Jabba112 10 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Guten morgen liebe Experten. Ich habe ein kleines problem (bin mir aber sicher die Lösung/Antwort schon zu wissen). Folgendes Szenario: Ich bin externer Dienstleister und Administrtiere die Domäne für einen Kunden (AD User anlegen, Freigaben bearbeiten). Nun möchte der Kunde einen "Co-Admin" vor Ort haben der Benutzer anlegen darf und Freigeben setzen soll aber er selber nicht auf einen bestimmten Ordner Zugreifen darf. Nach meinem Verständniss geht das nicht oder lieg ich da falsch? Viele grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Grundsätzlich ist das so allgemein gehalten, dass man wie immer mit "das kommt darauf an" antworten kann. ;) Wenn der Fileserver kein DC ist, dann sollte sowas relativ einfach machbar sein, wenn es der DC ist, dann wird's komplizierter. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Jabba112 10 Geschrieben 20. Mai 2014 Autor Melden Teilen Geschrieben 20. Mai 2014 Die Freigabe ist auch auf dem DC. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 (bearbeitet) Hallo, Du könntest dir im AD einmal die Objektverwaltung anschauen, weiter ob Du mit der Gruppe der Serveradministzratoren etwas anfangen kannst. Ein Admin ist ein Admin ist ein Admin, der Spruch enthält, solch ein Admin hat meist die Möglichkeit, sich entzogene Berechtigungen wieder zu beschaffen. Man muss sich das also genau anschauen. Möglicherweise müsste man den Ordner auslagern auf ein Gerät oder Ort, auf deren Berechtigungen der Co-Admin keinen Zugriff bekommen kann, ein NAS, ein Cloudspeicher, ... . Die Freigabe ist auch auf dem DC. Entscheidend ist die Berechtigung auf den Ordner. bearbeitet 20. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Jabba112 10 Geschrieben 20. Mai 2014 Autor Melden Teilen Geschrieben 20. Mai 2014 Aber als Lokaler bzw. Domänen-Admin kann ich mir die Rechte ja selbst wieder holen auf dem DC. Das mit dem NAS ist aber ein guter Tipp. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Denke daran, auch ein NAS kann ausfallen, gestohlen werden, die Platte(n) darin, auch die Daten des NAS benötigen also eine Sicherung. Zitieren Link zu diesem Kommentar
Jabba112 10 Geschrieben 20. Mai 2014 Autor Melden Teilen Geschrieben 20. Mai 2014 Ich hab an ein RAID5 Synology gedacht das im Verschlossenem Serverraum mit hängt oder ein 19" Synology NAS im Schrank ;). Ein kleiner virtueller Linux Samba aufm RAID is auch ne option........soviele Möglichkeiten auf einmal ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Das liest sich gut. :) Zitieren Link zu diesem Kommentar
Jabba112 10 Geschrieben 20. Mai 2014 Autor Melden Teilen Geschrieben 20. Mai 2014 Danke für die Hilfe und Anregung Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Na dann darfst du ihn nicht zum Administrator machen. ;) Ich muß mich aber korrigieren, ich denke, dass es auf einem DC nicht "sinnvoll", wenn überhaupt möglich ist. Zumindest nicht, wenn Sharepermissions geändert werden müssen oder Shares erzeugt werden sollen. Bye Norbert Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 soll aber er selber nicht auf einen bestimmten Ordner Zugreifen darf. Wenn ich jemanden zum Admin mache, ist diese Forderung ein soziales Problem, welches du mit EDV nicht lösen kannst. Aber um dem CO-Admin sein verbotenes Tun klar zu machen kannst du natürlich die Rechte des Admins an diesem Ordner löschen. Wenn er nun doch drauf zugreift, muss er sich erst die Rechte holen und spätestens dann sollte ihm klar sein, dass er etwas verbotenes tut. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 solch ein Admin hat meist die Möglichkeit, sich entzogene Berechtigungen wieder zu beschaffen. Diese Anmerkung muss sein: Er hat diese Möglichkeit nicht "meist", sondern "immer". Punkt. TakeOwnership ist ein Privileg, das jeder (!) Administrator hat, und man kann es ihm nicht nehmen. Und Security ist ein Privileg, das jeder Eigentümer hat, damit kann der Admin dann (nach TakeOwnership) die ACLs so setzen,we er es gerne hätte. Danach setzt er den Eigentümer dann auf "xyz" - und wenn kein externes Auditing vorhanden ist, merkt das auch niemand. Und jetzt komme bitte keiner mit "Security Eventlog" - ich lege mir einen neuen "Tempadmin" an und lösche mit dem dann das Security Eventlog... Dieses Wissen scheint sich aber nicht durchzusetzen... Wenn ein User nicht vertrauenswürdig ist, mache ihn nicht zum Admin. Nochmal Punkt :cool: Wenn er nun doch drauf zugreift, muss er sich erst die Rechte holen und spätestens dann sollte ihm klar sein, dass er etwas verbotenes tut. Funktioniert nicht - auch da komme ich mit meinem "TempAdmin" problemlos drum herum... Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 21. Mai 2014 Melden Teilen Geschrieben 21. Mai 2014 GRINSSSSSSSSSSSSSSS Wenn der CO-Admin sich einen "neuen" TempAdmin anlegt um das Verzeichnis einzusehen, sollte man auch von krimineller Energie ausgehen, denn auch dann weiss der CO-Admin, dass er was tut was er nicht darf... Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 21. Mai 2014 Melden Teilen Geschrieben 21. Mai 2014 Und was hilft dir das, dass du weißt, dass er weiß, dass er was "Verbotenes" tut, wenn du es ihm nicht nachweisen kannst? ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 21. Mai 2014 Melden Teilen Geschrieben 21. Mai 2014 Und jetzt komme bitte keiner mit "Security Eventlog" - ich lege mir einen neuen "Tempadmin" an und lösche mit dem dann das Security Eventlog... Dieses Wissen scheint sich aber nicht durchzusetzen... Dann findet sich im Eventlog der Eintrag, dass Admin XYZ das Security-Eventlog gelöscht hat. Nachweisen kann man das schon. Wenn ein User nicht vertrauenswürdig ist, mache ihn nicht zum Admin. Nochmal Punkt :cool: Wenn Du dem Admin nicht vertraust, stell einen vertrauenswürdigen Admin ein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.