[gramling]

Hallo ihr lieben!

Ich habe folgendes Problem. In dem Betrieb, in dem ich arbeite, hat jeder Mitarbeiter ein eigenes Netzlaufwerk auf dem Server, auf das nur er und der Admin zugreifen können. Nun möchte mein Vorgesetzer, dass sein Laufwerk zusätzlich noch einmal mit einer Kennwortabfrage gesichert wird.
Wisst ihr, wie man das unter einem Win2k3 Server bewerkstelligen kann, oder ob es da ein zusätzliches Programm gibt?

MFG

Gramling

[abferber]

es ist doch schon passwort geschützt, die tasten kombi Windowstaste+L wäre hilfreichreicher, sowie Passworteingabe nach Screensaver deaktivierung.

Kann sein das es da eine möglichkeit gibt, nur ist mir die bisher unbekannt.

[gramling]

Das hab ich ihm auch schon erklärt und der PC ist auch gesperrt, sobald der Bildschirmschoner startet, er möchte aber trotz allem noch ein zusätzliches Kennwort für sein Netzlaufwerk, das er jedes mal beim öffnen eingeben muss.

[abferber]

dann leg ihm einen 2. benutzer an, der sich von seinem anmeldeaccount unterscheidet, dann muss er sich mit benutzernamen und kennwort authentifizieren.

[gramling]

Die idee kam mir auch schon, ist ihm aber zu unsicher, da ich als admin sein Kennwort jeder Zeit zurücksetzen kann und damit zugriff hätte.

[abferber]

kenn das auch so das der Adminacc in sog. Home odnern nichts zu suchen hat, bzw. der user alleiniger besitzer ist, so bekommt der user bei besitzübernahme durch einen dritten beim nächsten anmelden eine popupnachricht

Die Homeordner bekommen kontingente und sind mit dem benutzerprofil verknüpft

Gehe davon aus das nicht der chef dir der als person nicht vertraut, sondern dem Administrativen account

Dieser Beitrag wurde von abferber bearbeitet: 17. Oktober 2007 - 18:15

[Decay]

Also mal ehrlich, was will dein Cheff eigentlich?
Ihm sollte doch klar sein, dass ein Admin sich jederzeit Zugang zu den Daten schaffen kann, es sei denn es ist ein Verschlüsselter Container.
Selbst mit so einem Container ist es nicht 100%ig sicher, dass kein Unbefugter dran kommt, wenn das Bindeglied zwischen Stuhl und Rechner Fehler macht.

[sкavєи]

Es wäre schon möglich dem administrator den Zugang zu einem Verzeichnis zu verweigern. Indem man den Admin-Account stilllegt und vorher einen zweiten anlegt der einer Adminähnlichen Gruppe angehört, welche zwar alle Rechte wie der Admin hat, aber eben keinen Zugriff auf die Verzeichnisse der Gruppe in der dein Chef ist. ABER dieses Vorgehen wäre höchst fahrlässig, sich aus dem standardmäßigen Administrator-Account auszusperren ist in bestimmten situationen der Tod des Servers und bei der kleinsten Fehlkonfiguration des Fake-Admins ist dies mit ziemlicher sicherheit bereits nach 5 Minuten der Fall. Die Windows-Gruppenrichtlinien verzeihen da keine Fehler.
Ergo: Sag deinem Chef "Is' nich', weil is' so!" Alles andere wäre grob fahrlässig. Wenn dein chef dem admin nicht vertraut, soll er selbst die administrativen Aufgaben am Server übernehmen.

[abferber]

Zitat (sкavєи: 17.10.2007, 22:12)

Wenn dein chef dem admin nicht vertraut, soll er selbst die administrativen Aufgaben am Server übernehmen.

Skaven hat natürlich recht, aber sags dem chef lieber nicht so, wenn das richtig verstanden habe ist das eine person, die vermutlich selbst mädchen für alles und jeden sein muss und zusätzlich der willkür der kunden tag täglich tollerieren muss, solche personen regagieren meiner erfahrung unberechenbar

[gramling]

Nene admin Rechte am Server geb ich ihm nicht, dann läuft ja bald gar nichts mehr.
dann werd ich es ihm so erklären, dass es keine Möglichkeit gibt.
Danke für eure Hilfe!

[sкavєи]

Nein, die Möglichkeit gibt es ja. Aber sie würde den Server im Fehlerfall unrettbar machen, weil der Admin keinen Zugriff mehr hat. Der Admin hat aus gutem Grund Zugriff auf alles.

Aber ich denke auch wenn du deinem Chef das erklären willst, dann sag einfach, dass es gar nicht geht. Ansonsten will er nur, dass du daran rumprobierst und dir selbst die Rechte beschneidest und das wäre nicht gut.

[sn00b]

sollte es nicht möglich sein im netzlaufwerk einen verschlüsselten container zu erstellen, in dem der chef seine wichtigen sachen ablegen kann? somit bleibt das netzlaufwerk normal erhalten und der chef hat seinen sicheren bereich! bin mir da nicht sicher, meine aber das schon gelesen zu haben, dass es auch übers netzwerk funktioniert.

[gramling]

also probiert habe ich es schon einmal, funktioniert hat es aber irgendwie nicht.

[ThreeM]

Bau ihm Lokal ne HDD ein

[QuentinT]

Also die Idee mit der HDD is ja quatsch, da er dann ja keine ausfallsicherheit hat, es sei denn du nimmst 2 platten und baust ein RAID auf... ach ja und du darfst keine lokalen adminrechte haben, dass heisst er muss sich alles selbst installieren... ausserdem hat er bestimmt ein NB, oder? :-)

Aber mal ehrlich, wenn der Chef dem Admin nicht vertraut ist da echt scheisse. Du kannst ihm sagen, dass ein Admin immer die Möglcihkeit hat an seine Daten zu kommen egal was man einstellt. Admin is nunmal Adminn und dieser muss über alle Rechte verfügen!

Des weiteren bin ich allerdings der Meinung, dass niemand ausser dem User selbst etwas in der ACL des Homelaufwerkes verloren hat.

Die einzigste wirklich Möglichkeit sicher vor dir zu sein ist eben, alle administrativen Aufgaben selbst zu übernehemn und keinen Admin zu beschäftigen. Er muss lernen Verantwortung aus der HAnd zu geben.

Aber die Antwort von ihm würde mich doch scho sehr interessieren.

Gruß
QuentinT

Dieser Beitrag wurde von QuentinT bearbeitet: 19. Oktober 2007 - 12:00