allen Objekten übernommen hat, aber sobald der Benutzer irgendwo wieder eine Datei oder einen Ordner erstellt, ist er davon Besitzer und kann auch gleich die Berechtigungen ändern. Es wäre also ein ewiges Räuber und Gendarm-Spiel, bei dem DU der Gendarm bist.

 

Aber vorher würde ich doch die Sicherungstrategie überprüfen, da ist was nicht i.O. Es muss so laufen wie oben gesagt. Ein Problem hat ntbackup, wie die meisten anderen Sicherungssoftwaren auch, das ist geöffnete Dateien zu sichern.

 

BTW: Welches Betriebssystem?

 

grizzly999

[grizzly999 11]

Nachtrag: Was kommt denn für eine Fehlermeldung? Steht was im Ereignislog?

 

grizzly999

[Nobby 10]

Ich arbeite mit Windows 2000 und eine Fehlermeldung habe ich nicht. es ist bei mir nur eine Vermutung, dass es daran liegt.

 

Gruss Nobby

[grizzly999 11]

Das klang vorher aber nicht wie eine Vermutung,:

Probleme

bereiten mir diese Dateien und Ordner aber dann, wenn ich

über den Streamer eine Datensicherung fahre. Sobald

während des Backup-Verfahrens auf solche Dateine

zugegriffen wird, erfolgt ein Fehler des notewendigen

Zugriffs. Das Ergebnis ist, dass die Datensicherung

abgebrochen wird unnd somit keine gesicherten Daten

vorhanden sind.

 

Wie kommst du denn jetzt darauf, dass die Daten nicht gesichert werden, oder dass er abbricht? Steht was im Sicherungslog, sind weniger gesicherte Bytes im Log gezählt, als es wirklich sein sollten? Im Moment kann ich mit deinen Mutmaßungen nicht viel anfangen....

 

grizzly999

[himbidas 10]

Dem von grizzly999 besprochenen Verhalten bzgl. ntbackup kann ich nur zustimmen. Alles in allem lässt sich dieses Problem mit einfachen Boardmitteln nicht lösen. Bevor du dich hier kramphaft bemühst, einen Fehler zu fixen würde ich dazu raten, dass du dir klar darüber wirst, dass in diesem Fall der eigentliche Fehler vor dem Bildschirm sitzt. Hier ist wohl ein bissel Erziehungsarbeit am User erforderlich. An deiner Stelle würde ich ein Rundmemo rausgeben in der Art, dass der User für seine Daten verantwortlich ist. Und wenn er dem (sicherungs)Admin die Rechte entzieht, muss er auch damit leben, dass seine Daten nicht gesichert werden. Wer einem (sicherungs)Admin Rechte entzieht, tut das nicht "aus Versehen" und muss dann mit den Konsequenzen leben.

IT-Sicherheit (Datenintegrität,- verfügbarkeit usw.) ist nicht nur eine Sache des Admins, sondern erfordert auch die Mitarbeit des Users. Und wenn es welche gibt, die denken sie müssen irgendwo einen Hebel ansetzen, gehören erzogen oder müssen mit dem Verlust ihrer Daten rechnen.

 

Thomas

[grizzly999 11]

Wobei das schon ein bischen mit zugedrückten Augen der erhobene Drohfinger ist, wie bei kleinen Kindern: .....dann kommt der Nikolaus nicht (und er kam doch immer :) )

Denn: Sichern kann ich als Mitglied der lokalen Administratorengruppe gar alles auf Dateiebene. Da kann mir kein Benutzer das Recht nehmen, selbst wenn er mir den Vollzugriff auf seinen Ordner verweigert. Dann wird der Ordner halt mit dem Vollzugriff verweigert weggesichert :D Und wenn sein muss, auch wieder mit genau den für mich nicht vorhandenen Berechtigungen wiederhergestellt. Aber Nobby's Problem muss ein anderes sein als fehlende Berechtigungen.

 

grizzly999

[günterf 45]

Hi!

 

Also Nobby der grüne Bereich liegt eindeutig bei grizzly999 und himbidas!

 

Darum jetzt von mir die Frage nach den Einstellungen in Deinem Backup.

 

Wie wird gesichert? Taskplaner oder bat?

 

Kann es sein,dass User fluchtartig den PC verlassen ohne ihn herunter zu fahren und somit Dateien noch geöffnet sind?

 

Jeder User der an den Rechten herum pfuscht gehört verwarnt und bei Wiederholung -> Entlassung!

[Nobby 10]

Also hier nochmal eine Zusammenfassung von mir.

 

Ich setze NT-Backup ein über den Taskplaner. Die Log-Datei sagt mir auch, dass ich meine 20 GB mir soundsoviel Dateine gesichert habe, aber wenn ich diese Dateinen wiederherstellen will, sind keine einträge zu finden. Daraufhin habe ich geforscht und eben festgestellt, dass bei verschiedenen Datein die Admin-Rechte fehlen. Ich habe daraufhin diese Verzeichnisse ausgeklammert und siehe da, mein Backup ist anstandslos durchgelaufen und es sind auch Daten vorhanden. also lässt sich die Vermutung erhärten, dass es an den Dateien liegt, worauf das Backup keinen Zugriff hat.

 

Bei der Dtensicherung bekomme ich aber keine Fehlermeldung, dass die Sicherung nicht geklappt hat. Ich kann natürlich meine User anhalten, sowas zu unterlassen (das werde ich auch tun) aber ich kann nicht jeden Tag meine Bänder überprüfen, of die Sicherung funktioniert hat. Deshlab meine Idee, den Usern die Berechtigung der Sicherheitseinstellungen wegzunehmen.

 

Gruss Nobby

[himbidas 10]

Na gut, nehmen wir es mal so hin. Das NT-Backup verwendest du sicherlich, weil schon vorhanden und nix kostet ;) Den Usern das Recht zum Rechte-Verbiegen wechzunehmen funzt nur bei den Verzeichnissen/Dateien, die schon existent sind und vom Admin explizit so restriktiert werden, dass der User an diesen nix verbiegen kann. Neu angelegte DVZ's/Files kannst du somit nicht sicher machen, wie grizzly999 schon treffend ausführte. Bleibt nur noch der Weg, dass du -vor- der Datensicherung die ACL so hinbiegst, dass der (Sicherungs)Admin Zugriff darauf hat. Da du deine Sicherung per Taskplaner aus einer Batch(?) startest, wäre der Einsatz von cacls.exe machbar. Leider hab ich das Teil hier nicht zur Hand. Vielleicht könnte grizzly999 dazu was Schlaues aushecken??

 

Thomas

[Nobby 10]

Sorry, dass ich erst jetzt antworte, hatte ne Menge Stress.

 

Habe jetzt herausbekommen, dass für die Anzeige der Sicherheitseinstellungen die Datei "rshx32.dll" verantwortlich ist. Ich suche im Moment noch eine Möglichkeit, diese Datei über die Gruppenrichtlinie für den User zu sperren, dann wäre mein Problem gelöst.

 

Gruss Nobby

[himbidas 10]

Wie kommt man nur drauf, dass es grad die DLL ist, bei den vielen DLL`s? (prcview?)

Den Zugriff für Normaluser sperren sollte nicht das Problem sein. Die Rechte für die DLL einfach lassen, wie sie sind, abzüglich allem was auf Normaluser verweist.

Im schlechtesten Fall stehen die Rechte auf "Jeder-Vollzugriff". Dann würde ich's mal mit "Administratoren-Vollzugriff" (und vielleicht "System-Lesen") versuchen. Musst halt mal ein bissel experimentieren. Wenn die Rechte dann passen, diese DLL auf alle PC's kopieren. Müsste reichen...

 

Thomas

[Nobby 10]

Das ist richtig, ich will es aber über eine Gruppenrichtlinie machen, damit ich nicht bei 30 Clients manuell die Sicherheitseinstellungen ändern muss.

 

Gruss Nobby